Zwei Sicherheitslücken auf die wir lange warten mußten!

Darauf mußten wir lange, lange warten:

THN: 36 Jahre alte Sicherheitslücke in SCP entdeckt!

Wie die Hacker News berichten, gibt es in SCP eine 36 Jahre alte Lücke, die es einem böswilligen Server erlaubt, beliebige Files beim Benutzer zu überschreiben.Da fast alle Implementierung vom alten Originalcode abstammen, sind sehr viele Anwendungen davon betroffen. Es können z.B. verstecke Bash-Files im Home (eines Unix/Linux/Macusers ) erzeugt werden, die als ANSI Codes übermittelt werden. Möglich wird die mangels guter Prüfung des erhaltenen Contents durch SCP. Da scp üblicherweise in der Shell eingesetzt wird, könnte das praktische ausnutzen der Schwachstelle in der Regel schwierig werden, da man sich nur zu bekannten Server mit SCP verbindet. Jemanden da per Spam hin zu bekommen, könnte schwer fallen.

Auch lange warten mußten wir auf diese Meldung, die nicht minder prikär ist, vielleicht sogar noch schlimmer:

heise.de : Forscher brechen aus Docker-Container aus

Ich persönlich warte ja schon länger auf diese Meldung, aber verwundern wird sie wohl keinen. Die Hauptkritik an Container ist ja, daß die darin enthaltene Software nicht aktuell gehalten sein wird, weil sonst könnte der Entwickler die Anwendung ja auch prima auf einem normalen System starten. Natürlich gibt es noch andere Gründe für einen Container: Transferierbarkeit, Skalierbarkeit  usw. aber uns interessiert die Sicherheit natürlich mehr. Wenn ich jetzt Software von Anno Schnee in einem Container habe, der nicht aktualisiert wird, weil „wieso, geht doch!“, das übliche Argument der Neulandmanager halt, dann habe ich jetzt endlich den Exploit, der mir bisher fehlte, um aus dem Schrott auszubrechen. VMs sind übrigens nicht anders, nur einer VM kann ich ( ICH!! ) sagen, daß das System dadrin aktualisiert werden soll. Bei „Docker“ ist das ein Heckmeck sondergleichen, wenn die Funktion nicht vorgesehen ist.

Die „Play with Docker“ Containerumgebung wird nicht die Einzige sein, die mit „wieso, kann doch keiner ausbrechen“ als Argument, die Anwendung mit erhöhten Rechten laufen läßt. Es wird also spannend werden, wenn man Docker einsetzt. Eine Lücke mehr, die man stopfen muß. Das sollte man sich vor Augen halten.

Elite Dangerous … mit Wine 4.0.0

Oh… schaut was da auf der Platte materialiserte 😀

Elite Danergous mit Wine 4.0.0-rc2 auf Fedora 28Jetzt bräuchte man nur noch einen Game-Code und die Reise in die Galaxy könnte losgehen 🙂

Die Installation war nicht ganz so schwierig, wie man denken sollte. Es dauerte halt einer Weile, eine neue 64Bit Wine Umgebung aufzubauen, da Elite Dangerous nur mit 64bit funktioniert. Schwieriger wars eine Elite Dangerous Version zu bekommen, die man installieren konnte: (Ich hasse Steam!)

http://hosting.zaonce.net/elite/Client-Installer-DX11.exe

Obiger Downloadlink stammt aus der Lutris Installationsanleitung . Laut Virustotal ist die Datei ok , hoffen wir mal, daß das stimmt.

Die Installation an sich war ok, nur das ominöse DXVK wollte Winetricks nicht kennen, naja startet auch so.

Die Probleme des Launchers sind bekannt und sind wohl eher schlechter HTML Programmierung geschuldet, denn dem Umstand, daß es Wine ist.

Ihr könnt ja mal Euren Kommentar oder einen 14 Tage Testgamecode da lassen, dann teste ich das Spiel aus : versprochen 😉

1&1 Mails von Spamhaus geblockt.. was nun ?

Info aus der Spamwelt: 1&1 Mailserver bei Spamhaus auf der Blockliste gelandet, und jetzt ??

