ClamAV < 0.102.3 mit DOS Schwachstelle

Derzeit ist kein Update für Fedora in Sicht, daher ggf. den Mailserver so umkonfigurieren, daß er keine PDF Files scannt.

Update 14.5.: die Updates für Fedora stehen bereit. Es wird aber noch etwas dauern, bis die in den Stables sind. Im Koji kann man sich die Builds für FC30-FC33 bereits ziehen. Exemplarisch für FC30, wäre das hier:

https://koji.fedoraproject.org/koji/search?terms=clamav-0.102.3-1.fc30&type=build&match=glob

Für FC30 haben wir den Build ausprobiert. er funktioniert. kann also bedenkenlos eingespielt werden.

Eilmeldung: ClamAV mit DOS Schwachstelle

Leider ist derzeit keine Fedora Version in der Mache für diese Schwachstelle:

Versionen: ClamAV < 0.102.3

In ClamAV bestehen mehrere Schwachstellen bei der Verarbeitung von bösartigen ARJ Archiven und PDF Dateien. Ein Angreifer kann dadurch den Virenscanner zum Absturz bringen. Zur Ausnutzung genügt es, eine entsprechende ARJ oder PDF Datei mit ClamAV zu scannen.

Hier die Meldung komplett:

ClamAV 0.102.3 is a bug patch release to address the following issues:

  • CVE-2020-3327: Fixed a vulnerability in the ARJ archive-parsing module in ClamAV 0.102.2 that could cause a denial-of-service condition. Improper bounds checking of an unsigned variable results in an out-of-bounds read which causes a crash. Special thanks to Daehui Chang and Fady Othman for helping identify the ARJ parsing vulnerability.
  • CVE-2020-3341: Fixed a vulnerability in the PDF-parsing module in ClamAV 0.101 – 0.102.2 that could cause a denial-of-service condition. Improper size checking of a buffer used to initialize AES decryption routines results in an out-of-bounds read, which may cause a crash. OSS-Fuzz discovered this vulnerability.
  • – Fixed „Attempt to allocate 0 bytes“ error when parsing some PDF documents.
  • – Fixed a couple of minor memory leaks.
  • – Updated libclamunrar to UnRAR 5.9.2.

Das hat wohl einige kalt erwischt, als das Bürger-CERT dazu heute eine Warnung rausgehauen hat. Ich werde Euch Informieren, wenn sich das ändert.

Quellen:https://blog.clamav.net/2020/05/clamav-01023-security-patch-released.html

 

Installer loggen LUKS Passwort mit

Moin, Moin,

na auch schon die Platte aufgeräumt und die alten Installerlogfiles gelöscht?

Installer loggen LUKS Passwort mit

Ubuntu ist da mal was „passiert“ was wohl auch anderen Installern in der Gemeinde passiert sein könnte:

https://bugs.launchpad.net/ubuntu/+source/curtin/+bug/1878115

Der Bugreporter hat festgestellt, daß sein Ubuntuinstaller sein LUKS Festplattenpasswort einfach mal mit ins Logfile geschrieben hat. Diese Datei liegt zwar in der verschlüsselten Platte selbst, könnte aber durch einen „Besucher“ geleakt werden oder in Backups gefunden werden, die nicht auch in der Krypto vergraben wurden.

Da hat der Bugreporter wohl recht, auch wenn ich das Risiko als äußerst gering ansehe. Die Logfiles landen z.B. bei Anaconda üblicherweise in /root/, wenn da ein Besucher dran kommt, hat man ganz andere Probleme als das es da drinsteht. Insofern: gut gebrüllt, Kätzchen 😀

CoronaChroniken: RKI – Neue Grundlage für R

Liebe Kasernierte,

der Aufreger des Tages: Das RKI hat eingesehen, daß Ihre Grundlage für R wenig Aussagekraft hat, weil es zu sehr springt.

CoronaChroniken: neue Grundlage für R – TOLD YOU SO!

Da das bisherige Verfahren für die Ermittlung von R zu stark springt und damit keine Vorhersage ( oder überhaupt eine Aussage ) möglich war, stellt das RKI jetzt intern auch (endlich) auf eine geglättete Kurve um, wie Sie bei mir schon seit 2 Monaten zum Einsatz kommt und aus der „mein“ R abgeleitet wird.

Das RKI behaart zwar noch auf seiner modellierten Kurve mit Ansteckungsdatum und fiktiven Heilungsdatum, aber niemand ist perfekt 😉 Sie werden noch merken, daß Ihnen das wenig nutzt.

Ich fände ja einen Graphen toll, wo nur der Infektiösezeitraum enthalten ist. Das wäre mal eine genaue Kurve für eine Vorhersage.

Besser oder Schlechter?

Mit meinem R ist nur eine Nachbetrachtung der Lage möglich. Da ein Neuinfizierter nicht gleich zum Arzt geht, wird er ggf. erst später in die Kurve eingebaut, weswegen das RKI korrekterweise auch die Meldedaten berücksichtigt. Wenn man auf die Infektiösephase eines Menschen für die Berechnung von R abzielt, dann wäre das Erkrankungsdatum wichtig.

Ich bezweifle allerdings, daß wir das jemals genau erfassen können, da die Inkubationszeit von 5 – 10 Tagen schwankt. Da könnte man nur mit einem Fenster arbeiten, aber bei der Spanne von 100% Schwankung wäre das wenig hilfreich. Das „NOWCasting“ ( über den Begriff könnte ich noch jahrelang herziehen ) soll vermutlich genau das berücksichtigen, was IMHO nicht berücksichtigt werden kann.

Bei der Sache wären ja noch die Schwankungen bei der Zeit die es dauert Antikörper auszubilden einzubeziehen. Da dies ein weiteres Fenster ist, weil es einige schneller und andere langsamer schaffen, ist auch wieder ein Unsicherheitsfaktor mehr im Spiel. Ich wette, daß im RKI so eine Berechnung versucht wird. Da würde ich gerne zusehen 🙂

Wichtig für uns sollte sein, daß jetzt beide Rs auf geglätteten Kurven aufbauen und damit ein besseres Bild der Situation möglich ist. Weniger Panikmeldungen werden die Folge sein und damit ein entspannterer Umgang mit dem „Problem“.

PS: Das Schreiben des gemaulkorbten Bundesinnnenministeriumsmitarbeiters ist geleakt worden: Es sei gesagt, es ist nicht die offizielle BMI Meinung zu dem Thema