CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme übernommen werden konnten. Die Lücken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.

Ein Blick auf eine dieser Lücken zeigte, daß diese auch für Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4

„Bug #1890210 – CVE-2020-15999 freetype: heap-based buffer overflow via malformed ttf files“

Red Hat hat dazu im Bugreport geschrieben:

„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“

Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es für Chrome, FireFox, Thunderbird eine schere Sicherheitslücke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zählen auch WebFonts zu, das komplette System übernommen werden.

Diese Lücke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.

Wie kann eine so simple Sache wie einen Fontrendern, zu einer Systemübernahme führen? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome über einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.

Von der Tragweite der Lücke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dürften die früheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafür, daß es ein „us-heimischer“ Dienst war, sonst wären die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.

Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!

Firefox & Thunderbird: neue Remote-Code-Execution Schwachstelle

Warnung vom BSI:

10.11.2020 – TW-T20-0194

Mozilla Firefox/Thunderbird: Schwachstelle ermöglicht Ausführen von beliebigem Programmcode mit Benutzerrechten

Firefox & Thunderbird: neue Remote-Code-Execution

Betroffen sind :

  • Mozilla Firefox < 82.0.3

  • Mozilla Firefox ESR < 78.4.1

  • Mozilla Thunderbird < 78.4.2

Bekannt wurde die Schwachstelle bei einem Hackingwettbewerb in China:

„CVE-2020-26950: Write side effects in MCallGetProperty opcode not accounted for

In certain circumstances, the MCallGetProperty opcode can be emitted with unmet assumptions resulting in an exploitable use-after-free condition.“

Also, Updaten, Updaten.

CoronaChroniken: Das Morgenupdate

Liebe Maskierte,

da ja schon ein anderer Bericht vorliegt, hier nur noch schnell die neuesten Zahlen und Nachrichten im Überblick.

CoronaChroniken: Das Morgenupdate

Eine Studie aus den USA bescheinigt den Coronapatienten eine drastische verringerte Sterblichkeitsrate. Im März/April starben noch rund 25,6% aller Schwererkrankten, im August waren es dann nur noch rund 7,6% (Immer noch deutlich höher als bei uns). Zurückzuführen wäre das hauptsächlich auf verbessere Diagnose und Behandlung der auftretenden Symptome, weil man z.b. jetzt auch wisse, wer von einer mechanischen Beatmung profitiert und wer nicht und welche Medikamente helfen können, so Studienautorin Dr. Leora Horwitz in der New York Times.

Den ersten Impfstoff für Deutschland wird es dann wohl von Biontech geben, da diese Firma eine Experten-Gruppe von der rund 90% Schutzwirkung überzeugen konnte.

Jetzt zu den Zahlen:

Die Kurve flacht ab. Die erste Prognose letzte Woche, war dann noch etwas optimistisch, jetzt pendelt sich das Ergebnis aber langsam ein. Zuverdanken haben wir das nicht dem Lockdown, denn die Tendenz war bereits vor dem Inkrafttreten in den Graphen sichtbar. Siehe Update vom 6.11. .

CoronaChroniken: Weisdin an der B96

Liebe Maskierte,

kleine Nachlese zu gestern Abend.

CoronaChroniken: Weisdin an der B96

Die Polizeimeldung zu dem Vorfall mit dem Corona-Info-Tourbus in Meck-Pom ( https://www.presseportal.de/blaulicht/pm/108770/4757955 ) enthält einige Ungereimtheiten.

Vorsichtig ausgedrückt, suchte nicht der POR Rusch das Gespräch mit den Aufgehaltenen, vielmehr zitierte der Rechtsanwalt der Gruppe einen Verantwortlichen Vorort, um Ihm die Einreiseverbotsanordnung schriftlich zu übergeben, was so nicht passierte. Dem Anwalt und anderen Beteiligten wurde lediglich mündlich eine Anordnung von einem Landrat des Kreises, in dem sie sich derzeit aufhielten, überbracht.

Als der Rechtsanwalt dagegen rechtlich vorgehen wollte, wurde ihm dies auch verweigert, indem er nicht zum zuständigen Gericht fahren durfte um einen Eilantrag gegen die Anordnung zu erwirken. Das wäre aber im Rahmen der Corona-Verordnung ein triftiger Reisegrund nach §5 Absatz 6 gewesen. Daraufhin schlug der Rechtsanwalt vor, jetzt, da es für die Demo ohnehin zu spät wäre, direkt nach Hamburg zu fahren, zur Kontrolle könnte ja ein Einsatzfahrzeug mitfahren. Das wurde auch verweigert, obwohl auch dies ein Ausnahmegrund für die Durchreise nach §5 Absatz 11 wäre.