1&1 Mailserver von Spamhaus geblockt

Wie wir heute von Kunden meines Arbeitgebers erfahren haben, können diese über 1&1 keine Mails mehr an bestimmte Adressen senden. Da haben wir mal nachgesehen und mußten feststellen, daß Spamhaus die IP’s der Mailserver von  1&1 gesperrt hat:

2019-01-09 10:01:11 H=mout-xforward.kundenserver.de [82.165.159.37] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=no F= rejected RCPT <empfänger@unserserver.eu>: found in zen.spamhaus.org</empfänger@unserserver.eu>
2019-01-09 10:02:03 H=mout-xforward.kundenserver.de [82.165.159.43] X=TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128 CV=no F= rejected RCPT <empfänger@unserserver.eu>: found in zen.spamhaus.org</empfänger@unserserver.eu>

Es handelt sich um ein /30 Subnetz, daß von 1&1 zu einem einzigen Zweck benutzt wird. Interessant wird es,wenn man bei Spamhaus den Grund für die Sperre einsieht:

Blocklist Lookup Results

82.165.159.37 is listed in the SBL, in the following records:

    SBL275659

82.165.159.37 is not listed in the PBL
82.165.159.37 is not listed in the XBL

Der von 1&1 verwendete Netzblock ist bereits seit Anfang 2017 gesperrt, wie man dem Link oben entnehmen kann. Das liegt daran, daß 1&1 diesen Block nur benutzt, wenn die Emails intern bei 1&1 als Spams bewertet wurden. Daher kann auch nur 1&1 helfen.

Ref: SBL275659
82.165.159.36/30 is listed on the Spamhaus Block List – SBL
2017-02-09 23:24:04 GMT | courtesy.spamhaus.org
mout-xforward.kundenserver.de

The IP addresses listed in this SBL are used by 1&1 solely for delivering emails that have been internally (by 1&1) classified as SPAM.

You have been referred to this page for one of the following reasons:

a) Your own legitimate emails have been erroneously classified as SPAM by 1&1’s systems. In this case please contact 1&1 directly using the following link to clear up the matter:

http://postmaster.1und1.de/en/blacklisting/?ip=82.165.159.36&c=sbl

b) You found non-delivery reports „bounces“ in your mailbox for messages other than your own. This indicates that a third party has sent these emails through your mailbox without your consent. Please take the following steps to re-establish the security of your 1&1 mailbox:

i) Check your computer for viruses:
Perform a thorough anti-virus scan on all computers which have been used to access the mailbox.

ii) Choose a new password for the affected mailbox.

Please carefully note that if you contact Spamhaus regarding this SBL listing, you will not receive any answer and the listing will not be removed. Your only resolution path is through 1&1, as indicated above.

 

Jetzt stellt sich natürlich sofort die Frage:

Wieso 1&1 als Spam erkannte EMails überhaupt rausschickt ?

Die Sache ist eigentlich ganz clever:

  1. Kundenemails gehen erstmal raus, ohne daß es eine Fehlermeldung gibt.
  2. Der eigene Mailcluster für „normale“ Emails wird nicht (oder eher seltener) von Blacklistenbetreibern geblockt.
  3. Nutzer von Spamhaus und anderen IP basierten Blacklisten bekommen diese „Spams“ nicht.

Das sieht erstmal wie ein Win – Win aus.. aber eigentlich gewinnt nur 1&1, denn die haben erstmal keinen Supportaufwand ( das habe ich natürlich direkt geändert 😀 ), der landet jetzt erstmal bei dem, bei dem die Email nicht angekommen ist und natürlich dem Absender, der hat den meisten Ärger.

Der Absender muß den Empfänger anrufen, weil mailen geht ja nicht. Der Supporter vom Empfänger muß jetzt losgehen, seine Logs checken und findet den Block von Spamhaus, fragt Spamhaus und gibt dem Absender zurück, daß ist sein Problem, er solle mal 1&1 fragen.  Bumerangmäßig kommt der Aufwand wieder bei 1und1 an.

Ich lehne mich mal ganz weit aus dem Fenster und behaupte..

… das liegt alles an BWL ( Betriebswirtschaftslehre ) und deren Mantra „Kosten, die nicht bei mir anfallen, sind keine Kosten.“ .

Ich denke mir das so: Die Abteilung von 1&1 , welche die Mailserver betreut, hat das eingerichtet, damit die Anfragen, wieso Emails nicht angekommen sind, erstmal beim Allgemeinen Supporttelefon landen. Das dürfte eine andere Abteilung sein. Die filtern erstmal alle weg, die nur mal eine Email zurück bekommen haben.

Bei den ganz harten Fälle haben Andere den Hauptteil der Arbeit schon für die erledigt: Sie wissen woran es lag => Spamklassifizierung von 1&1 . Damit muß der Level 2 des Technischen Supports nicht mehr lange suchen, was Zeit und Geld spart. Die Kosten dafür wurden auf den Kunden und ganz elegant auf die Supportabteilung von einem völlig anderen Unternehmen abgewälzt. Übrig bleibt ein kleiner Rest, der Minimal im Vergleich zum großen Gesamtbetrag ist. Spiel, Satz und Sieg 1&1 🙁

Was wäre wenn..

