PHP 5.6/7.x Remote Execution Schwachstelle

Zeit zum Updaten: PHP eine Remote Code Execution Schwachstelle hat!

Risikostufe 4 – Remote Code Execution

Das BSI schreibt im Advisory:

„Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in PHP ausnutzen, um Informationen offenzulegen, einen Denial of Service herbeizuführen oder Code mit den Privilegien des angegriffenen Dienstes zur Ausführung zu bringen.“

betrifft:

Open Source PHP < 5.6.40
Ooen Source PHP < 7.1.26
Open Source PHP < 7.2.14
Open Source PHP < 7.3.1

Fedora: Weisen suchen Maintainer

Vor einigen Wochen hatte ich schon einmal auf die erwünschte Hilfe beim Packagemaintaining für Fedora hingewiesen:  Fedora braucht Maintainer

Hier die aktuelle Liste von Paketen in Nöten:

            Package                      (co)maintainers           Status Change
================================================================================
PyMca                             orphan                           3 weeks ago
Ray                               orphan                           3 weeks ago
aeskulap                          orphan                           1 weeks ago
ahkab                             orphan                           2 weeks ago
arc-theme                         besser82, dbenoit, nonamedotc,   0 weeks ago
                                  orphan
cmusphinx3                        jjames, orphan                   7 weeks ago
cwiid                             orphan                           3 weeks ago
dvdbackup                         cicku, orphan                    1 weeks ago
emacs-pymacs                      orphan                           1 weeks ago
gnome-dvb-daemon                  orphan                           1 weeks ago
gnome-shell-extension-            orphan                           1 weeks ago
openweather
gnome-shell-extension-panel-osd   orphan                           1 weeks ago
gnue-common                       orphan                           3 weeks ago
jam-control                       orphan                           3 weeks ago
lightdm-gtk                       cwickert, dbenoit, orphan,       3 weeks ago
                                  rdieter
ltspfs                            enslaver, orphan                 0 weeks ago
ninja-ide                         echevemaster, orphan             0 weeks ago
nodejs-after                      nodejs-sig, orphan               5 weeks ago
nodejs-alter                      nodejs-sig, orphan               5 weeks ago
nodejs-ansi-font                  nodejs-sig, orphan               5 weeks ago
nodejs-ansidiff                   nodejs-sig, orphan               5 weeks ago
nodejs-archiver                   nodejs-sig, orphan               5 weeks ago
nodejs-archiver-utils             nodejs-sig, orphan               5 weeks ago
nodejs-ast-traverse               nodejs-sig, orphan               5 weeks ago
nodejs-ast-types                  nodejs-sig, orphan               5 weeks ago
nodejs-astral                     nodejs-sig, orphan               5 weeks ago
nodejs-astral-angular-annotate    nodejs-sig, orphan               5 weeks ago
nodejs-astral-pass                nodejs-sig, orphan               5 weeks ago
nodejs-async-cache                nodejs-sig, orphan               5 weeks ago
nodejs-async-each                 nodejs-sig, orphan               5 weeks ago
nodejs-aws-sign2                  nodejs-sig, orphan               5 weeks ago
nodejs-base64-js                  nodejs-sig, orphan               5 weeks ago
nodejs-basic-auth-parser          nodejs-sig, orphan               5 weeks ago
nodejs-bl                         nodejs-sig, orphan               5 weeks ago
nodejs-bluebird                   nodejs-sig, orphan               5 weeks ago
nodejs-breakable                  nodejs-sig, orphan               5 weeks ago
nodejs-camel-case                 nodejs-sig, orphan               5 weeks ago
nodejs-caniuse-db                 nodejs-sig, orphan               5 weeks ago
nodejs-change-case                nodejs-sig, orphan               5 weeks ago
nodejs-clean-css                  nodejs-sig, orphan               5 weeks ago
nodejs-clone                      nodejs-sig, orphan               5 weeks ago
nodejs-cls                        nodejs-sig, orphan               5 weeks ago
nodejs-co                         nodejs-sig, orphan               5 weeks ago
nodejs-commoner                   nodejs-sig, orphan               5 weeks ago
nodejs-compress-commons           nodejs-sig, orphan               5 weeks ago
nodejs-console-browserify         nodejs-sig, orphan               5 weeks ago
nodejs-constant-case              nodejs-sig, orphan               5 weeks ago
nodejs-crc32-stream               nodejs-sig, orphan               5 weeks ago
nodejs-dashdash                   nodejs-sig, orphan               5 weeks ago
nodejs-date-now                   nodejs-sig, orphan               5 weeks ago
nodejs-deferred                   nodejs-sig, orphan               5 weeks ago
nodejs-defs                       nodejs-sig, orphan               5 weeks ago
nodejs-degenerator                nodejs-sig, orphan               5 weeks ago
nodejs-dom-serializer             nodejs-sig, orphan               5 weeks ago
nodejs-domelementtype             nodejs-sig, orphan               5 weeks ago
nodejs-domhandler                 nodejs-sig, orphan               5 weeks ago
nodejs-domutils                   nodejs-sig, orphan               5 weeks ago
