aktuelle SSH Lücke verpflastern

Updaten ist immer gut wenn Sicherheitslücken geschlossen werden sollen, aber in der Realität kommt es vor, daß Dienste nicht immer (gleich) das Update bekommen, daß Sie benötigen.

aktuelle SSH Lücke verpflastern

Die aktuelle SSH Lücke wirft auf allen möglichen Geräten mit verwundbarer Version ein Problem auf, wenn dieses keine Updates erhält, denn ohne SSH kommt man nicht mehr auf dies Gerät drauf und davon hat keiner was. Solange das Gerät die SSH Schnittstelle ins LAN öffnet, mag ein Nicht-Patchen noch eine kalkulierbare Lösung sein.

Wenn das Gerät aber ins Netz zeigen muß, dann wäre es das Aus, wenn es kein Update gibt, oder gibts da doch was, was man machen könnte?

Das Qualsys Pflaster

Wenn Ihr Nachts um halb eins im Bett von der Lücke gehört hättet, hättet Ihr Euch auch den Qualsys Bericht dazu durchgelesen, der entscheidet dann darüber, ob man sich final hinlegen kann, oder ob eine Nachtschicht eingelegt werden muß.

In dem Bericht stand u.a. drin, daß man ca. 1 Woche hat, bis der Angreifer mit dem Angriff mal Erfolg haben wird. Darauf kann man sich leider nicht ausruhen, weil das nur ein Statistischer Wert ist, der zufällig auch schon beim ersten mal funktionieren kann.

Am Ende stand aber noch etwas anderes, nämlich daß man einfach „LoginGraceTime 0“ setzen kann, dann läuft der Angriff komplett ins Leere, dafür kauft man sich eine Pseudo-DOS Schwachstelle ein, spricht, Angreifer könnten beim rumprobieren die Leitung dicht machen, so daß es schwierig wird ins System einzuloggen. Natürlich ist das immer noch besser, als wenn jeder leidlich lästige Kleinkriminelle auf dem System Rootzugriff haben kann. PS: SSHD Neustart nicht vergessen 😉

Leider habe ich in keinem News- oder Blogbeitrag gelesen, daß es diese Möglichkeit gab.

Fedora hat’s mal wieder verpeilt

Ein bisschen enttäuscht war ich vom zeitlichen Verlauf der Fedora Updates von OpenSSH, denn die platzten mitten in Linux am Dienstag rein,was extrem verstörend war, weil die OpenSSH Patche selbst bereits seit 4 Wochen an die Distributionen übermittelt waren. Die Fedora Maintainer hatten mal wieder völlig verpeilt, ein CritPath Update einer schweren Sicherheitslücke zu verteilen. Nicht zum ersten mal, möchte ich betonen. Da muß man echt hinterher sein manchmal.

Link zur Lücke: CVE-2024-6387

Link zur Quelle: Qualsys Bericht

Recall jetzt im REPO verfügbar

Die neue Version von Recall ist jetzt als RPM verfügbar. Wir haben auch das Fileformat geändert und es global für alles User zur Verfügung gestellt.

Recall jetzt im REPO verfügbar

Wer das Repo noch nicht hat, hier mal nachlesen:

PVA: Carola hat Ihr eigenes Repo bekommen

Die neuen Funktionen von Recall brauchen jetzt nur noch 40% Platz von der ersten Version, weil wir von PNG auf JPG umgestellt haben.

Dazu haben wir noch Recall als systemweiten Timer eingerichtet und für alle User aktiviert, was man natürlich für sich als Benutzer abschalten kann 😉
Wer das für einen Benutzer auf seinem PC machen möchte, der gibt als der Benutzer ein:

systemctl –user disable recall.*

Falls Ihr Euch fragt, wieso es global aktiviert ist: für den Otto-Normal-Benutzer ist es zu schwer zu aktivieren, das bekommen wir nie kommuniziert. Da muß es nach Installation einfach funktionieren.

 

OpenSSL in Fedora 39 kann keine Legacy-Policy mehr

Allem Anschein nach, wurde der Support für TLSv1 und TLSv1_1 in der aktuellen OpenSSL Version für Fedora 39 hard entfernt, denn entgegen der LEGACY policy von Fedora, funktioniert TLS1 gar nicht mehr.

OpenSSL in Fedora 39 kann keine Legacy-Policy mehr

Es gibt so Dinge, die man durch Update bereinigen kann, aber oft passiert leider auch das Gegenteil, man handelt sich Legacy Probleme ein. So geschehen durch ein Server-Update auf Fedora 39.

Der spezielle Server wird von Clienten kontaktiert, die aus Gründen mit TLS1 um die Ecke kamen. Leider mag Fedora das seit 33 gar nicht mehr und das ist auch gut so. Bislang half es, einfach die Crypto-Policy auf Fedora 32 zu stellen:

update-crypto-policies –set DEFAULT:FEDORA32

Die Hardcore version davon ist dann der LEGACY mode :

update-crypto-policies –set LEGACY

der wirklich uralte Sachen aktiviert. Bislang. Seit Fedora 39 kann man soviel Legacysupport aktivieren wie man will, es nutzt nichts mehr, TLS 1 und 1.1 funktionieren nicht mehr.

Dies hatte eine wünschenswerte Folge, denn nun war jemand gezwungen seine Legacy-Clienten zu Updaten, was schon seit Jahren hätte gemacht werden sollen 😉

Jetzt konnten wir endlich den Support auf DEFAULT stellen \o/

update-crypto-policies –set DEFAULT

Merke: Es ist nie gut eine Rückzugsmöglichkeit im Kryptobereich zu haben, weil dann die Updates nicht gemacht werden mit „Wieso, geht doch noch.“ ;D