CoronaChroniken: einstündiges South Park Spezial angekündigt

Am Sonntag, den 4.10.2020 geht South Park mit einem einstündigen Corona Spezial in die neue Staffel. Einen Tag später gibt den deutschen HD Stream im Netz.

CoronaChroniken: einstündiges South Park Spezial angekündigt

In der passenden Ankündigung heißt es:

„Randy stellt sich seiner neuen Rolle beim beim Ausbruch der COVID-19 Pandemie, da die anhaltende Pandemie die Bürger von South Park weiterhin vor Herausforderungen stellt. Die Kinder gehen weiterhin glücklich zurück zur Schule, aber nichts ist, wie es einmal war. Nicht ihre Lehrer, nicht ihr Klassenraum, nicht einmal Eric Cartman.“ (mehr auf Southpark.de)

Wenn man sich schon nicht mal mehr auf Eric Cartman verlassen kann, auf was dann? Vielleicht darauf, daß es ein ganz großer abgedrehter Spaß sein wird? Na schauen wir doch mal:

Ich denke, ich weiß was das „Pandemic Special“ sein wird 😀 Und wer die letzte Staffel South Park gesehen hat, der wird dies sicher auch so sehen 😉

Ansehen könnt Ihr Euch South Park direkt in Kodi oder mit einem Tag Verspätung auf https://southpark.de ansehen.

In anderen News

Natürlich gibt es heute noch mehr Corona-Nicht-News: Die Webseite bmgbund.de, die derzeit durch Spams u.a. über Kontaktformulare wie folgt beworben wird:

„Dringende Nachricht des Bundesministeriums für Gesundheit zum Coronavirus! htpp://bmgbund.de“

ist beileibe keine Webseite des Bundesministeriums, sondern einfach mal eine Porno Frontpage, die dem Besucher dann vermutlich auch gleich noch einen Trojaner verpassen will. Die Kripo Hannover kommentierte den Versuch die Seite aufzurufen wie folgt: „Nach 10 Redirects von hinz zu kunz habe ich aufgehört.“ 🙂 Jetzt fragt sich der eine oder andere natürlich, wieso jemand deswegen die Kripo einschalten würde, aber schaut Euch mal den Domainnamen an: „bmgbund.de“, denn normal wäre „bund.de“ tatsächlich die Hauptdomain für Bundesbehörden. Da kann man schnell mal drauf reinfallen. Daher habe ich die Behörden zwecks Beschlagnahme der Domain eingeschaltet.  (Das hier keine Links sind, ist Absicht 😉 )

Ich mag ja mit dem Kurs des Gesundheitsministers nicht ganz einverstanden sein, aber so etwas geht gar nicht.

In weiteren echten Corona News

Ein Statistiker aus München hat eine Erklärung(Link wäre hinter PayWall, daher kein Link) für die Coronainfektionszahlen: Das Dunkelfeld wird bei 1.2 Millionen Tests die Woche weit ausgeleuchtet. Das Dunkelfeld sind die Infizierten, die nichts merken und nicht zum Arzt gehen, auch als Dunkelziffer bekannt. Das erklärt natürlich schön den Umstand, daß es kaum schwer Erkrankte gibt und entsprechend wenige Tote. Das das RKI eine besondere Beziehung zu den Todeszahlen hat, hatten wir ja öfters als Thema im Blog ( CoronaChroniken: Sterbezahlen nicht mehr veröffentlicht , CoronaChroniken: also so langsam.. )

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Es ist vielleicht nicht das schlechteste, daß Mozilla seine Leute rausgekantet hat, denn je weniger da arbeiten, desto weniger können so richtig tief in die Scheiße greifen 🙁

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Wie gestern Abend von den Hacker News  berichtet wurde, gibt es im FireFox Mobile eine so gravierende Sicherheitslücke, daß sich einem die Fußnägel aufrollen. Wenn man mit einem FF M < Version 80 gemeinsam in einem WLAN oder anderen Netz ist, kann man dem Firefox eine Nachricht senden, und er führt das direkt aus: Eine Remote Code Execution Schwachstelle.Die Schwachstelle wurde im FireFox Mobile 80 für Android gefixt.

