Category Archives: Fedora

Apache httpd 2.4.41 mit defektem PIPE support

Posted on by

Die Apache Webserver Version 2.4.41 hat einen defekten PIPE Support, was die Ausführung von CGI Scripten wie PHP Prozessen behindert. Abhilfe schafft nur ein Downgrade auf die vorherige Version.

Voraussetzungen für den Fehler

Als Voraussetzungen für den Fehler braucht man lange Ausgaben und die Ausführung von PHP als CGI, aber das ist natürlich nicht auf PHP begrenzt, es darf auf ein eigenes C Exe oder Perl sein. Bei uns war es ein PDF erzeugendes Script.

  1. httpd 2.4.41
  2. Das Script wird per CGI ausgeführt
  3. Das Script erzeugt lange Ausgaben von ~500kb

Die Symptome

Die Symptome an denen Ihr erkennen könnt, daß Ihr betroffen seid:

  1. Der Aufruf eines PHP Scripts per Browser timed aus.
  2. es stappeln sich die PHP Prozesse auf dem Server
  3. ein „strace -f -p ..hier_php_pid_angeben..“  zeigt nur eine Zeile an:
    … write( ………………….. ) = xXxXxx   , wobei die Xxx eine 6-x stellige Anzahl haben wird
  4. kurze Ausgaben, wie bei WordPresswebseiten üblich, werden normal abgearbeitet

Die Lösung

Für Fedora 29 lautet die Lösung einfach Downgraden:

dnf -y downgrade https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/httpd-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/mod_ssl-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/x86_64/httpd-tools-2.4.39-3.fc29.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/httpd/2.4.39/3.fc29/noarch/httpd-filesystem-2.4.39-3.fc29.noarch.rpm

systemctl restart httpd

Das war es dann auch schon. GGf. müßt Ihr noch liegen gebliebene Prozesse killen, aber die sollten beim httpd restart eigentlich von alleine terminieren, weil die PIPE endlich beendet wird.

Bugreport an Fedora ist raus, hat aber unverständlicherweise noch keine Reaktion hervorgerufen.

Exim: neue mögliche RCE Schwachstelle gefunden

Posted on by

Toller Sonntag. Überall Regen und dann weckt mich noch die Meldung, das im Exim eine neue, nicht abwehrbare Schwachstelle gefunden wurde 🙁 ( wichtiges 13 Uhr Update unten )

Elysium ist gefallen

Es gibt einen neuen Bug, der auch bereits gefixt wurde, aber leider nicht mit einem Workaround abzuwehren geht. Das bedeutet für Euch, daß Ihr Updaten müßt.

Der Fehler liegt in einem Programmierfehler der Stringverarbeitung, die dummerweise bereits beim HELO/EHLO greift. Ein Angreifer kann einen Heap-overflow auslösen, in dem er einen überlangen ELHO String sendet.

An der Stelle des Codes wurden die Rootrechte zwar schon gedroppt, aber das hilft nur wenig, falls der Angreifer tatsächlich einen RCE hinbekommt, was nicht ausdrücklich ausgeschlossen ist, aber auch nicht 100% bestätigt wurde. Daher muß man davon ausgehen, daß es jemand früher oder später schafft: Worst-Case halt.

Betroffen sind alle Versionen < 4.92.3.

Also entweder Ihr patchted Euren alten Exim selbst, oder Ihr updated auf die neue Version. Eure Entscheidung.

Aktuelle CVE Nummer zu dem Exim RCE : CVE-2019-16928 .
(Passage geändert, vorher keine bekannt gewesen.)

13 Uhr Update

Fedora kompilierte Versionen sind nicht angreifbar. Der Exploit funktioniert einfach nicht.

Getestet auf: Fedora 29 64Bit gegen 4.92.2

Andere Distros könnten angreifbar sein. Es hängt auch ein bisschen damit zusammen, wie das angegriffene System konfiguriert ist. „Eylsium ist gefallen“ ziehe ich damit teilweise zurück .. das Fedosium steht noch :DDD

Der Exploitstring ist übrigens 11k lang, nur falls Ihr das bei euch mal selbst ausprobieren wollt, nehmt gleich 12k.

Außerdem wurde mitgeteilt, daß es im Rahmen der 4.92.x eingeführt wurde und mit 4.93 auch schon wieder draußen war. Die Exploitmeldung war leider etwas hastig formuliert worden. Allerdings sehe ich da keinen Schaden drin, weil „besser safe than sorry“ wie der Denglischer sagt 😉

 

Surface: TypeCover defekt :(

Posted on by

Gebrauchte Geräte sind so ein Ding, kann gut gehen, muß aber nicht. Deutlich zu niedrige Preise bei Ebay sind auch so ein Ding, kann ok sein, könnte aber auch Fake oder geklaut sein. Um das alles mit einem Linux Tablet zu verbinden, drehen wir die Zeit nochmal 7 Monate zurück….

Ein gebrauchtes Surface Pro 4

Aufgrund der Neukosten und Verfügbarkeit, ersteigerte ich im Guerillaverfahren im Februar ein gebrauchtes Surface Pro 4 auf Ebay. Ihr kennt die Geschichte ja. Im Juni setzte für einen Tag der Lüfter aus, weswegen es zu dem Geflimmer kam:  „Das wars dann mit dem Linux Tablet 🙁

Vor ein paar Wochen, ging plötzlich die Tastatur aus und ich meine aus, weil die Lichter der Tastaturbeleuchtung das deutlich zeigten. Ich hab erst gedacht, daß der USB-Hub nicht mehr will, und die Tastatur abgezogen und dann wieder dran gesteckt, was auch für wenige Minuten geholfen hat, bis die wieder ausgefallen ist. An dem Tag ging da nichts mehr, was komisch war.

Einen Tag später aka. zu Hause, ging die Tastatur dann wieder anstandslos! Technik halt. Ab und zu gabs mal einen kurzen Ausfall, aber ein Muster lies sich nicht ableiten. Um Kontaktschwierigkeiten auszuschliessen, wurden die Kontakte und Pins kurz geschliffen. Es änderte sich nichts. Egal wie man es knickte und kickte, es gab einfach keinen gezielten Ausfall. Damit war die Sache erstmal erledigt, weil Abziehen und wieder dranhängen half … bis Vorgestern. Da war Schluss. Ende, aus, tod.

Ihr erinnert Euch, ich hatte ein englisches Typecover mitbekommen, da fehlt die Taste mit dem „|“ Pipezeichen, was bei Linux ein echtes Problem bedeutet. Also habe ich mir bei Ebay ein gebrauchtes deutsches Typecover zugelegt. 12 Monate Garantie und unter 24h angekommen. Super.

Fazit

Bei Ebay gebraucht kaufen, kann durchaus klappen 🙂

Für Surface Pro Besitzer kann ich nur empfehlen, sich einen anderen Besitzer zu suchen und einfach mal die Typecovers umzuhängen. Geht es an beiden Geräten nicht, ist das TypeCover hin. Da die auch gebraucht nicht billig sind, da bekommt man einen schnellen Ryzen 1500 für, lohnt sich der Gang zum Surface Kollegen immer, egal ob der Windows oder Linux fährt.

Caribou durch Onboard ersetzen