Im Polizeibericht liest sich das so:

„Den Betroffenen wurde auf Grund geltender Vorschriften der Lenk- und Ruhezeiten sowie der niedrigen Temperaturen und fortgeschrittenen Zeit ermöglicht, zu einem Objekt nach Neustrelitz und von dort aus weiter in Richtung Landesgrenze nach Brandenburg weiterzufahren. Dem haben sie sich ebenfalls widersetzt, da sie widerrechtlich auf dem Objekt in Neustrelitz verblieben sind.“

Komisch, oder? Kein Wort davon, daß der Bus von sich aus nach Hamburg hätte fahren wollen. Das wurde dann wegen der Lenkzeiten tatsächlich knapp, weil sich die Sache stundenlang hinzog.

Weil sich das so hinzog erreichten dann gegen halb 10 die Reste der Demonstranten der eigentlichen Demo den Ort an der B96.  Das liest sich dann so:

„Sie haben das Bundesland MV auf Grund des geltenden Einreiseverbotes zu verlassen. Die Betroffenen waren uneinsichtig und mobilisierten die über 80.000 User; Teilnehmer der Veranstaltungen in Neubrandenburg sowie die Bürgerinnen und Bürger aus Weisdin.“

Die oder ähnliche Worte „Kommt alle her nach Weisdin.“ fielen zu keinem Zeitpunkt, den ich beobachtet habe, da keiner die Sache eskalieren wollte, obwohl diese Spontandemo von Herrn Schiffmann der Sache nicht zuträglich war. Als dann das Zeitfenster für den Busfahrer zu klein wurde, mußte eine Lösung her, also verhandelte man mit der Einsatzleitung. Bürger aus der Region hatten Unterschlupf angeboten. Am Ende wurde das genauso umgesetzt, was sich dann so im Polizeibericht liest:

„Den Betroffenen wurde auf Grund geltender Vorschriften der Lenk- und Ruhezeiten sowie der niedrigen Temperaturen und fortgeschrittenen Zeit ermöglicht, zu einem Objekt nach Neustrelitz und von dort aus weiter in Richtung Landesgrenze nach Brandenburg weiterzufahren. Dem haben sie sich ebenfalls widersetzt, da sie widerrechtlich auf dem Objekt in Neustrelitz verblieben sind.“

Falls Euch da gewisse Widersprüche zu meiner Einleitung auffallen, mir auch, und >85.000 Leute, mich eingeschlossen,  haben live gesehen, was da wie wann passiert ist.

Kleines Update:

Der Bus durfte jetzt in Weisdin bleiben, bis die Gerichte die Eilentscheide entschieden haben. Es gibt dazu ein Interview mit dem NDR und dem Nordkurier:

https://dlive.tv/p/samueleckert+um-H6u2Mg

https://www.ndr.de/nachrichten/mecklenburg-vorpommern/Demos-1200-Buerger-protestieren-in-MV-gegen-Corona-Regeln,coronavirus3594.html

Etwas anderes

Kurzes Video zur Auslastung der Intensivstationen in Südniedersachsen:

https://www.ndr.de/nachrichten/info/Corona-Wie-ist-die-Lage-auf-den-Intensiv-Stationen,ndrinfo10966.html

CoronaChroniken: Einreiseverbot nach Mecklenburg-Vorpommern

Armes Deutschland,

von der Polizei bei der Einreise nach Meck-Pom aufgehalten, obwohl die Ausnahmen in der Verordnung eindeutig erfüllt sind.

CoronaChroniken: Einreiseverbot nach Mecklenburg-Vorpommern

Montagabend lief in Deutschland eine Posse ab:

Der Corono-Info-Tourbus wurde 20km hinter der Landesgrenze in Mecklenburg-Vorpommern von einer Polizeigruppe gezielt aufgehalten, als die Fahrgäste versucht haben zu einer angemeldeten Demo zu fahren. Wer noch Live dabei sein will: https://dlive.tv/samueleckert

Die Corona-Verordnung findet Ihr hier: www.regierung-mv.de / Corona-Verordnung.pdf

Gegen 22 Uhr eskalierte die Lage soweit, daß Strafanzeigen gegen die Einsatzleitung aufgenommen werden mußten, wegen Nötigung und Rechtsbeugung. Im Grunde geht es dabei darum, daß die Einreise rechtlich zulässig ist, weil sich die Demonstranten auf dem Weg zu einer Demo befinden, was bereits nach Versammlungsrecht nicht behindert werden darf.

