Monthly Archives: Januar 2024

Fedora All: Root-Exploit in der glibc

Posted on by

Heute, händische Updates sind angesagt, wenn Ihr z.b. Server betreibt, weil in allen Glibc Versionen in Fedora & Anderen Distros ein Root-Exploit ist.

Fedora All: Root-Exploit in der glibc

Die Updates sind erst gestern auf den Testserver gekommen und nicht als CritPathupdate markiert worden, was meint, ohne Karma von Betatestern werden die Updates erst in 2 Wochen eingespielt, wenn sie automatisch ins Stable gepusht werden.

Tue Jan 30 2024 Patsy Griffin <patsy@redhat.com> – 2.37-18

  • Auto-sync with upstream branch release/2.37/master,commit 2b58cba076e912961ceaa5fa58588e4b10f791c0:

  • syslog: Fix integer overflow in __vsyslog_internal (CVE-2023-6780)

  • syslog: Fix heap buffer overflow in __vsyslog_internal (CVE-2023-6779)

  • syslog: Fix heap buffer overflow in __vsyslog_internal (CVE-2023-6246)

  • sunrpc: Fix netname build with older gcc

Golem war so freundlich das mal auszuformulieren:

„Sicherheitsforscher von Qualys haben mehrere Schwachstellen in der weitverbreiteten Gnu-C-Bibliothek (glibc) entdeckt. Eine davon, registriert als CVE-2023-6246, bezieht sich auf die Funktion __vsyslog_internal() und ermöglicht es Angreifern, in der Standardkonfiguration mehrerer gängiger Linux-Distributionen einen Root-Zugriff zu erlangen, indem sie einen Heap-Pufferüberlauf auslösen. Der Angriff erfolgt über die häufig genutzten Logging-Funktionen syslog() und vsyslog().“
Quelle: https://www.golem.de/news/debian-ubuntu-und-mehr-glibc-schwachstelle-ermoeglicht-root-zugriff-unter-linux-2401-181724.html

Was Fedoranutzer jetzt machen müssen sieht so aus:

dnf -y update –enablerepo=updates-testing glibc

Und was ist mit Dockerimages?

Glückwunsch! Die dürft Ihr ALLE updaten und wenn es keine Updates gibt, dann empfehle ich erst mal abschalten, prüfen, ob es eine Möglichkeit gibt, das EXTERNE den Exploit in den Container befördern können und wenn Ihr das bejaht, dann  dürft Ihr in löschen, oder warten bis sich jemand erbarmt und ein Update für das Baseimage verteilt, wo der glibc Fix dann hoffentlich drin ist.

Die gängigen Containerkonstrukte sind ja soooooo eine gute Idee, das man vor Freude kotzen könnte.

Unsere Server-VMs sind jedenfalls alle save mit einem zentralen Updatebefehl, denkt mal drüber nach 😉

Linux am Dienstag: Programm für den 30.1.2024

Posted on by

Das wird ja immer merkwürdiger mit den IT-Nachrichten, son richtiges Sommerloch. Zeit sich mal anzusehen, was man mit xrandr treiben kann.

Linux am Dienstag: Programm für den 30.1.2024

u.a. im Programm am 30.1.2024, ab 19 Uhr:

  • Security – Kritische Lücke in Jenkins
  • Vortrag – xrandr und Dein Monitor (Marius)
  • Cyberkrieg – Russland verliert Petabytes an Satelitendaten
  • Sicherheit – Die Süd-Westfalen-IT wurde per Bruteforce gehackt.
  • Sicherheit – NSA kauft im geheimen Deine Browserdaten auf

und andere IT-Newsbeiträge aus aller Welt. Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Hinweis: Die bisherigen Vorträge findet man unter https://linux-am-dienstag.de/archiv/ .

Verhältnis von TLS 1.2 zu TLS 1.3 und was uns das sagt

Posted on by

Vor einigen Tagen hatte ich ja den Proofe Point Fall mit der veralteten TLS-Suite bei Proofe Point. Da wollte ich mal was wissen 🙂

Verhältnis von TLS 1.2 zu TLS 1.3 und was uns das sagt

Das ist hier eine repräsentative Stichprobe von unseren Mailservern, also nicht von allen, weil ich nur den Trend wissen wollte:

man sieht über 4 Wochen einen höheren Anteil von TLS 1.3 VerbindungenDas Verhältnis ist recht konstant 45% zu 55%, verbessert sich aber leicht zu 44% zu 56% in 2024.

Wer aufgepasst hat weiß jetzt was uns das sagt

Nämlich das 45% aller Mailserver die uns was senden, nur um die ging es, völlig veraltet oder fehlkonfiguriert sind.

Für alle die, die die Aussage nicht verstehen: Weil die sonst TLS 1.3 gesprochen hätten, denn das ist in der Wertung die stärkere Verschlüsselung und würde beim Handshake priorisiert werden von den Mailserver-SSL-Suites.

Natürlich sind „45% die uns was senden“ nicht gleich automatisch 45% aller weltweiten Mailserver, sondern eben nur derer die mit meinem Cluster gesprochen haben. Ganz wichtig, das könnten immer die gleichen Mailserver sein und sich lediglich aufgrund der Menge der Verbindungen in die Statistik einbringen. Das auszuwerten wäre jetzt aber aufgrund der vielen Netze viel zu aufwändig.

Es wäre also besser zu sagen: „45% aller Verbindungen zu uns, stammen von Mailservern mit veralteter Software“.

Wenn das mit Elliptic Curve Zertifikaten richtig durchstartet, dann knallt es in der Mailgemeinde.

SMTP: pphosted.com trifft auf moderne SSL-Technik