Monthly Archives: August 2020

Schwachstellen im Apache Webserver < 2.4.44

Posted on by

Wer Apache als Webserver einsetzt, sollte jetzt aufpassen, denn wir haben jeweils eine  RCE und eine DOS Schwachstelle.

Schwachstellen im Apache Webserver < 2.4.44

In Apache wurden drei Schwachstellen identifiziert und im August behoben. Leider hat man u.a. bei Fedora vergessen, das publik zu machen, deswegen hier die Erinnerung für Euch:

Im HTTP2 Modul sind zwei Schwachstellen enthalten, die zum Crash führen und damit als DOS (Denial of Service) gelten:

important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)

Beide Schwachstellen kann man auch per Konfigurationsänderung abwehren, falls man keine gepatchten Webserver bekommen kann, oder noch nicht hat:

Je nachdem was Ihr für eine Distro habt, wird HTTP2 an verschiedenen Stellen aktiviert. Bei Fedora bietet sich an, eine eigene kleine Config in conf.modules.d/ anzulegen. In die Datei kommen zwei Einträge:

99-mitigate-http2.conf:

H2Push off
LogLevel warn mod_http2.c:error

Dann mit „systemctl httpd restart“ den Server neustarten. Die erste Anweisung behebt die 2020-9490 und die zweite sagt dem HTTP2 Modul, es soll nur kritische Sachen loggen, anstatt auch Warnungen. Das ist wichtig, da Angreifer über einen provozierten Fehler den Logging-Pool der Prozesse stören können und das führt dann zum Crash, was aber nur geht, wenn der Fehler auch geloggt wird.

moderate: mod_proxy_uwsgi buffer overflow (CVE-2020-11984)

Wer mit dem WebSocket Proxy uwsgi arbeitet, der muß updaten, eine Mitigation der möglichen Remote-Code-Schwachstelle ist nicht möglich. Bis zum Update kann man das Modul auch abschalten:

Für Fedora wäre das hier in conf.modules.d/00-proxy.conf:

# LoadModule proxy_uwsgi_module modules/mod_proxy_uwsgi.so

Einfach ein # vor die Ladeanweisung und den Webserver mit „systemctl httpd restart“ neustarten. Natürlich funktionieren die Proxy Tunnel, die auf „uwsgi:://server:port/uri“ lauten, dann nicht mehr. Habt Ihr noch einen vhost konfiguriert, der das benutzen möchte, wird der Start des Webservers nicht funktionieren.

Updates vorhanden

Updates auf die 2.4.46 liegen für Fedora bereit. Für alle, die Ihre Server per Autoupdate versorgen, hat sich das Problem damit bereits erledigt.

Spammer sind so blöd, das schreit förmlich nach einer eigenen Meisterschaft

Posted on by

Vor ein paar Tagen erreichte uns ja diese Phisingmail mit dem Docx Anhang eines Dienstes, mit dem wir unmöglich in Verbindung stehen können: Aber natürlich will ich wissen, was für ein Docx da auf mich wartet! . Die Geschichte geht in die 2. und 3. Runde, und das … gleichzeitig \o/

Spammer sind so blöd, das schreit förmlich nach einer eigenen Meisterschaft

Zeitgleich liefen heute zwei Emails ein, die alle „von uns“ wären und „an uns“ gesendet wurden 😉 Klar, wir sind komplett schizo und wissen nicht was wir uns so mailen, besonders in einer uns „fremden“ Sprache 😀

Mail 1:

Betreff: Hello info@{eineunsererdomains} your email server is temporarily blocked, kindly verify urgently to avoid closurel

Email server indicates that your mail server account has low security verification, this means that sending and receiving of mail messages for your mail server has been temporarily blocked until a verification process has been done. Therefore you MUST verify your mail server account to avoid the termination of the mail server access.<br><br>Kindly click below to sign in and verify your mail account and we will help you take the corrective action automatically.

Kindly click below to sign in and verify your mail account and we will help you take the corrective action automatically.

<hier ein Link zu einem Redirekt auf eine Fake-Seite eines mir völlig unbekannten Dienstes>

Once you have verified your mail server account, the verification process will beupdated automatically

Mail 2:

Empfänger: sales@iqbal-gloves.com
Betreff: Shutdown Notice For info@{eineunsererdomains}

We received your instruction few hours ago to terminate your email info@{eineunsererdomains} account on our server!

Your email will be terminated in: 1:13:36 seconds

[Dicker Button „Stop this action Now!“] [Dicker Button „Ignore warning & shutdown Email“]

Wie Ihr sehen könnt, gehören die oder der eine Phisher zur absoluten Elite und würden die Meisterschaft im Phishen total dominieren 😀  „1:13:36 seconds“ die Typen sind sooooo blöde 😀 Die Links auf den klickbaren Elementen der HTML Email gehen alle zu dem komischen Redirectservice ct.sendgrid.net . Wird Zeit, die URL bei Spamassassin in den Filter einzufügen, die Jungs nerven nur noch 🙂