Die Corona-Verordnung regelt Ausnahmen für die Einreise und folgende Ausnahmen kommen in Frage:

§5 Reisen nach Mecklenburg-Vorpommern

(5) Das Verbot in Absatz 1 gilt nicht für Reisen, die für die Ausübung beruflicher Tätigkeiten erforderlich sind.

(6) Das Verbot in Absatz 1 gilt nicht für Anlässe, bei denen die Anwesenheit der reisenden Person aus rechtlichen Gründen oder zur Erfüllung einer moralischen Verpflichtung zwingend erforderlich ist. Das Verbot in Absatz 1 gilt ferner nicht für Personen, die in Mecklenburg-Vorpommern die Ehe schließen und keinen Wohnsitz im Sinne des Absatzes 2 in Mecklenburg-Vorpommern haben.

(11) Das Verbot in Absatz 1 gilt nicht für Personen, die nur zur Durchreise in die Bundesrepublik Deutschland oder nach Mecklenburg-Vorpommern einreisen; diese haben das Gebiet des Landes Mecklenburg-Vorpommern auf direktem Weg zu verlassen. Die erforderliche Durchreise durch das Gebiet des Landes Mecklenburg-Vorpommern ist hierbei gestattet.

Der mit dem Bus fahrende Rechtsanwalt berief sich auf Absatz 6, weil er vor Gericht einen Eilantrag gegen das Einreiseverbot durch die Polizei stellen wollte, was einen rechtlichen Grund darstellt. Danach boten die Tourteilnehmer an, nur noch nach Hamburg durch Meck-Pom zu fahren, da war es bereits 20:30 Uhr und der Bus stand seit 90 Minuten still. Das ist eine zulässige Ausnahme nach Absatz 11.

Das erlaubte die Polizei auch nicht, der Bus sollte umdrehen. Dabei wäre es durch Meck-Pom der kürzeste Weg 🙂  Ich bin zwar kein Freund von Bodo Schiffmann, da er doch arg weit in die Aluhutfraktion abgedriftet ist, aber in dem Fall sehe ich das auch so.

Zusammenfassung der Vorwürfe:

  • Die Businsassen halten sich illegal im Bundesland Meck-Pom auf
  • Obwohl es sich um die Demoanmelder der Demo in Schwerin handelt, wird Ihnen die Fahrt zur Demo verweigert.
  • Obwohl sie rechtliche Schritte gegen das Verbot vor Gericht ergreifen möchten, werden sie daran gehindert ( Anm. das zuständige Gericht wäre zufällig auch in Schwerin 😉 )
  • Obwohl sie alternativ nur noch (sogar mit Eskorte) durch Meck-Pom fahren wollen, um nach Hamburg zu kommen, wird ihnen auch dies verweigert.
    Durch die Polizeileitung vorort wurde „Gewalt“ (habe ich auch so gehört) angedroht (vermutliche Festnahme wegen Widerstands, da kam es bislang nicht zu), als der Rechtsanwalt auf die Gesetze hingewiesen hat.

Da ich Augenzeuge der Sache bin, bin ich der Meinung, der Rechtsanwalt Vorort hat in allem Recht.

Jetzt Funfakts

Die Anti-Corona-Demoanreisenden ( im Bus ) haben sogar Masken dabei, die sie bereit waren bei der Demo zu tragen.

Als Notbehelf wurde spontan ein Vertrag mit einem Musik Label gemacht, um ein Lied aufzunehmen, was einen beruflichen Grund nach Absatz 5 darstellen würde. Ich halte das allerdings für „vorgeschoben“ und damit für nicht haltbar 😀

Die Polizisten aus dem Ort, wo der Bus angehalten wurde, waren unter der Hand, auch der Meinung, daß sich die Polizeileitung schwer in die Nesseln gesetzt hat. Ein anderer Rechtsanwalt sieht das ähnlich 😉

ca. 85.000 Leute haben das live gesehen!

Allgemeine Meinung: Aus der Nummer kommt die Einsatzleitung in Person von Herrn Rusch nicht mehr raus.

Gegen 22 Uhr wurde eine Lösung gefunden, der Bus darf mit Polizeieskorte bei einem Autohaus parken und laden und das quittierten die zahlreichen vorort Menschen erschienen Fans mit dem Absingen der Nationalhymne.

WordPress: über vergessene Defaults

Entschuldigt bitte die Störung mit nicht OSS relevanten Beiträgen. Die Ursache, wieso das immer wieder passiert wurde gefunden.

WordPress: über vergessene Defaults

Wer viel für eine Kategorie seines Blogs schreibt, der kann sich einiges sparen, aber wenn man das mal vergißt und für eine andere Kategorie schreibt, dann landet es ggf. bei der falschen Zielgruppe.