Hinweis: In einem FF Mobile 68.8 konnte das Verhalten, trotz absichtlicher Aktivierung des Features nicht reproduziert werden.

FireFox sendet SSDP Pakete ins Netz um Geräte zu finden, die man als Screencast verwenden kann. Das wäre a) der Job vom OS und b) nicht so schlimm, wenn man das Ergebnis, das einem unaufgefordert jeder im Netz senden kann, mal auf SINNVOLLE Werte prüfen würde, statt es BLIND auszuführen.

Über so einen Intent kann man auch Addons oder andere Apps Installieren’und natürlich auch Webseiten mit Exploits besuchen, das macht es so gefährlich.

Kleines Demo gefällig?

Dies Video stammt von Gitlab-Account des Red Teams:

Wer sich mit Android Programmierung nicht auskennt, ein „Intent“ ist eine Anfrage von App A an (meistens) alle anderen Apps, ob die mit dem Inhalt was anfangen können. So brauche ich bspw. als Browser keinen Videoplayer integrieren, weil das eine andere App vermutlich viel besser kann als ich.

Aber selbstverständlich nehme ich als Anwendung dazu keine Infos, die selbst von einer dubiosen anderen Stelle im Netz bekommen habe, sondern leite da nur Sachen hin, die „ich selbst“ erstellt oder runtergeladen habe vom Ziel.

So ein Verhalten ist grob fahrlässig und eines Anfängers ohne Security Schulung würdig, aber doch nicht den Entwicklern eines Marken-Browsers.

Fußnote

NetFlix Mobile scheint auch per SSDP nach Sachen zu suchen, aber ob die Entwickler den gleichen dicken Bug eingebaut haben, ist nicht bekannt. Wer selbst nachsehen will, soltle in seinem WLAN mal das hier starten: „sudo tcpdump -A -n not tcp and not icmp and port ssdp“

SSDP ist das Simple Service Discovery Protocol und gehört als UDP basiertem Dienst zum UPnP, den Universal Plug & Play. Diese ganzen Autodetect Sachen sind als Funktion ganz nett, aber führen immer mal wieder zu Schwachstellen. Per UPnP kann man z.b. als Programm der Firewall sagen, daß man gern ein Loch haben würde für seinen Dienst, ohne das der Firewall-Admin was davon mitbekommt. Wird oft von Instant-Messengern benutzt um durch die DSL-Router zu kommen.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Gerade erst ist jemand in Düsseldorf an den Folgen einer schlecht gewarteten Installation von Citrix ADC gestorben, da hat Citirix die nächste Sicherheitslücke für uns parat.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Wie das BSI Cert mit Stand 18.9. 2020 mitteilt, sind von einer Privilegien Eskalation folgende Produkte betroffen:

Citrix Systems ADC < 11.1-65.12,
Citrix Systems ADC < 12.1-58.15,
Citrix Systems ADC < 12.1-FIPS 12.1-55.187,
Citrix Systems ADC < 13.0-64.35,
Citrix Systems Citrix Gateway < 13.0-64.35,
Citrix Systems SD-WAN < WANOP 10.2.7b, 
Citrix Systems SD-WAN < WANOP 11.1.2a,
Citrix Systems SD-WAN < WANOP 11.2.1a

Die dazu gehörigen CVE Nummern: CVE-2020-8245, CVE-2020-8246, CVE-2020-8247

Besonders prekär an der Sache:

Ein entfernter, –> anonymer <– oder authentisierter Angreifer kann mehrere Schwachstellen in Citrix Systems ADC, Citrix Systems Citrix Gateway und Citrix Systems SD-WAN ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, einen Denial of Service zu verursachen oder seine Rechte zu erweitern. Sprich: Jeder kanns. Man sehen ob die Uni Düsseldorf jetzt wieder 9 Monate braucht um gehackt zu werden: https://www.forschung-und-lehre.de/politik/hacker-haben-uniklinik-duesseldorf-erpresst-3110/

