libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

„WOW“ entfleuchte es mir vorhin kurz, deswegen kommt Ihr jetzt in den Genuß einer drei Jahre alten Sicherheitslücke kommt.

libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

Beim Durchsehen von Securityadvisories bei Red Hat Enterprise Linux stolperte ich über eine CVE Nummer aus 2017:

* libvncserver: websocket decoding buffer overflow (CVE-2017-18922)

For more details about the security issue(s), including the impact, a CVSS
score, acknowledgments, and other related information, refer to the CVE
page(s) listed in the References section.

Da nicht dabei stand, was da los war und wieso das erst jetzt gefixt wurde bei Red Hat, habe ich kurz recherchiert. Was dabei raus kam war diese Meldung von Red Hat:

Date: Tue, 30 Jun 2020 10:50:09 +0200
From: Stefan Cornelius <scorneli@...hat.com>
To: <eine Distri übergreifende ML>
Subject: libvncserver: old websocket decoding patch

Hi,

Upstream libvncserver fixed a websocket decoding issue >3years ago in
https://github.com/LibVNC/libvncserver/commit/aac95a9dcf4bbba87b76c72706c3221a842ca433

AFAICT, this never got a CVE and wasn't backported by some
distributions.

Thanks and kind regards,

[I sent a heads-up about this to distros last Friday, 'embargo' ran out
on Monday 20:00 UTC]
-- 
Stefan Cornelius / Red Hat Product Security

Da fixt also jemand eine drei Jahre alte Sicherheitslücke, weil die damals wohl keine CVE Nummer bekommen hatte, oder jemand diesen Umstand übersehen hat. (Könnte ja auch den besten mal passieren). Wäre das jetzt irgendeine schwer auszunutzende Lücke gewesen, hätte ich das achselzuckend abgehakt, aber das war es nicht.

In der NIST Datenbank findet sich nämlich das hier dazu:

It was discovered that websockets.c in LibVNCServer prior to 0.9.12 did not properly decode certain WebSocket frames. A malicious attacker could exploit this by sending specially crafted WebSocket frames to a server, causing a heap-based buffer overflow.

Severity

Base Score: 9.8 CRITICAL
Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
9.8 von 10.0 möglichen Punkten auf der Destruktionsskala, also eine leicht auszunutzende Lücke, die ohne Autorisierung am System funktioniert und eine Übernahme des Servers ermöglicht. Und DAS haben die übersehen… => WOW!
Als wenn das nicht schon genug wäre, kommt bei der Durchsicht der Updatemeldungen bei Fedora raus, das da gleich noch 3 andere jahrealte mit CVE Nummern versehen Sicherheitslücken gestopft wurden:
[ 1 ] Bug #1849877 – CVE-2019-20839 (Score 7.5) libvncserver: „ConnectClientToUnixSock()“ buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1849877
[ 2 ] Bug #1849881 – CVE-2019-20840 (Score 7.5) libvncserver: unaligned accesses in hybiReadAndDecode can lead to a crash https://bugzilla.redhat.com/show_bug.cgi?id=1849881
[ 3 ] Bug #1849886 – CVE-2018-21247 (Score 7.5)  libvncserver: uninitialized memory contents are vulnerable to Information Leak https://bugzilla.redhat.com/show_bug.cgi?id=1849886
[ 4 ] Bug #1852356 – CVE-2017-18922 (Score 9.8) libvncserver: websocket decoding buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1852356
Also das ist sicherheitstechnisch mal gründlich in die Hose gegangen. Jetzt denkt Ihr, betrifft mich nicht, ist ja Fedora und Red Hat.. leider Pech gehabt! betroffen sind auch:  OpenSUSE & Ubuntu. Man darf annehmen, daß Arch & Debian auch mit von der Partie sind. (kann ja mal kurz wer verifizieren, der die jeweiligen Updatesysteme kennt)

Quelle: https://nvd.nist.gov/vuln/detail/CVE-2017-18922
Quelle: https://www.openwall.com/lists/oss-security/2020/06/30/2

Wieder Baustelle auf dem Mittelweg

Es ist wieder mal soweit, eine Baustelle an der Einmündung Nordstraße/Mittelweg sorgt für Verkehrsprobleme.