Daher hier der Hinweis, wie man das in WordPress abstellt:

Die Standard-Beitragskategorie muß lediglich auf etwas „anderes“ gestellt werden.

Apropos WordPress

Wer noch nicht auf 5.5.3 aktualisiert hat, der sollte das schnellsten machen:

Das BSI informiert über mehrere Sicherheitslücken in WordPress < 5.5.2 vom 1.11.2020 :

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/11/warnmeldung_tw-t20-0188.html

Zusammenfassung:

Ein entfernter, anonymer Angreifer (Jeder) kann mehrere Schwachstellen in WordPress ausnutzen, um Cross-Site-Scripting und Cross-Site Request Forgery (CSRF) Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen und Code zur Ausführung zu bringen.

https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/

Beim Durchsehen unserer Blogs habe ich dann tatsächlich eine Installation gefunden, die es per utoupdate nicht auf 5.5.3 geschafft hatte. Es gilt: „Vertrauen ist gut, Kontrolle ist besser.“

CoronaChroniken: Rückgang ohne Lockdown

Liebe Maskierte,

schon in der Bundespressekonferenz fragte Anfang der Woche ein Journalist, was denn der Knick bedeuten würde. Schauen wir doch mal 🙂

CoronaChroniken: Rückgang ohne Lockdown

Gemeint ist der Abfall der Neuinfektionskurve:

Deutlicher sieht man das in Graphen, der den Unterschied zum Vortag darstellt:

Hier die aktuellen Graphen mit Sterbefällen und hospitalisierten Personen:

Ich hatte es ja Anfang der Woche schon angedeutet und diesmal hat es sich dann ja auch bestätigt: Diese Woche waren es weniger Neuinfizierte, als letzte Woche. Da die Inkubationszeit mindestens 5 Tage beträgt, kann der tolle Lockdown nicht die Ursache für den Abfall sein und daher glaube ich, ist dem erst einmal nicht viel hinzuzufügen. Gute Nacht 🙂

LUKS2: CVE-2020-14382 – out of bounds write

Zeit für ein Update von CryptSetup: CVE-2020-14382

LUKS2: CVE-2020-14382 – out of bounds write

CryptSetup ist das Tool, daß Luks Container, egal ob als Datei oder Festplatte, einhängt und/oder bearbeitet. Eine Lücke im Speicherhandling von CryptSetup kann von einem Angreifer ausgenutzt werden, indem er einen manipulierten Container einer anfälligen Version von CryptSetup präsentiert, was z.B. durch das Einstecken eines USB Sticks ausgelöst wird.

Die Lücke in CryptSetup sorgt dafür, daß weniger Speicher allokiert wird, als tatsächlich angegeben ist, aber von dem manipulierten Inhalt des Containers aufgrund mangelnder Grenzprüfungen, überschrieben werden kann. Damit gelangt ggf. Code an eine Stelle, die von einem anderen Prozess genutzt wird. Die Lücke CVE-2020-14382 kann also ggf. zu Arbitrary-Code-Execution führen, wenn es im System dumm läuft.

Daher empfehle ich Euch kurz mal nach dem Zustand Eures CryptSetup Befehls zu schauen und ggf. zu Updaten, denn auch wenn Ihr selbst keine Festplattenverschlüsslung benutzt, es reicht, daß das Paket auf dem System installiert ist und jemand einen USB Stick einsteckt.

Kleine Anmerkung zur Lage

Falls Ihr die Red Hat Securityliste lest, ist Euch auch aufgefallen, daß da heute ein ganzes Rudel (70+) Sicherheitsadvisories gekommen sind und die Bugs größtenteils Nummern aus 2018 und 2019 tragen? Ich glaube, da ist etwas arg schief gelaufen bei Red Hat.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Düstere Zeiten kommen auf Kim Schmitz alias Kim Dotcom zu, denn Neuseeland ist der Meinung Ihn in die USA ausliefern zu dürfen.

Neues von Kim, ich bin reicher als Ihr, Dotcom

Kim Schmitz, der laut Aussagen von CCC Mitgliedern als Möchtegernhacker allen auf den Sack gegangen ist, sich auf einer spektakulären Flucht dilettantisch fangen lies und dann erst im Security Beraterbusiness durchfiel, um doch noch (illegal) Geld zu verdienen, in dem er und seine Gang MegaUpload ins Leben riefen, wo hauptsächlich Raubkopien zum beschleunigten Download angeboten wurden, darf jetzt nach 8 Jahren Auslieferungsprozess in die USA überstellt werden, wo er bestenfalls als gertenschlankes Skelett wieder aus dem Knast kommen dürfte.

