Und ewig nervt die Mailbox

Kennt Ihr die Parabel vom Jungen und den Wölfen? Bestimmt kennt Ihr die. Die ist kannten schon Eure Großeltern, aber falls Ihr die vergessen habt, hier eine leicht abgewandelte Kurzform:

„Die Wölfe und die 87 Schafe“

„Es gab einmal ein digitales Dorf, das hatte ein Problem: zu viele Schafe, zu wenig Platz und alle Erwachsenen waren mit Arbeiten, Videospielen oder was man sonst damals so tagsüber gemacht hat, beschäftigt. Also wurde der schmächtigste Junge des Dorfes von seinem Computer getrennt und mit den Schafen auf die Weide geschickt. Der Junge brauchte sowieso mal mehr Kontakt mit Sonnenlicht, paßt schon.

Nun saß der Junge Stunde um Stunde unter einem weit ausladenden Baum und grollte auf seine Mutter, die Sonne und die dummen Schafe, die ihre Natursektparties wie in der Steinzeit auf dem Feld abhielten. Mit anderen Worten, ihm war sehr langweilig.

Also beschloss das jetzt kontaktlose, vereinsamte und sozial abgehängte Kid, daß es doch mal etwas Action in sein Leben bringen könnte, indem es einen Hoax in die Welt setzt. Ergo rannte es schnell ins Dorf und rief : „Wölfe! Sie fressen die Schafe! Kommt schnell!“  Natürlich liefen die übergewichtigen Dörfler mit allem was als Anti-Wolfswaffe herhalten konnte zur Weide. Nur waren da keine Wölfe zu sehen.

Dieser Spielzug sorgte so erfolgreich für erhöhte Aufmerksamkeit für den Jungen, daß er in den folgenden Wochen immer wieder die fiktiven Wölfe auf die Weide schickte, bis… eines Tages, auch der letzte Dörfler nicht mehr auf die Warnung reagierte. In der Nacht danach luden die Schafe eine Gruppe von marodierenden grauen Hunden zu einer Ihrer legendären Parties ein. Ein sehr fataler Fehler, wie sich herausstellte. Der Junge, jetzt endlich zu recht entsetzt, rief wieder im Dorf um Hilfe, aber keinem Schaf wurde geholfen.“

Und genau das gleiche machen die digitalen Schafhirten von GitHub und NetFlix jetzt auch jedes mal, wenn ich mich da einlogge. Netflix landet schon seit Wochen im „Bei Sicht löschen“ Filter von Thunderbird und wenn Github mir mehr Aktivitäten aufzwingt, weil die ganzen tollen Softwareprojekte da nur so vor Anfängerfehlern strotzen, wird meine GitHub Aktivität ein ähnliches Schicksal erleiden, denn dummerweise muß man bei GitHub einen Code aus der EMail eingeben und kann die daher nicht einfach wegfiltern.

FIXED: Apache 2.4.41-4

Für Euch frisch aus der Werkstatt: Apache httpd 2.4.41-4 löst das Problem „Apache httpd 2.4.41 mit defektem PIPE support

Fedora User können schon updaten

und zwar mit folgendem Befehl für FC29:

dnf -y update https://kojipkgs.fedoraproject.org//packages/httpd/2.4.41/4.fc29/x86_64/httpd-2.4.41-4.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.41/4.fc29/noarch/httpd-filesystem-2.4.41-4.fc29.noarch.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.41/4.fc29/x86_64/mod_ssl-2.4.41-4.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.41/4.fc29/x86_64/httpd-tools-2.4.41-4.fc29.x86_64.rpm

Die Version ist jetzt erst einige Minuten alt und wurde extra für uns gebaut \o/

Die FC30 Version gibt dann hier: https://koji.fedoraproject.org/koji/buildinfo?buildID=1393459

Alle Tests sind positiv, also könnt Ihr die erst einmal bedenkenlos installieren, solange die noch nicht im Fedora Updates Repo ist. Das sollte zwar heute noch der Fall sein, aber wem das CGI-Problem jetzt schon wie ein Furunkel am Hintern klebt, der kann sich jetzt vorzeitig entlasten 😉

Apache httpd 2.4.41 mit defektem PIPE support

Die Apache Webserver Version 2.4.41 hat einen defekten PIPE Support, was die Ausführung von CGI Scripten wie PHP Prozessen behindert. Abhilfe schafft nur ein Downgrade auf die vorherige Version.

Voraussetzungen für den Fehler

Als Voraussetzungen für den Fehler braucht man lange Ausgaben und die Ausführung von PHP als CGI, aber das ist natürlich nicht auf PHP begrenzt, es darf auf ein eigenes C Exe oder Perl sein. Bei uns war es ein PDF erzeugendes Script.