Ich frage mich immer, wieso Citrix Ihren Kram nicht einfach per Repo verteilt, das ist doch alles CentOS was die da nutzen.
Update: Es steht zu befürchten, daß die Uni Düsseldorf gar nicht durch die Januar Lücke gehackt wurde, sondern durch DIESE neue Lücke. Zeitlich paßt das, wenn die Hacker den Zero-Day hatten, bevor Citrix das überhaupt patchen konnte. Wenn man nämlich den offiziellen Bericht (s.o.) dazu durchliest, soll das bereits im Januar gepachted und auch geprüft worden sein. Wenn das stimmt, kann es eigentlich nur diese neue Lücke oben sein. Bin mal echt gespannt 😀
Update 20.9.2020:
Der Mailserver der Universitätsklinik Düsseldorf ist noch nicht wieder erreichbar. Gemerkt habe ich das nur, weil ich denen die CVEs zu den neuen ADC Lücken geschickt habe, wir dürfen gespannt sein.

 

TLS: Timing Attacke RACCOON

Intel kennt das Problem: Laufend kommt einer an und kann an der Laufzeit von Berechnungen Daten ableiten, die er nicht sieht. Jetzt ist mal wieder TLS dran mit so einem Angriff auf den DH Schlüssel.

TLS: Timing Attacke RACCOON

Wie die Hacker News berichten, gibt es eine neue, aber sehr spezielle, Methode an einen Serverschlüssel zu kommen. Voraussetzung ist allerdings, daß der Server seine verwendeten Schlüssel erneut benutzt. Das sollte er wegen PFS sowieso nicht tun, aber nicht alle Dialekte von TLS 1.2 sind PFS fähig.

Um die Lücke ausnutzen zu können, muß der Angreifer zu dem sehr präzise Messungen zur Laufzeit machen können, daher muß er technisch sehr dicht am Server dran sein, um die Messungen akkurat vornehmen zu können. In den meisten Fällen wird der Versuch da bereits scheitern. Auch Scheitern wird der Angriff, wenn PFS zum Einsatz kommt, weil der Server den privaten DH Schlüssel dann nicht wieder verwendet.

F5, Mozilla, Microsoft und OpenSSL haben schon Updates parat, wobei M$ sich darauf beschränkt, die DHE einfach abzuschalten, statt das Problem zu lösen 😀 Auch ne Methode 😉 Wie man hier nachlesen kann: OPENSSL: https://www.openssl.org/news/secadv/20200909.txt hat OpenSSL das Problem in älteren OpenSSL Versionen bereits durch eine andere Defaulteinstellung behoben. Damit ist die Gefährlichkeit des Angriffs eher gering einzuschätzen.

Ich habe mir mal die Mühe gemacht und konnte selbst in einer 2 Jahre alten OpenSSL Version den nötigen Cipher nicht und damit ist der Webserver auch nicht anfällig. Ein Test durch SSLLabs hat das bestätigt:

Uses common DH primesNo, DHE suites not supported
DH public server param (Ys) reuseNo, DHE suites not supported
ECDH public server param reuseNo

Also, keine Panik, wenn Ihr nicht 10 Jahre alte Software einsetzt, ist alles gut.

Blog Statistiken

Heute morgen habe ich mal etwas meine WordPress App auf dem Handy geärgert und das ist dabei herausgekommen: Eine Animation der Zugriffszahlen des Blogs, gezählt durch WordPress.

Blog Statistiken

WordPress zählt das alles etwas anders als die Traffic Stats auf der Seite selbst, daher ist hier ein quantitativer Vergleich nicht möglich. Was man aber schön sehen kann, daß früher mehr Abfragen aus den USA kamen, heute dagegen mehr aus Portugal und wie sich die Zahlen im Laufe der Jahre ändern.