Das Manager-Magazin beschrieb in nach seiner Flucht mal so: „Kim Schmitz, der schwergewichtige Exot unter den Dotcom-Blendern, hat sich aus dem Staub gemacht.“ 🙂

Wie man so lesen kann, hatten da wohl dunkle Münchner Geldverleiher einen nicht unerheblichen Anteil dran, als sie Ihr Geld von Kim alias Kimble haben wollten. Das ist aber auch eine echt blöde Idee der Lokalmafia einen sechstelligen Betrag mit einer 6 vorn zu schulden und sich dann abzusetzen 😉

FBI vor der Villa von Kim Schmitz 2012

Das Portal TorrentFreak berichtete vor 12h, daß sich die Richter in seinem Prozess wegen Copyright-Verstößen an die USA ausgeliefert werden darf. Ihm bleibt jetzt nur noch eine Anrufung auf Neubegutachtung einer Entscheidung der unteren Instanzen zu, weil die die Einwände der Verteidiger als Prozessbehinderung abgelehnt hatten, was der Oberste Gerichtshof anscheinend anders sieht. Zu dem Prozess war es ursprünglich gekommen, weil die USA einen Haftbefehl in Neuseeland u.a. durch eigene FBI Kräfte hat vollstrecken lassen, um Kim und Gang den Prozess wegen Geldwäsche und Copyright-Verstößen auf Ihrer Mega-Upload Plattform zu machen.

Damals dachte die USA noch, sie könnte Kim und seine 3 Mitangeklagten direkt mitnehmen, was die Neuseeländer etwas anders sahen und das zu einem Megaprozess führte, der von 2012 bis heute lief. Mit immer neuen Tricks versuchten die Anwälte zu beweisen, daß das was die Angeklagten getan hatten, in Neuseeland gar kein Verbrechen wäre, denn das Auslieferungsabkommen mit den USA sieht vor, daß es nur für Straftaten anwendbar ist, die auch in Neuseeland eine Straftat sind. Hat aber alles nichts genutzt, außer, daß man ihn schon einmal nicht wegen Geldwäsche ausliefern kann, den Straftatbestand gibt es in Neuseeland scheinbar gar nicht.

Das fragliche Geschäftsmodell lief so:

Kim & Gang stellten eine Uploadplattform zur Verfügung, wo sich jeder kostenlos anmelden konnte, um Sachen hochzuladen, damit andere sie downloaden konnten. Eine halb-öffentliche Cloud würde man das wohl heute nennen, im Prinzip Youtube ohne Livestreaming und Kontrolle. Kim & Gang argumentierten damit, daß sie als Provider von der Haftung für Kundeninhalte befreit wären. Das Geld wurde mit Abos verdient, welche die klägliche Downloadrate nicht angemeldeter Nutzer in High-Speed-Zugänge umgewandelt hat. d.b. die Downloader haben die Plattform finanziert, weil sie nicht solange auf Inhalte warten wollten. Das klappt natürlich nur, wenn man dort etwas downloaden kann, daß einen wirklich interessiert z.B. Musik, Spielfilme und Serien in HQ, Bücher, Cracksoftware usw. Dafür muß dieser Inhalt natürlich vorhanden sein, sonst kommt ja keiner zum Downloaden 😉 Daher war der Upload kostenlos möglich und nur der Download limitiert.

Das FBI ist der Meinung schlüssig beweisen zu können, daß Kim & Gang Kriminelle dafür bezahlt haben, Ihre Inhalte auf Mega-Upload hochzuladen, damit die Kunden einen Grund haben, weiter die Abos zu zahlen oder damit sie überhaupt erst zur Plattform kommen. Deswegen kam es zum Prozess, denn dies ist von keinem Provider-Privilege gedeckt, das ich kenne 😉 Da es bei Mega-Upload also um ein kriminelles Unternehmen ging, ist aus Sicht der USA  alles was da an Geld geflossen ist, Geldwäsche bzw. Wire-Fraud (alle Straftaten die über Metalldrähte abgewickelt werden: Telefon & Internet ). Das wird dort empfindlich bestraft und da darf sich Kim jetzt schon mal drauf freuen, denn einmal an die USA ausgeliefert kann ihn Neuseeland nicht mehr beschützen. Damit dürfte die Dauerparty wohl bald zu ende sein.

Quellen:

https://www.manager-magazin.de/unternehmen/karriere/a-176329.html

Kim Dotcom Can Be Extradited To The United States, Subject to Judicial Review