Linux am Dienstag: Programm für den 13.Juli 2021 ab 19 Uhr

Hallo Pinguine,

es ist mal wieder soweit, Linux am Dienstag steht vor der Tür und klopft 🙂

Linux am Dienstag: Programm für den 13.Juli 2021 ab 19 Uhr

Das Programm für Linux am Dienstag ist soweit in trockenen Tüchern 😉 u.a. mit dabei …

  • Ausblick auf Firefox 91
  • Fedora – Bug in den NFS-Utilities
  • Schwerpunktthema: Was ist eigentlich NFS?
  • Blender Einführung: Teil 6/6 – Eine Tür im Baum
  • PDF-Alternative: DejaVuLibre mit Sicherheitsloch

wie immer treffen wir uns ab 19 Uhr auf https://meet.cloud-foo.de/Linux und es können auch spontan andere Themen drankommen 😉

Hinweis: Die Veranstaltung ist eine Präsenzveranstaltung, sie wird nicht aufgezeichnet.

Firefox: wie man nur noch Passwörter der eigentlichen Webseite sieht

Moin, Moin,

im Zuge des Bugtrackings für das Erscheinen der Passwortbox bei nicht Loginfeldern, kam auch endlich eine Lösung für dem Umstand ans Licht, daß meine Passwortbox einen halben Kilometer lang ist 🙂

Firefox: wie man nur noch Passwörter der eigentlichen Webseite sieht

Ich betreue ja einen Cluster und muß mich auf vielen Webseiten einloggen, da sammelt der Firefox natürlich eine Menge von Logindaten für Subdomains von uns und unseren Servern. Die Standardeinstellungen für Firefox zeigen in der PasswortBox alle Logindaten für die Hauptseite und alle Subdomains davon an.

Wenn man jetzt son Servercluster mit Subdomains adressiert: han1.domain.de han2.domain.de etc. etc. , dann bietet Firefox auf domain.de auch han1 und han2 und han… an. Für uns ist das wenig hilfreich, weil wir Logindaten nicht recyceln, also für jeden Login wirklich neue Daten verwenden, daher wird uns sehr viel angezeigt, daß wir nicht brauchen.

Dem Problem kann man jetzt elegant abhelfen, einfach in der about:config diesen Wert auf „Falsch“ setzen:

signon.includeOtherSubdomainsInLookup

Wer auf verschiedenen Subdomains die gleichen Zugangsdaten benutzt, so daß das Feature Sinn machen würde, der verdient es IMHO nicht besser, als das die Daten im nächsten großen Datenleck landen 😀

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Die aktuelle Version von Dovecot für Fedora, Version 2.3.15, hebt über die internen Defaulteinstellungen das MinimalProtokoll für TLS von TLS 1.0 auf TLS 1.2 an, ganz zum Nachteil alter Mailprogramme.

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Montag Morgen, Internet: Gegen 6 Uhr morgens weisen die Fedoraserver eine neue Dovecotversion aus. Wenige Sekunden später fangen die ersten Server im Cluster an, das Update einzuspielen. Gegen 8 Uhr kommen die ersten Beschwerden beim Support rein, daß einige Benutzer keine Emails mehr abholen könnten.

Eine Analyse später steht nur fest, daß die Clienten beim Abholen eine „nicht unterstützte TLS Version sprechen“, komischerweise aber noch Emails senden können. Die Zugriffe der Mailprogramme findet dabei über die seit 1994 in Betrieb befindlichen SSL-Ports 993 und 995 statt, was die Vermutung nahe legt, daß die Mailprogramme dabei auch das damals übliche SSLv3 sprechen oder zumindest nicht TLS 1.2+.

In den Adminkreisen kommt der Verdacht auf, ein Windowsupdate hätte das Problem verursacht, was sich aber als falsch herausstellt, da nach und nach auch Android und Macuser Probleme melden.

24h später steht die Ursache fest: Das Dovecot Update 2.3.15 bringt ein Securityupdate mit, in dessen Zuge die minimale Protokollversion für TLS Verbindungen von TLS 1.0 auf TLS 1.2 gesetzt wird. Eine Umstellung der Mailprogramme aus das moderne STARTTLS stellt in den Mailprogramm dann auch die verwendete Krypto von „völlig veraltet“ auf „modern“ um, so daß die Probleme mit einen Klick behoben werden können.

Im Changelog liest sich das übrigens so:

CVE-2021-29157: Dovecot does not correctly escape kid and azp fields in JWT tokens. This may be used to supply attacker controlled keys to validate tokens, if attacker has local access.
CVE-2021-33515: On-path attacker could have injected plaintext commands before STARTTLS negotiation that would be executed after STARTTLS finished with the client.
Add TSLv1.3 support to min_protocols.

Da die Sicherheitslücken nicht umgangen werden können, bleiben die alten Versionen draußen. Dies hat uch den Vorteil, daß jetzt TLS 1.2 das Mindestmaß auch bei Privatanwendern ist.

Zwei Einzelfälle möchte ich Euch allerdings nicht vorenthalten:

a) Ein Benutzer nutzte auch beim Senden noch TLS 1.0, was den Verdacht nahelegte, daß hier eine alte Version in Spiel war. Es kam raus, daß noch Thunderbird V17 von 2013 benutzt wurde und nie Updates eingespielt wurden 🙂 Ein Update wirkte Wunder 😉

b) Ein anderer Benutzer nutzte auch noch TLS 1.0, aber hier war Hopfen und Malz verloren, da es sich um einen MAC von 2006 oder 2007 handelte. Dem ist in sofern nicht mehr zu helfen, da es hier keine Updates mehr gibt, die diese HW noch mitmachen würde.

Merke: Alte Hardware ist nur charmant, wenn Sie auch noch sicher ist.