  1. httpd 2.4.41
  2. Das Script wird per CGI ausgeführt
  3. Das Script erzeugt lange Ausgaben von ~500kb

Die Symptome

Die Symptome an denen Ihr erkennen könnt, daß Ihr betroffen seid:

  1. Der Aufruf eines PHP Scripts per Browser timed aus.
  2. es stappeln sich die PHP Prozesse auf dem Server
  3. ein „strace -f -p ..hier_php_pid_angeben..“  zeigt nur eine Zeile an:
    … write( ………………….. ) = xXxXxx   , wobei die Xxx eine 6-x stellige Anzahl haben wird
  4. kurze Ausgaben, wie bei WordPresswebseiten üblich, werden normal abgearbeitet

Die Lösung

Für Fedora 29 lautet die Lösung einfach Downgraden:

dnf -y downgrade https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/httpd-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/mod_ssl-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/httpd-tools-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/noarch/httpd-filesystem-2.4.39-3.fc29.noarch.rpm

systemctl restart httpd

Das war es dann auch schon. GGf. müßt Ihr noch liegen gebliebene Prozesse killen, aber die sollten beim httpd restart eigentlich von alleine terminieren, weil die PIPE endlich beendet wird.

Bugreport an Fedora ist raus, hat aber unverständlicherweise noch keine Reaktion hervorgerufen.

RIP: Runes of Magic

Tja, Game Forge hat es endlich geschafft. Nichts geht mehr. Der heute in Betrieb genommene neue „Launcher“ stellt zwar Behauptungen auf, kann aber das eigentliche Spiel nicht mehr starten.

RIP: Runes of Magic

Damit ist das Spiel für Linux dann wohl endgültig gestorben. Da der neue Launcher keine Vorteile für Spieler hat, außer das alles länger dauert, gibt es für dessen Existenz keine Berechtigung. Das stört Game Forge allerdings nicht.Schade um die 100kk im AH, aber das wars dann wohl endgültig. Ich glaube nicht, daß sich ROM 4 Linux davon nochmal erholen wird 🙁

Exim: neue mögliche RCE Schwachstelle gefunden

Toller Sonntag. Überall Regen und dann weckt mich noch die Meldung, das im Exim eine neue, nicht abwehrbare Schwachstelle gefunden wurde 🙁 ( wichtiges 13 Uhr Update unten )

Elysium ist gefallen

Es gibt einen neuen Bug, der auch bereits gefixt wurde, aber leider nicht mit einem Workaround abzuwehren geht. Das bedeutet für Euch, daß Ihr Updaten müßt.

Der Fehler liegt in einem Programmierfehler der Stringverarbeitung, die dummerweise bereits beim HELO/EHLO greift. Ein Angreifer kann einen Heap-overflow auslösen, in dem er einen überlangen ELHO String sendet.

An der Stelle des Codes wurden die Rootrechte zwar schon gedroppt, aber das hilft nur wenig, falls der Angreifer tatsächlich einen RCE hinbekommt, was nicht ausdrücklich ausgeschlossen ist, aber auch nicht 100% bestätigt wurde. Daher muß man davon ausgehen, daß es jemand früher oder später schafft: Worst-Case halt.

Betroffen sind alle Versionen < 4.92.3.

Also entweder Ihr patchted Euren alten Exim selbst, oder Ihr updated auf die neue Version. Eure Entscheidung.

Aktuelle CVE Nummer zu dem Exim RCE : CVE-2019-16928 .
(Passage geändert, vorher keine bekannt gewesen.)

13 Uhr Update

Fedora kompilierte Versionen sind nicht angreifbar. Der Exploit funktioniert einfach nicht.

Getestet auf: Fedora 29 64Bit gegen 4.92.2

Andere Distros könnten angreifbar sein. Es hängt auch ein bisschen damit zusammen, wie das angegriffene System konfiguriert ist. „Eylsium ist gefallen“ ziehe ich damit teilweise zurück .. das Fedosium steht noch :DDD

Der Exploitstring ist übrigens 11k lang, nur falls Ihr das bei euch mal selbst ausprobieren wollt, nehmt gleich 12k.

Außerdem wurde mitgeteilt, daß es im Rahmen der 4.92.x eingeführt wurde und mit 4.93 auch schon wieder draußen war. Die Exploitmeldung war leider etwas hastig formuliert worden. Allerdings sehe ich da keinen Schaden drin, weil „besser safe than sorry“ wie der Denglischer sagt 😉