Eine Animation der Jahre 2013-2020Da sieht man mal das „gesteigerte“ Interesse der Leute an Linux 😉

Die Zahlen von 2020 sind natürlich kleiner als die von 2019, weil 2020 noch nicht rum ist 😉

Das waren keine Corona Demos mehr

Was am Samstag vielleicht noch eine unterwanderte Anti-Corona Demo war, war am Sonntag eine reine anti-demokratische Veranstaltung.

Das waren keine Corona Demos mehr

Da die QuerDenkerFront, die die Demos am Samstag „organisiert“ hat, jeden hat sprechen lassen, egal was der zu sagen hatte, haben sich diese Leute meiner Meinung nach selbst den Boden jedweder Glaubwürdigkeit entzogen, egal wofür.  Am Sonntag ging es dann mit den Reptiloidenverschwörern weiter, und gerade bei denen fragt man sich, ob die noch nie Dr Who gesehen haben, dann wüßten Sie nämlich wo Ihr Blödsinn herkommt. Popkultur ist nicht für jeden was 😉

Wer jetzt allerdings gedacht hat, daß es nur in Deutschland war:

https://www.theguardian.com/world/2020/aug/29/coronavirus-sceptics-conspiracy-theorists-anti-vaxxers-protest-london

War übrigens die gleiche Gemengelage vorhanden, wie in Berlin.

Wir brauchen dringend eine nicht unterwanderte Corona-Info-Veranstaltung, bei der Mediziner, Seelsorger, Altenpfleger, Kindergärtern, Lehrer & Statistiknerds sprechen und nicht jeder Irre, der sich noch frei bewegen darf.

Mal sehen, ob man das noch hinbekommt, oder ob da Hopfen und Malz verloren sind.

WordPress updaten, geht nur mit genug Platz :)

Für alle, die planen einen Blog mit echt vielen Grafiken und Medieninhalten zu bestücken, hier ein kurzer Hinweis zum WordPress 5.5 Update 🙂

WordPress updaten, geht nur mit genug Platz 🙂

Wer dieses Blog verfolgt, wird festgestellt haben, daß sich die Artikelzahl in diesen Jahr stark erhöht hat. Das liegt hauptsächlich natürlich an Coronaartikeln, die jede Menge Bildern zu den verschiedenen Statistiken intus haben. Ich habe jetzt 2.950 MB Daten im Blog und wollte ein Update auf WordPress 5.5 durchziehen. Das ist normalerweise kein Problem. Kurz auf „Update“ klicken und warten. Er lädt im Hintergrund schnell das WP Archiv runter, packt es aus und … meldet, daß es nicht geht … ähmm… 🙁

Komisch, die Updates der Plugins, die funktionieren, die Themes auch.. da muß doch … nein, muß es nicht. Das Hauptupdate ist zwar nur 13 MB groß, aber ausgepackt bringt es 50 MB auf die Waage. Hmmm.. zusammen 63 MB + ein paar temporäre Dateien.. 2.950 MB belegt… von ??? Oh… 3.000 MB 😀  Das Rätsels Lösung: das Update paßte nicht mehr auf die Platte. Ein Accountupgrade mußte her. Jetzt sind es 5.000 MB und das wird bis Ende des Jahres reichen müssen.

Merke: Wenn WordPress beim Blog Update streikt, könnte auch einfach der Webspace voll sein 😉

Nächster Kandidat für den Spamdeppen des Jahres

Was für ein Wahnsinnsversprechen, daß das per Email gekommen ist. Das muß man doch soooooofort zuschlagen 😀

Nächster Kandidat für den Spamdeppen des Jahres

Der offensichtliche Einsatz einer automatischen Übersetzung von Google, ist nicht gerade förderlich für diesen Spammer:

Absender: Claudius <claudius@ev-ri-ka.ru>
Betreff: Ich verdiene 10.212317 Euro pro Tag. Willst du so viel?