nodejs-dot-case                   nodejs-sig, orphan               5 weeks ago
nodejs-dreamopt                   nodejs-sig, orphan               5 weeks ago
nodejs-each-async                 nodejs-sig, orphan               5 weeks ago
nodejs-entities                   nodejs-sig, orphan               5 weeks ago
nodejs-etag                       nodejs-sig, orphan               5 weeks ago
nodejs-extend                     nodejs-sig, orphan               5 weeks ago
nodejs-extsprintf                 nodejs-sig, orphan               5 weeks ago
nodejs-far                        nodejs-sig, orphan               5 weeks ago
nodejs-fd                         nodejs-sig, orphan               5 weeks ago
nodejs-fg-lodash                  nodejs-sig, orphan               5 weeks ago
nodejs-file-uri-to-path           nodejs-sig, orphan               5 weeks ago
nodejs-fn-name                    nodejs-sig, orphan               5 weeks ago
nodejs-formatio                   nodejs-sig, orphan               5 weeks ago
nodejs-fs2                        nodejs-sig, orphan               5 weeks ago
nodejs-ftp                        nodejs-sig, orphan               5 weeks ago
nodejs-generate-function          nodejs-sig, orphan               5 weeks ago
nodejs-generate-object-property   nodejs-sig, orphan               5 weeks ago
nodejs-get-stdin                  nodejs-sig, orphan               5 weeks ago
nodejs-get-uri                    nodejs-sig, orphan               5 weeks ago
nodejs-grunt-angular-templates    nodejs-sig, orphan               5 weeks ago
nodejs-grunt-contrib-connect      nodejs-sig, orphan               5 weeks ago
nodejs-grunt-contrib-cssmin       nodejs-sig, orphan               5 weeks ago
nodejs-grunt-contrib-htmlmin      nodejs-sig, orphan               5 weeks ago
nodejs-grunt-contrib-less         nodejs-sig, orphan               5 weeks ago
nodejs-grunt-contrib-requirejs    nodejs-sig, orphan               5 weeks ago
nodejs-grunt-known-options        nodejs-sig, orphan               5 weeks ago
nodejs-grunt-saucelabs            nodejs-sig, orphan               5 weeks ago
nodejs-grunt-util-args            nodejs-sig, orphan               5 weeks ago
nodejs-grunt-util-options         nodejs-sig, orphan               5 weeks ago
nodejs-grunt-util-process         nodejs-sig, orphan               5 weeks ago
nodejs-grunt-util-property        nodejs-sig, orphan               5 weeks ago
nodejs-har-validator              nodejs-sig, orphan               5 weeks ago
nodejs-hash_file                  nodejs-sig, orphan               5 weeks ago
nodejs-hock                       nodejs-sig, orphan               5 weeks ago
nodejs-html-minifier              nodejs-sig, orphan               5 weeks ago
nodejs-https-proxy-agent          nodejs-sig, orphan               5 weeks ago
nodejs-install                    nodejs-sig, orphan               5 weeks ago
nodejs-is-lower-case              nodejs-sig, orphan               5 weeks ago
nodejs-is-my-json-valid           nodejs-sig, orphan               5 weeks ago
nodejs-is-property                nodejs-sig, orphan               5 weeks ago
nodejs-is-typedarray              nodejs-sig, orphan               5 weeks ago
nodejs-is-upper-case              nodejs-sig, orphan               5 weeks ago
nodejs-isstream                   nodejs-sig, orphan               5 weeks ago
nodejs-istanbul                   nodejs-sig, orphan               5 weeks ago
nodejs-jison                      nodejs-sig, orphan               5 weeks ago
nodejs-jsonpointer                nodejs-sig, orphan               5 weeks ago
nodejs-log-symbols                nodejs-sig, orphan               5 weeks ago
nodejs-lolex                      nodejs-sig, orphan               5 weeks ago
nodejs-lower-case                 nodejs-sig, orphan               5 weeks ago
nodejs-lower-case-first           nodejs-sig, orphan               5 weeks ago
nodejs-mkfiletree                 nodejs-sig, orphan               5 weeks ago
nodejs-multiline                  nodejs-sig, orphan               5 weeks ago
nodejs-next                       nodejs-sig, orphan               5 weeks ago
nodejs-onetime                    nodejs-sig, orphan               5 weeks ago
nodejs-oop                        nodejs-sig, orphan               5 weeks ago
nodejs-opn                        nodejs-sig, orphan               5 weeks ago
nodejs-pac-proxy-agent            nodejs-sig, orphan               5 weeks ago
nodejs-pac-resolver               nodejs-sig, orphan               5 weeks ago
nodejs-param-case                 nodejs-sig, orphan               5 weeks ago
nodejs-parserlib                  nodejs-sig, orphan               5 weeks ago
nodejs-pascal-case                nodejs-sig, orphan               5 weeks ago
nodejs-path-case                  nodejs-sig, orphan               5 weeks ago
nodejs-path-exists                nodejs-sig, orphan               5 weeks ago
nodejs-pend                       nodejs-sig, orphan               5 weeks ago
nodejs-pify                       nodejs-sig, orphan               5 weeks ago
nodejs-portscanner                nodejs-sig, orphan               5 weeks ago
nodejs-private                    nodejs-sig, orphan               5 weeks ago
nodejs-proxy                      nodejs-sig, orphan               5 weeks ago
nodejs-recast                     nodejs-sig, orphan               5 weeks ago
nodejs-regenerator                nodejs-sig, orphan               5 weeks ago