Man sieht Absperrungen, Baustellenfahrzeuge, die EinmündungDie Arbeiten an einem Kabelschacht, der, oh Wunder der Koordination des Tiefbauamtes, keinen Meter von der letzten Baustelle aus Juli entfernt liegt, soll den Verkehr auf dem jeweils einseitig gesperrten Mittelweg und der Nordstraße bis zum 6.8.2020 beeinträchtigen. Hat man mir wenigstens versprochen 🙂

Mittelweg und Nordstraße sind jeweils einseitig nicht passierbar, die Nordstraße wurde allerdings zur Einbahnstraße erklärt. Wie man auf dem Foto sieht, kann man da jetzt nur noch rein fahren 🙁 Zu Staus oder ähnlichen Beeinträchtigungen wie beim letzten Mal, ist es heute noch nicht gekommen, trotz einsetzendem Feierabendverkehres.

CoronaChroniken: Einschätzung des Bundesamt für Arzneimittel

Moin Moin liebe Maskenträger,

bei der Quellenüberprüfung in Sachen Community-Maske ergab sich keine grundlegende Änderung seitens der Schutzwirkung von Community-Masken.

CoronaChroniken: Einschätzung des Bundesamt für Arzneimittel

Den aktuell gültigen Stand ( 26.6.2020 ) der Aussage findet Ihr hier:

„Schutzwirkung: i.d.R. nicht nachgewiesen;
durch das Tragen können Geschwindigkeit des Atemstroms oder Speichel-/Schleim-Tröpfchenauswurfs reduziert werden“ Quelle: bfarm.de – Schutzmasken.html

Auszug aus dem Digitalen Wörterbuch der Deutschen Sprache zu „können“ :

2. ⟨jmd. kann etw. tun⟩ drückt aus, dass der im Infinitiv genannte Prozess oder Zustand auf Grund bestimmter Umstände oder Voraussetzungen möglich ist

Für alle Nicht-Spachnerds, meint : „‚möglich ist‘ … aber nicht eintreten muß.“

Bevor mich jetzt jemand in den Topf mit dem Protestaufmarsch in Berlin am ersten August Wochenende wirft, ich bin nur gegen unsinnige Maßnahmen. Würden wir FFP Masken mit nachgewiesener Schutzwirkung bekommen (und ich damit noch kucken könnte wo ich hinlaufe) wäre ich wahrscheinlich sogar dafür, aber so wie es jetzt ist, ist es halt Quatsch. Gegen die <5µm Viruspartikel, welche stundenlang in der Luft schweben können, die die eigentliche Gefahr im Supermarkt sind, gegen die schützt die Stoff-Gesichtsmaske halt nicht.
Gegen eine Schmierinfektion, weil man seine Hände nicht von kontaminierten Flächen lassen konnte, und diese nun unbedingt zum Kratzen an der Nase benutzen muß, da wird diese Maske einen kleinen Beitrag leisten können. Allerdings ist das reiner Eigennutz, jemand anderen schützt man so nicht.

Aber ich kann ja viel schreiben, lassen wir doch mal die Experten zu Wort kommen:

Träger der beschriebenen Mund-Nasen-Bedeckungen können sich nicht darauf verlassen, dass diese sie oder andere vor einer Übertragung von SARS-CoV-2 schützen, da für diese Masken keine entsprechende Schutzwirkung nachgewiesen wurde.“ Quelle: bfarm.de – Schutzmasken Stand: 3.8.2020

Offizielle Bundesbehörde – offizielle Erklärung – QED.

Eine Aussage einer anderen Bundesbehörde gefällig? Bitte schön:

Bundesanstalt für Arbeitsschutz und Arbeitsmedizin:

Mund und Nasebedeckung“ – Einsatz für Private Nutzer : „denkbar¹“

¹) sinnvoll als ergänzende Maßnahmen zur allgemeinen Hygiene- und der Abstandsempfehlung, für alle Personen im öffentlichen Raum einschließlich der Beschäftigten

Stand: 12.6.2020  Quelle: baua.de – Schutzmasken.pdf

Synonyme für „denkbar“ : „vielleicht“, „möglicherweise“, „nicht ausgeschlossen“, „kann sein“, „soll vorkommen“, usw. „Wissen“ und „Schutz“ sieht anders aus 😉

Für Personal, welches mit Infizierten oder auch nur Verdächtigen arbeiten muß, wird übrigens im gleichen PDF eine FFP3 Maske empfohlen, weil das Schutzniveau der anderen Masken nicht ausreicht. Warum machen sich die Leute also noch etwas vor?

Da habe ich einigen Tagen eine schöne Erklärung für gehört: Es liegt am Verlangen des Menschen Kontrolle über sich und sein Schicksal auszuüben. Dies führte direkt zum Regentanz, Opferungen und anderem Unsinn. A hat halt nicht immer was mit B zu tun.