Großartige Internetverdienste sind ein Mythos, ausgedacht für gutgläubige oder verzweifelte Menschen.
Heute ist nicht die richtige Zeit um seine letzten Ersparnisse zu riskieren.

Spielen Sie nach ehrlichen Regeln. Zuerst erhalten Sie 10.212317 euro und das Recht, den Account zu nutzen.
Danach verdienen Sie Ihre ersten Scheine mit dem Abbild des amerikanischen Präsidenten und fangen an, ihre Mittel zu verteilen.

Denken Sie bloß nicht, dass wir Wohltätigkeit betreiben. Auch ich schreibe nicht, um jemanden zu beglücken.

Dies ist nichts für Loser und Jammerlappen. Das System ist verständlich und klar.
Nicht kritisieren und abstreiten: verstehen, machen und Geld verdienen.

Ja, sie haben nur 24 Stunden zum Abheben der 10.212317 euro. Ich arbeite nur mit entschlossen Menschen. Das ist mein Recht und Ihre Wahl.

Ja ja, die lieben Details 😉 Wären das Bitcoins gewesen, also da hätte man mal für eine Atosekunde überlegen können. Ich wette, der Spammer weiß nicht, daß 10 € keinen vom Hocker hauen werden 😀

Unsere Spamprüfung hat dafür zwar noch dieses Merkmal festgestellt:

 0.0 LOTS_OF_MONEY          Huge... sums of money

Aber leider ist der Regelwert 0.0. Den muß im SpamAssassin wohl mal hochsetzen.

Die (nicht publizierten) Links in der Email gehen dann nach Russland. Zum Glück muß man sich ja keine Sorgen machen, bei 10 € spricht kein Opfer, das noch alle Tassen im Schrank hat, auf die Links in der Email an. Also wie immer, weg damit 😀

419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung :)

Ok, heute habe mal was feines an Scam Email für Euch. Involviert sind: Die Uni Osnabrück und die Brasilianische Regierung, ein 96 jähriger Gönner und sehr, sehr viel Geld 😀

419 Scam der Uni Osnabrück oder doch der Brasilianischen Regierung 🙂

Erstmal zum Inhalt der der Scam-Email:

Hallo,

Sie haben eine Spende von fünf Millionen Euro gewonnen

Ich bin LEONARD H. AINSWORTH, ein australischer Geschäftsmann. Ich bin seit vielen Jahren der Gründer mehrerer sehr erfolgreicher Unternehmen. Nun, ich bin 96 Jahre alt.

2017 habe ich das Giving Pledge unterschrieben und mich den anderen 204 Personen oder Paaren angeschlossen, die versprochen haben, mindestens die Hälfte ihres riesigen Vermögens für philanthropische Zwecke zu verschenken.

Danach kommen jede Menge Links zu echten Seiten. Natürlich noch mehr Geschwaffel und nochmal der Glückwunsch zu den 5 Millionen € 😀 Das der Text in einem holprigen Deutsch daher kommt, daß zwar rechtschreibtechnisch korrekt ist, aber von der Wortwahl her nicht, deutet wohl auf den Einsatz einer Übersetzungssoftware hin.

Das der Text in Deutsch ist geht auch mit unserem ersten Merkmal einher:

Return-path: <maikeller@uni-osnabrueck.de>
To: Recipients <maikeller@uni-osnabrueck.de> 
From: LEONARD H. AINSWORTH <maikeller@uni-osnabrueck.de> 
Date: Wed, 26 Aug 2020 20:30:07 -0700
Subject: Glückwunsch- Spende

Eine etwaige Antwort geht dann an eine völlig andere Wegwerfadresse bei Microsoft:

Reply-To: lenhainsworthgivingpledge@outlook.com

Schauen wir uns mal an, wo das wirklich her kam:

Received: from [131.72.217.136] (helo=webmail.seciju.to.gov.br)
	by ****************** with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(envelope-from <maikeller@uni-osnabrueck.de>)
	id ****************; Thu, 27 Aug 2020 11:59:45 +0200
Received: from localhost (localhost [127.0.0.1])
	by webmail.seciju.to.gov.br (Postfix) with ESMTP id 5F9CD128ACF;
	Thu, 27 Aug 2020 00:29:25 -0300 (-03)