nodejs-relateurl                  nodejs-sig, orphan               5 weeks ago
nodejs-requestretry               nodejs-sig, orphan               5 weeks ago
nodejs-require-directory          nodejs-sig, orphan               5 weeks ago
nodejs-run-parallel-limit         nodejs-sig, orphan               5 weeks ago
nodejs-safe-buffer                nodejs-sig, orphan, pnemade      5 weeks ago
nodejs-samsam                     nodejs-sig, orphan               5 weeks ago
nodejs-sauce-tunnel               nodejs-sig, orphan               5 weeks ago
nodejs-saucelabs                  nodejs-sig, orphan               5 weeks ago
nodejs-sentence-case              nodejs-sig, orphan               5 weeks ago
nodejs-sinon                      nodejs-sig, orphan               5 weeks ago
nodejs-smart-buffer               nodejs-sig, orphan               5 weeks ago
nodejs-snake-case                 nodejs-sig, orphan               5 weeks ago
nodejs-socks-client               nodejs-sig, orphan               5 weeks ago
nodejs-socks-proxy-agent          nodejs-sig, orphan               5 weeks ago
nodejs-st                         nodejs-sig, orphan               5 weeks ago
nodejs-std-mocks                  nodejs-sig, orphan               5 weeks ago
nodejs-stream-equal               nodejs-sig, orphan               5 weeks ago
nodejs-stream-to-array            nodejs-sig, orphan               5 weeks ago
nodejs-streamsink                 nodejs-sig, orphan               5 weeks ago
nodejs-string                     nodejs-sig, orphan               5 weeks ago
nodejs-stringstream               nodejs-sig, orphan               5 weeks ago
nodejs-strip-indent               nodejs-sig, orphan               5 weeks ago
nodejs-swap-case                  nodejs-sig, orphan               5 weeks ago
nodejs-tar-stream                 nodejs-sig, orphan               5 weeks ago
nodejs-title-case                 nodejs-sig, orphan               5 weeks ago
nodejs-tough-cookie               nodejs-sig, orphan               5 weeks ago
nodejs-upper-case                 nodejs-sig, orphan               5 weeks ago
nodejs-upper-case-first           nodejs-sig, orphan               5 weeks ago
nodejs-util                       nodejs-sig, orphan               5 weeks ago
nodejs-vary                       nodejs-sig, orphan               5 weeks ago
nodejs-verror                     nodejs-sig, orphan               5 weeks ago
nodejs-xregexp                    nodejs-sig, orphan               5 weeks ago
nodejs-yargs                      nodejs-sig, orphan               5 weeks ago
nodejs-zip-stream                 nodejs-sig, orphan               5 weeks ago
prover9                           orphan                           3 weeks ago
python-deltasigma                 orphan                           2 weeks ago
python-django-notifications-hq    orphan                           4 weeks ago
python-jabberbot                  orphan                           3 weeks ago
python-port-for                   orphan                           4 weeks ago
pywebkitgtk                       ivazquez, orphan, walters        0 weeks ago
qblade                            orphan                           7 weeks ago
rubygem-chunky_png                mmorsi, orphan                   1 weeks ago
rubygem-codemirror-rails          orphan                           1 weeks ago
rubygem-compass-960-plugin        orphan                           1 weeks ago
rubygem-fog                       orphan                           6 weeks ago
rubygem-fog-atmos                 orphan                           6 weeks ago
rubygem-fog-brightbox             orphan                           6 weeks ago
rubygem-fog-ecloud                orphan                           6 weeks ago
rubygem-fog-profitbricks          orphan                           6 weeks ago
rubygem-fog-radosgw               orphan                           6 weeks ago
rubygem-fog-riakcs                orphan                           6 weeks ago
rubygem-fog-sakuracloud           orphan                           6 weeks ago
rubygem-fog-serverlove            orphan                           6 weeks ago
rubygem-fog-softlayer             orphan                           6 weeks ago
rubygem-fog-storm_on_demand       orphan                           6 weeks ago
rubygem-fog-terremark             orphan                           6 weeks ago
rubygem-fog-vmfusion              orphan                           6 weeks ago
rubygem-fog-voxel                 orphan                           6 weeks ago
rubygem-jnunemaker-matchy         orphan, tdawson                  4 weeks ago
rubygem-kaminari                  orphan                           5 weeks ago
rubygem-map                       orphan                           4 weeks ago
rubygem-multipart                 orphan                           6 weeks ago
rubygem-rabl                      orphan                           7 weeks ago
rubygem-riot                      orphan                           7 weeks ago
rubygem-sprite-factory            orphan                           2 weeks ago
rubygem-webrat                    mmorsi, orphan                   1 weeks ago
sphinxbase                        jjames, orphan                   7 weeks ago
sphinxtrain                       jjames, orphan                   7 weeks ago
synaptic                          moceap, orphan                   8 weeks ago
thermald                          dbenoit, orphan                  3 weeks ago