Allerdings würden alle Anderen gar keine Kosten mehr haben, wenn 1&1 die erkannten Spams gleich zurück an den Absender schickt und klar reinschreibt, daß es Spams waren. Das würde aber Kundenunzufriedenheit fördern und in der Endkonsequenz bedeutet, daß sich Kunden in Foren beschweren, daß man über 1&1 Mailserver keine Mails mehr raussenden könnte. Schlecht fürs Geschäft, insofern ist das für 1&1 natürlich erstmal die bessere Lösung, die Emails rauszusenden und zu schauen was passiert, zumal 1&1 sichergestellt hat, daß der Kunde nicht von Ihnen trotzdem den wahren Grund ( Spam ) erfährt.  Jetzt entlädt sich der Frust darüber, daß ein anderer Mailserver die Emails als Spam zurück gesendet hat, beim Empfänger und nachdem klar ist, was passiert ist, ist dessen Frustlevel schon wieder gesunken, wenn er sich dann beim 1&1 Support meldet.

Ich überlege gerade, im nächsten Meeting eine ähnliche Struktur vorzuschlagen, da man als „Absenderprovider“ damit nur gewinnen kann, während alle anderen verlieren 🙁

Fedora: Wie man ProjectM kompiliert

Wer wissen will, wie er für Fedora ProjectM kompilieren kann, der soll weiterlesen. Alle die Epilepsie haben, sollten das nicht in Betracht ziehen, das ist übles Farb & Flacker Foo, ich glaube einige der Effekte wollten mir unterschwellige Botschaften aus dem Universum unterjubeln 😉

Erstmal Devkrams installieren

Neben dem, was man als normale C Entwicklungsumgebung sowieso braucht, GCC, AutoMake etc. kommen folgende Pakete zum Einsatz:

glm-devel
libICE-devel
libSM-devel
libXt-devel
mesa-libGLU-devel
libXv-devel
qt-devel
glm-devel
rhash
cmake-data
cmake
qt5-rpm-macros
qt5-qtbase-devel
pulseaudio-libs-devel

einfach mit DNF installieren.

Sourcecode clonen

Den Source bekommt man von GitHub. Dazu macht man sich erstmal ein leeres Verzeichnis ..

mkdir -p Programmieren/git/

.. dann hinwechseln ..

cd Programmieren/git/

… und Source clonen :

git clone https://github.com/projectM-visualizer/projectm.git

Jetzt warten, kann dauern, sind fast 20.000 Bruchstücke die da ankommen. Dann wechseln wir in das Projekt:

cd projektm

und lassen autogen arbeiten:

./autogen.sh

jetzt konfigurieren. Entgegen der Anleitung muß man allerdings extra angeben, daß QT gebaut wird, sonst nix PulseAudio-Version 😉 GLES und Threading kann man, muß man aber nicht machen. Hat den Vorteil das mehr Power rauskommt, denn das schluckt einiges an Leistung. Eine schwache CPU kann da stark von profitieren.

./configure –enable-gles –enable-threading –enable-qt

noch ein make und man ist durch. Mit make install kann man das installieren, aber wer sich das nicht ans Bein binden will, weil üblicherweise gibt es nämlich kein uninstall bei sowas 😀 , der findet z.b. die PulseAudio Version hier ./src/projectM-pulseaudio/projectM-pulseaudio .

Nach reiflicher Überlegung, habe ich dann rm -rf ~/.projectM projectm gemacht 😀 Es war nicht eine brauchbare Visualisierung dabei.

Fedora 28: Planet Crash

Mit Fedora 28 ist es grade, als wenn man in einen Topf Farbe getreten ist und jetzt die Farbe überall verteilt. Egal wo man hinschaut Bugs, Bugs und noch mehr Bugs.

Heute:  ProjectM-PulseAudio

Für alle die ProjectM nicht kennen, das ist ein Audio-Visualisierungs-Plugin, das langweilige Musikabende optisch aufhübschen soll, idealerweise im Takt der Musik.

Scheinbar ist das bei Fedora auf dem absteigenden Ast gelandet, meint, es ist als verweist markiert. Es gibt also keinen Maintainer und Redhat muß selbst ran, und genau da haperts bei Redhat grade. Das Problem liegt in der Speicherverwaltung, was zu einem „Double Free“ Fehler führt. Für Nichtentwickler, daß bedeutet, daß ein Speicherbereich zwei(++)mal freigegeben werden soll. Das ist ein schwerwiegender Programmierfehler und wird besonders oft von C-Entwicklern gemacht, weil das Speichermanagement von C schlicht nicht vorhanden ist. Einem Java-Programm kann das nicht passieren, da die JVM das Speichermanagement komplett übernimmt.