Ein Webmailserver der brasilianischen Regierung .. Strike \o/  Und das ist auch noch … Trommelwirbel .. Das „Sekretariat für Staatsbürgerschaft und Justiz“ 😉 unbezahlbar sowas 😀

Falls jemand darauf antworten will, sollte er sich klar sein, daß das ein 419 Scam ist, d.b. der Betrüger wird sich irgendwelche Gebühren für die Zahlung, z.b. Notargebühren , Anwaltskosten, Bankkosten usw.  ausdenken und vorher vom Opfer fordern. Benannt wurde das nach dem Paragraphen 419 des nigerianischen Strafgesetzbuches. Ja, denn aus Nigeria wurde die Masche zwar nicht erfunden, war aber in den 80er Jahren so stark verbreitet, daß sich die nIgerianische Justiz genötigt sah, einen eigenen Strafparagraphen einzuführen, die 419 😉

Schlag ins Gesicht der Spammafia – 281 verhaftet

Am Ende immer die gleiche Prozedur: Weg damit in die digitale Mülltonne 🙂

Schwachstellen im Apache Webserver < 2.4.44

Wer Apache als Webserver einsetzt, sollte jetzt aufpassen, denn wir haben jeweils eine  RCE und eine DOS Schwachstelle.

Schwachstellen im Apache Webserver < 2.4.44

In Apache wurden drei Schwachstellen identifiziert und im August behoben. Leider hat man u.a. bei Fedora vergessen, das publik zu machen, deswegen hier die Erinnerung für Euch:

Im HTTP2 Modul sind zwei Schwachstellen enthalten, die zum Crash führen und damit als DOS (Denial of Service) gelten:

important: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-9490)
moderate: Push Diary Crash on Specifically Crafted HTTP/2 Header (CVE-2020-11993)

Beide Schwachstellen kann man auch per Konfigurationsänderung abwehren, falls man keine gepatchten Webserver bekommen kann, oder noch nicht hat:

Je nachdem was Ihr für eine Distro habt, wird HTTP2 an verschiedenen Stellen aktiviert. Bei Fedora bietet sich an, eine eigene kleine Config in conf.modules.d/ anzulegen. In die Datei kommen zwei Einträge:

99-mitigate-http2.conf:

H2Push off
LogLevel warn mod_http2.c:error

Dann mit „systemctl httpd restart“ den Server neustarten. Die erste Anweisung behebt die 2020-9490 und die zweite sagt dem HTTP2 Modul, es soll nur kritische Sachen loggen, anstatt auch Warnungen. Das ist wichtig, da Angreifer über einen provozierten Fehler den Logging-Pool der Prozesse stören können und das führt dann zum Crash, was aber nur geht, wenn der Fehler auch geloggt wird.

moderate: mod_proxy_uwsgi buffer overflow (CVE-2020-11984)

Wer mit dem WebSocket Proxy uwsgi arbeitet, der muß updaten, eine Mitigation der möglichen Remote-Code-Schwachstelle ist nicht möglich. Bis zum Update kann man das Modul auch abschalten:

Für Fedora wäre das hier in conf.modules.d/00-proxy.conf:

# LoadModule proxy_uwsgi_module modules/mod_proxy_uwsgi.so

Einfach ein # vor die Ladeanweisung und den Webserver mit „systemctl httpd restart“ neustarten. Natürlich funktionieren die Proxy Tunnel, die auf „uwsgi:://server:port/uri“ lauten, dann nicht mehr. Habt Ihr noch einen vhost konfiguriert, der das benutzen möchte, wird der Start des Webservers nicht funktionieren.

Updates vorhanden

Updates auf die 2.4.46 liegen für Fedora bereit. Für alle, die Ihre Server per Autoupdate versorgen, hat sich das Problem damit bereits erledigt.