Wer also einem dieser Pakete helfen will, z.b. weil bald eine Kniespiegelung ansteht und man Aeskulap als Viewer braucht, der kann sich vertrauensvoll an Miro Hrončok <mhroncok@redhat.com> wenden.

Linux nicht der Rede wert, Heise?

Wir schreiben den 9.4. 2019 und Heise hat folgenden Aufmacher :

c’t Security 2019: Zu viel Sicherheit kann schaden

In dem Inhaltsverzeichnis der c’t Security Ausgabe 4.2019 fehlt eine OS Gruppe: Linux. Ist das jetzt gut oder  schlecht, daß die neue c’t  Security Linux als eigen Punkt ausspart ? Ich habe die Gelegenheit benutzt und bei der Heiseredakteurin Ilona Krause nachgefragt.

… jetzt müßte eigentlich Jepardy Musik kommen …

Die Zeit verfliegt …. über die Straße ins Baugebiet…

… „und am Fenster zieht Wolfsburg vorbei“ …

Tja, 9 Tage später und keine Antwort von Frau Krause.

Dann hier aus Transparenzgründen die Fragen, damit nicht einer glaubt, daß diese unzumutbar gewesen wären:

Gesendet am 9.4.2019:

Guten Tag Frau Krause,

Sie haben heute die neue c’t Security 2019 vorgestellt. Ich nehme an, Sie haben sich auch mit dem Inhalt beschäftigt.

