GPG Pluginschwachstellen

Was bekommt man, wenn man von einer tollen Sicherheitslücke liest, ein lustiges Bild sieht und einen Bug im Grafikprogramm meldet ?

Selbstgemachtes GPG Schwachstellen Logo 🙂

Na ist doch klar, nur Platz #3 in der Reihenfolge der Websites, die über die Schwachstelle berichten 😀

Kurzfassung

Deswegen auch jetzt nur die Kurzfassung: Außer der EFF und dem ForscherSebastian Schinzelaus Münster, weiß noch keiner, was die gefunden haben. Sie empfehlen aber trotzdem die Plugins für Thinderbird & Co. zu entfernen.

Ich vermute, daß man eine Email bauen kann, die den Plugins Kryptoanweisungen unterjubelt, welche die Ausführen  und an den Absender zurück schicken. Ansonsten müßte man ja nicht davor warnen, daß die installiert sind. Vor GPG/PGP an sich, wird ja nicht gewarnt, nur davor die Plugins zu benutzen. Die Autoren müssen auch alles Code aus der gleichen Quelle geklaut haben, weil sonst nicht AppleMail, Outlook und Thunderbird gleichermaßen betroffen wären.

Aber bislang ist das reine Spekulation. Warten wir auf mehr…

Upates: (12:08)

Und da haben wir auch schon den ersten Collateralschaden:

http://www.tagesschau.de/inland/e-mail-verschluesselung-101.html

Die Tageschauredakteure haben die Meldung komplett auf Links gedreht und verbreiten grade, daß die Verschlüsselung gekackt wurde. Leider VERKACKT Leute 😀 Nicht die Verschlüsselung wurde geknackt, sondern die Plugins sind ausnutzbar um auf die verschlüsselten Emails zuzugreifen. Das genau sollen die zwar können, aber nicht, wie ich annehme, fremdbestimmt 😉

Wahrheit: 0  Collateral: 1

Upates: (14:04)

Die Katze ist aus dem Sack. Die Plugins in den Emailprogrammen dekodieren eingebettete Ciphertexte in HTML Emails und leiten die dekodierten Inhalte via HTML Bildlink zu einem eigenen Server aus.
War ja klar, daß die Krypto nicht das Problem sein konnte.

Voraussetzung für so einen Angriff ist aber, daß der Angreifer den verschlüsselten Text einer an das Opfer gesendeten Email hat. Alles-Überwacher wie die NSA haben sowas natürlich auf Lager liegen.

… und so gings weiter …. EFail: Die Katze ist aus dem Sack

 

Mit was läuft Eure Desktopsession?

Wayland or Not-To-Wayland

Ich dachte bislang eigentlich, daß Wayland drin ist, wenn nicht X11 draufsteht. Aber wie erkennt man das eigentlich?

Indem man das hier eingibt :

[marius@eve ~]$ echo $WAYLAND_DISPLAY

Wie man sieht kommt da nichts. Wenn Wayland im Spiel wäre, müßte da laut Redhat’s AdminGuide für Fedora ( den gibts wirklich ) „wayland-0“ rauskommen.

Das verifizieren wir jetzt mal, in dem wir unsere Loginsession ansehen und befragen :

[marius@eve ~]$ loginctl
 SESSION UID USER   SEAT  TTY 
 c2       42 gdm    seat0 /dev/tty1 
 3      1000 marius seat0 /dev/tty2

2 sessions listed.

Ich habs mal aufgehübscht. Die 3 ist, was wir suchen, nämlich unsere SessionID. Mit der können wir das LoginControl lustige Sachen fragen:

[marius@eve ~]$ loginctl show-session 3 -p Type
Type=x11

Und das ist die Bestätigung, daß wir X11 fahren. Jetzt bin ich mal auf Redhats Antwort im Bugtracker gespannt, wie sie das erklären, wo doch Fedora auf Wayland umgestellt wurde und es im Sessionlogincontext auch EXTRA eine Auflistung der Desktopsessions gibt, die mit X11 laufen, was ja impliziert, daß die anderen es nicht tun ( so eine habe ich grade laufen).

Und so sieht die ganze Sessioninfo aus :

[marius@eve ~]$ loginctl show-session 3
Id=3
User=1000
Name=marius
Timestamp=Fri 2018-05-04 09:29:20 CEST
TimestampMonotonic=546595417
VTNr=2
Seat=seat0
TTY=/dev/tty2
Remote=no
Service=gdm-password
Scope=session-3.scope
Leader=7718
Audit=3
Type=x11
Class=user
Active=yes
State=active
IdleHint=no
IdleSinceHint=0
IdleSinceHintMonotonic=0
LockedHint=no

Die interessanten habe ich eingedickt. Bis auf wenige Ausnahmen ( Sessionid ) dachte ich mir schon, daß ich ein User bin 😀

Linux – Wie man den Kontrast einstellt

Das Display ist zu hell eingestellt und man möchte das Ändern.Nur können vor lachen.

Die Odyssee

Da durchsucht man natürlich zuerst einmal die Einstellungen und findet den Bildschirmeinsteller. Kuckt rein, keine Anpassungen möglich. Farbe vielleicht ? Hmm, da kann man Farbprofile laden, wenn man denn ein passendes hat.
Aber Kontrast einstellen, Helligkeit regeln Fehlanzeige.

Die Lösung in der Konsole

Wem sein Bildschirm zu hell ist, der kann es mit dem xorg-x11-server-utils Befehl xgamma direkt benutzen:
[desktopuser] # xgamma -gamma 0.7

1.0 wäre normal, > 1 kontrastreicher, < 1 kontrastärmer

Natürlich kann das Tool das auch für jede Farbe einzeln die Werte setzen, aber das ist ja nicht Ziel der Übung.

Wie bekommt man das jetzt rebootfest ?

Da gibt es eine kleine Datei namens „.xinitrc“, in die werden wir den Befehl eintragen. Bei jedem Start, wir das geladen und ausgeführt, so daß dieser Wert später auch wieder gilt.
#!/bin/bash
xgamma -gamma 0.7

Via Desktopeinsteller

Jetzt ist das natürlich für Nichtkonsoler nicht so der Weg, den man sich wünschen würde. Ich selbst hätte es auch gern als Anwendung in den Systemeinstellungen gefunden. Da kommt uns Cinnamon leider so gar nicht entgegen. Es gibt zwar ein Desklet, also eine Erweiterung für die Leiste, aber leider nicht für die Systemeinstellungen, obwohl es genau da hin gehört.

Einfach mal danach in den Applets suchen und es installieren. Ihr bekommt dann ein neues Icon in die Leiste, mit de rsich die Helligkeit und das Gamma einstellen lassen. Nicht toll, aber immerhin, es geht.

Gnome-Maps unterschlägt Straße

Da haben die Anwohner des Bienroder Weges in Braunschweig nicht schlecht gestaut: weg war Ihre Straße. Vom Erdboden getilgt, jedenfalls wenn man Gnome-Maps glauben würde 🙂

Da fehlt doch was.

So kanns gehen 🙂  Aber zum Glück, nicht weiter schlimm, es ist ja nur ein kleiner Fehler in einer Standartapp von Linux 😀

Witzigerweise liegt kein Datenfehler bei OpenStreetMap vor, denn die zeigen das direkt auf Ihrer Webseite  korrekt an:

OpenStreetMap zeigt es korrekt an.

Ich bin mal auf die Antwort von Maintainer gespannt, wie es zu dem Bug kommen konnte, denn die Gnome-Map setzt auf OSM auf, daher ist es schon komisch, wenn eine Straße fehlt und bei OSM da ist.