Ich wette Fefe, wüßte jetzt, auf welchem Platz der häufigsten Programmierfehler in C der DoubleFree steht, aber ich kann nur raten. Gefühlt in den Top 3, direkt nach Buffer-Overflow und „Zeiger auf Zeiger verdengelt“ 🙂

Also falls Ihr mit ProjectM rechnet, seid nicht enttäuscht, wenn es nach 5 Sekunden crasht.

Update:

Nachdem ich mit auf Github einen BugReport erstellt habe, stellt sich raus, daß Fedora eine uralte Version zur Verfügung gestellt hat. Es wird dringend dazu geraten, ProjectM selbst zu kompilieren, nur ist das, wie sich zeigt, nicht so einfach. Das Configure Script vermeidet bewußt zu sagen, was ihm zum Ausführen am QT Libs genau fehlt, ohne QT unterdrückt das make einfach mal die Fehler beim Bau von projectM-pulseaudio und sagt am Ende, daß alles fehlerfrei geklappt hat. Natürlich ohne irgendwas brauchbares erstellt zu haben.

Das kann man zwar nicht direkt als Bug bezeichnen, zeigt aber auf, wo da wohl das Problem seitens Redhat liegt, eine aktuelle Version zusammen zu häkeln.

Aus der Schmunzelecke von Bugzilla

Für Euch mal was zum Schmunzeln, das erlebt man auch nicht so oft, daß sich der Maintainer bei den Bugreportern dafür entschuldigt, in den Urlaub gefahren zu sein 😉

--- Comment #3 from Zdenek Dohnal <zdohnal@redhat.com> ---
Hi,

thank you for reporting the issue! I'm deeply sorry for inconvenience, I pushed
the update without cross checking if new net-snmp is already in the stable (I
wasn't able to add hplip to net-snmp update) and I went on vacation after that.
You can install previous version from koji for now
https://koji.fedoraproject.org/koji/buildinfo?buildID=1163784 .

Der Fall stellt sich so dar:

Der Maintainer von hplip, hat als Abhängigkeit net-snmp drin und haut sein Update ins Stable Repo, ohne zu checken, ob den auch die Version von net-snmp im Stable ist, die er braucht. Wars nicht, also hat DNF zu Recht rumgeheult, daß es nicht updaten kann, weil gibt es nicht ja nicht im Repo, was das Paket so braucht. Das kommt übrigens öfters vor, als man denkt. Sind halt alles nur Menschen 😀 Aber die Entschuldigung im Bugtracker ist ein Unikum 😀

Falls Euch das auch mal unterkommen sollte, ich hab die neue Version von net-snmp dann im UPDATES-TESTING Repo von Fedora vorgefunden und ein : dnf –enablerepo=updates-testing update net-snmp* hats dann gelöst. Da müßt Ihr dann natürlich die Euch fehlende Abhängigkeit benutzen, nicht net-snmp 😉

g-dbus-error-quark,4

Nein, das Blog hat keinen technischen Fehler 🙂 „g-dbus-error-quark,4“ ist die Fehlermeldung von Gnome-Disks, wenn man auf eine Kingston 64 GB SD Karte ein Image kopieren möchte, aber Gnome-Disks was dagegen hat 😉

„Fehler: g-dbus-error-quark,4“

Weihnachten ist durch und da muß man natürlich mal seine Geschenke ausprobieren. Also lud ich ein Raspbian Image runter und wollte auf die neue Kingsten 64 GB SD Karte schreiben. Das Laufwerke Tool von Fedora sollte das aus dem FF können, kann es aber nicht. Es gibt nur die Fehlermeldung „… dbus.. freedesktop … did not reply.. g-dbus-error-quark,4“ aus und semmelt intern gleich mal dergestalt ab, daß die GUI geleert wird 😀 Ein Fall für Bugzilla 😉

Jetzt bringt uns Bugzilla natürlich keine Hilfe, also müssen wir was anderes probieren:  „fdisk -l“ listet uns alle Geräte auf, die man Partitionieren und damit potentiell ein Image draufschreiben könnte. Der SD Cardleser des Laptops hat dann /dev/mmcsd0 als Devicenamen ausgewiesen. Jetzt kann man mit fdisk keine Images auf Platten oder SD Karten schreiben, also brauchen wir noch so einen Dino unter den Linuxkommandozeilentools: dd .

Die Anwendung ist dann recht einfach: „dd if=~/Downloads/DeinPi.img of=/dev/mmcsd0 status=progress bs=10MB

Eine Weile später ist das Image dann anstandslos auf die Karte geschrieben und so man ein Raspbian ist, bootet es auch von der Karte \o/