Ich hätte da vorab einige Fragen an Sie, da die Ausgabe ja noch nicht erhältlich ist. Die Antworten sollen in meinem Blog veröffentlicht werden, daher bitte nur antworten, wenn Sie damit einverstanden sind. Frage und Antworten werden ungekürzt und unbearbeitet übernommen, außer Grammatik und Rechtschreibung 😉

1.  In der Abteilung Sicherheits-Checklisten wurden einige Betriebssysteme aufgeführt, eins aber ausgelassen: Linux. Wieso?

2. Kann man für Linux eine Antischadsoftwarelösung empfehlen, die wirklich funktioniert?

3. Sie führen in den Checklisten eine Software auf, die vom Amtsgericht Bad Hersfeld als gesetzeswidrig eingestuft wurde: WhatsApp.

Empfehlen Sie diese ganz zu löschen oder unterstützen Sie die Bürger und Bürgerinnen aktiv bei Gesetzesverstößen 😉 ?

( Anmerkung: Mir ist natürlich auch klar, daß es die User sind, die sich dessen nicht klar sind und deswegen gegen Gesetze verstoßen. Die Frage lautet also eigentlich: Müßte man das totschweigen, um nicht
aktiv bei der Verbreitung mitzuwirken? )

4. In der Vergangenheit haben die c’t Redakteure z.b. im Uplink 22.9 bereits über die USB-Stick Verschlüsselung diskutiert.

Kleine Zusammenfassung:
https://marius.bloggt-in-braunschweig.de/2018/07/02/wie-man-besser-usb-sticks-verschluesselt-mit-linux/

Hat sich die Meinung der Redaktion im Vergleich zum Uplink 22.9 geändert?
Seht Ihr LUKS jetzt als eine Alternative an ? (Bitte mit Begründung.)

5. und letzte Frage:  Wieso gibt es keinen Artikel mit dem Thema
„Sicherheit durch Umdenken – Eine Liste mit Dingen, die man einfach nicht macht“ ?

Mir schwebt da so das übliche vor:

„Attachments nur von Emails öffnen, die man selbst angefordert hat“
„Nicht auf jeden Link klicken, ohne die Maus vorher drüber gehalten zu haben“
„Nicht jede App einfach installieren, gerade wenn die nur 100 Downloads hat.“
„Betriebssysteme einsetzen die nicht selbst schon Spionagetätigkeiten durchführen.“
„Eine Smart-Alarmanlage bei Aldi kaufen“
„Den Kühlschrank nicht ans Internet hängen“

so in der Art. Die eine oder andere These wird sicherlich in einem Spartenbeitrag enthalten sein, z.B. NoScript in Seite 143 Webbrowser. Die Frage die sich mir stellt ist, wäre eine Not-Todo-Liste nicht die bessere Herangehensweise, weil diese das Konzept der „Sicherheit durch Hirneinschalten“ sehr viel besser abbilden würde und so zu einem langfristigen Umdenken der Leser führt, statt zu dem Gedanken „Technik macht das schon“, der ja nachweislich falsch ist ?

Ich freue mich jetzt schon auf Ihre Antwort.

 

Jetzt Ihr alle selbst urteilen, ob es so clever war, nicht darauf zu antworten, oder ob ich mich im Ton oder den Fragen vertan habe.

Kleine Anmerkung zu WhatApp:

Das Gericht hat die pauschale und ungehinderte Weitergabe der Kontaktdaten aus dem Telefonbuchs des Handies an WhatsApp als gesetzwidrig erkannt und daraus abgeleitet, daß der Einsatz von WhatsApp SO nicht erlaubt ist. Wenn man vor der Installation von WhatsApp die Kontakte gefragt hat und alle zugestimmt haben, wäre es erlaubt.

Nur dieser letzte Umstand rettet WhatsApp vor dem Status: „illegal“. Aber da kaum jemand seine Kontakte vorher fragt, wird das halt eigentlich in der Praxis „nicht legal benutzt“, daher müßte man das ja mal breiter aufklären und deswegen auch die Frage 😉