LUKS2: CVE-2020-14382 – out of bounds write

Zeit für ein Update von CryptSetup: CVE-2020-14382

LUKS2: CVE-2020-14382 – out of bounds write

CryptSetup ist das Tool, daß Luks Container, egal ob als Datei oder Festplatte, einhängt und/oder bearbeitet. Eine Lücke im Speicherhandling von CryptSetup kann von einem Angreifer ausgenutzt werden, indem er einen manipulierten Container einer anfälligen Version von CryptSetup präsentiert, was z.B. durch das Einstecken eines USB Sticks ausgelöst wird.

Die Lücke in CryptSetup sorgt dafür, daß weniger Speicher allokiert wird, als tatsächlich angegeben ist, aber von dem manipulierten Inhalt des Containers aufgrund mangelnder Grenzprüfungen, überschrieben werden kann. Damit gelangt ggf. Code an eine Stelle, die von einem anderen Prozess genutzt wird. Die Lücke CVE-2020-14382 kann also ggf. zu Arbitrary-Code-Execution führen, wenn es im System dumm läuft.

Daher empfehle ich Euch kurz mal nach dem Zustand Eures CryptSetup Befehls zu schauen und ggf. zu Updaten, denn auch wenn Ihr selbst keine Festplattenverschlüsslung benutzt, es reicht, daß das Paket auf dem System installiert ist und jemand einen USB Stick einsteckt.

Kleine Anmerkung zur Lage

Falls Ihr die Red Hat Securityliste lest, ist Euch auch aufgefallen, daß da heute ein ganzes Rudel (70+) Sicherheitsadvisories gekommen sind und die Bugs größtenteils Nummern aus 2018 und 2019 tragen? Ich glaube, da ist etwas arg schief gelaufen bei Red Hat.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Düstere Zeiten kommen auf Kim Schmitz alias Kim Dotcom zu, denn Neuseeland ist der Meinung Ihn in die USA ausliefern zu dürfen.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Kim Schmitz, der laut Aussagen von CCC Mitgliedern als Möchtegernhacker allen auf den Sack gegangen ist, sich auf einer spektakulären Flucht dilettantisch fangen lies und dann erst im Security Beraterbusiness durchfiel, um doch noch (illegal) Geld zu verdienen, in dem er und seine Gang MegaUpload ins Leben riefen, wo hauptsächlich Raubkopien zum beschleunigten Download angeboten wurden, darf jetzt nach 8 Jahren Auslieferungsprozess in die USA überstellt werden, wo er bestenfalls als gertenschlankes Skelett wieder aus dem Knast kommen dürfte.

Das Manager-Magazin beschrieb in nach seiner Flucht mal so: „Kim Schmitz, der schwergewichtige Exot unter den Dotcom-Blendern, hat sich aus dem Staub gemacht.“ 🙂

Wie man so lesen kann, hatten da wohl dunkle Münchner Geldverleiher einen nicht unerheblichen Anteil dran, als sie Ihr Geld von Kim alias Kimble haben wollten. Das ist aber auch eine echt blöde Idee der Lokalmafia einen sechstelligen Betrag mit einer 6 vorn zu schulden und sich dann abzusetzen 😉

FBI vor der Villa von Kim Schmitz 2012

Das Portal TorrentFreak berichtete vor 12h, daß sich die Richter in seinem Prozess wegen Copyright-Verstößen an die USA ausgeliefert werden darf. Ihm bleibt jetzt nur noch eine Anrufung auf Neubegutachtung einer Entscheidung der unteren Instanzen zu, weil die die Einwände der Verteidiger als Prozessbehinderung abgelehnt hatten, was der Oberste Gerichtshof anscheinend anders sieht. Zu dem Prozess war es ursprünglich gekommen, weil die USA einen Haftbefehl in Neuseeland u.a. durch eigene FBI Kräfte hat vollstrecken lassen, um Kim und Gang den Prozess wegen Geldwäsche und Copyright-Verstößen auf Ihrer Mega-Upload Plattform zu machen.

Damals dachte die USA noch, sie könnte Kim und seine 3 Mitangeklagten direkt mitnehmen, was die Neuseeländer etwas anders sahen und das zu einem Megaprozess führte, der von 2012 bis heute lief. Mit immer neuen Tricks versuchten die Anwälte zu beweisen, daß das was die Angeklagten getan hatten, in Neuseeland gar kein Verbrechen wäre, denn das Auslieferungsabkommen mit den USA sieht vor, daß es nur für Straftaten anwendbar ist, die auch in Neuseeland eine Straftat sind. Hat aber alles nichts genutzt, außer, daß man ihn schon einmal nicht wegen Geldwäsche ausliefern kann, den Straftatbestand gibt es in Neuseeland scheinbar gar nicht.

Das fragliche Geschäftsmodell lief so:

Kim & Gang stellten eine Uploadplattform zur Verfügung, wo sich jeder kostenlos anmelden konnte, um Sachen hochzuladen, damit andere sie downloaden konnten. Eine halb-öffentliche Cloud würde man das wohl heute nennen, im Prinzip Youtube ohne Livestreaming und Kontrolle. Kim & Gang argumentierten damit, daß sie als Provider von der Haftung für Kundeninhalte befreit wären. Das Geld wurde mit Abos verdient, welche die klägliche Downloadrate nicht angemeldeter Nutzer in High-Speed-Zugänge umgewandelt hat. d.b. die Downloader haben die Plattform finanziert, weil sie nicht solange auf Inhalte warten wollten. Das klappt natürlich nur, wenn man dort etwas downloaden kann, daß einen wirklich interessiert z.B. Musik, Spielfilme und Serien in HQ, Bücher, Cracksoftware usw. Dafür muß dieser Inhalt natürlich vorhanden sein, sonst kommt ja keiner zum Downloaden 😉 Daher war der Upload kostenlos möglich und nur der Download limitiert.

Das FBI ist der Meinung schlüssig beweisen zu können, daß Kim & Gang Kriminelle dafür bezahlt haben, Ihre Inhalte auf Mega-Upload hochzuladen, damit die Kunden einen Grund haben, weiter die Abos zu zahlen oder damit sie überhaupt erst zur Plattform kommen. Deswegen kam es zum Prozess, denn dies ist von keinem Provider-Privilege gedeckt, das ich kenne 😉 Da es bei Mega-Upload also um ein kriminelles Unternehmen ging, ist aus Sicht der USA  alles was da an Geld geflossen ist, Geldwäsche bzw. Wire-Fraud (alle Straftaten die über Metalldrähte abgewickelt werden: Telefon & Internet ). Das wird dort empfindlich bestraft und da darf sich Kim jetzt schon mal drauf freuen, denn einmal an die USA ausgeliefert kann ihn Neuseeland nicht mehr beschützen. Damit dürfte die Dauerparty wohl bald zu ende sein.

Quellen:

https://www.manager-magazin.de/unternehmen/karriere/a-176329.html

Kim Dotcom Can Be Extradited To The United States, Subject to Judicial Review