Category Archives: Linux

Mozilla: welche 250 Mitarbeiter entlassen wurden

Posted on by

Moin,

wenn man dem Twittergerücht ( mehr ist es imho nicht ) glaubt, wurden Teile des Security Teams von Mozilla vor die Tür gesetzt. Andere Twitteruser wiederum melden sich als „unser Gecko Team“ hats geschafft und auch andere Bestandteile hätten sich da zu Wort gemeldet.

Mozilla: welche 250 Mitarbeiter entlassen wurden

Kann irgendwer von denen beweisen, daß er dort arbeitet oder gearbeitet hat? Ich weiß es nicht.

Wenn man das so liest und es für bare Münze nimmt, wundert es nicht wirklich, was da so in den letzten Versionen von Firefox rausgekommen ist. Das ist kein einheitliches Produkt, das ist eine Ansammlung von Bestandteilen.

Und um diesem Beitrag die nötige inhaltliche Kontroverse zu geben:

Scheiße, war der FireFox gestern effektiv 😀

Das muß ich kurz erklären. Gestern Abend war Meet Jitsi VideoConf der BSLUG. Ich sahs unten mit dem Tablet und hatte mit Chromium daran teilgenommen. Nach rund 38 Minuten waren nur noch 54 % Akkuladung vorhanden, die CPU Frequenz der 4 Kerne lag dauerhaft bei 2.2 GHz, was ohne Turbo die größtmögliche Einstellung ist und mit dem größten Stromverbrauch gleichzusetzen ist. Keine 20 Minuten später waren es nur noch 15 %.

Im Top nachgesehen lief Chromium als einziger Prozess mit voller Last. Daraufhin habe ich den beendet und die VC mit Firefox weiter gemacht und siehe da, die Last ging runter. FF hat ~40% weniger Energie für die gleiche Leistung verbraucht als Chromium ( Freeworld Build von RPMFusion ).

Jetzt wärs schön rauszubekommen wieso das so war, weil der Chromium-Freeworld damit wirbt, HW Unterschützung zu haben. Das wird i.d.R. mit mehr Leistung pro Watt im der Verbindung gebracht, ergo weniger CPU Leistung und Energieverbrauch, als ohne HW Unterstützung.

Um den Schluß mit oben zu bekommen, ich hoffe nicht, daß sie die Energieoptimierungsexperten rausgeworfen haben, weil die haben nachweislich was geleistet 😉

Fedora Guide – Falls der Grub2 Fix bei Euch versagt

Posted on by

Eine wichtige Ressource für alle, denen der Grub2 Security Fix ihrer Distribution das Booten sabotiert hat, ist:

https://docs.pagure.org/docs-fedora/the-grub2-bootloader.html

Die ist zwar für Fedora, aber da steht alles in Kleinarbeit drin, wie man Bootloaderprobleme selbst behebt.

Fedora Guide – Falls der Grub2 Fix bei Euch versagt

Für alle != Fedora oder RH basierten Distris gelten die gleichen Schritte nur die Pakete heißen anders.

Das Vorgehen ist immer das Gleiche:

1. Von einem USB Stick booten
2. die lokale Systemplatte mounten
3. chroot /*mount_systemplatte*
4. /boot/ einhängen
5. mit dem hoffentlich eingerichteten Netzwerk die alte Grubversion aus dem Repo ziehen.

Beispiel DNF:  „dnf downgrade shim grub2*“

6.  grub2-install /dev/sda

wobei /sda  das richtige Laufwerk von Eurer Systemplatte sein muß, müßt Ihr mal schauen wie das heißt.

7. aus der chroot raus, alles unmounten, rebooten .. sollte wieder gehen.

Für alle, die das mit dem alten Grub2 Paket nicht hinbekommen, auf der LIVE-Disk die Ihr dafür benutzt IST einen alter Grub2 drauf! Den könnte man auch mal direkt versuchen 😉

Wenn Ihr EFI bootet, dann braucht es auch den passenden shim im /boot/efi/ Pfad, das ist schliesslich der Auslöser des Übels gewesen 😉  Und oh Freude, auch der ist schon passend zum Grub2 auf der Livedisk drauf, braucht man nur kopieren.

Noch etwas: Für Fedora gibt es noch kein Grub2 Update, nicht mal im Alpha Stadium. Die wissen schon wieso 😉 (hoffe ich)

32 Sicherheitslücken in Chromium gefixt

Posted on by

Kleine Abschweifung in RHEL:

32 Sicherheitslücken in Chromium-Browser gefixt

Wie man einem Update aus dem RHEL Security Newsletter entnehmen kann, wurden im Chromiumbrowser 32 Sicherheitslücken in einem Rutsch gefixt. Da einige davon Pufferüberläufe waren, sollte man umgehend updaten, auch wenn man nicht bei RHEL ist, da hier typischerweise RCE Lücken schlummern können, sprich:  Jemand kann aus der Ferne Code ausführen. Das bedeutet nicht, daß es so ist, aber i.d.R.  ist das eine Grundvoraussetzung dafür.  Für drei habe ich die Bewertung mal rausgesucht, wer selbst mehr wissen will, kann die  CVE Nummer einfach bei Google eingeben und landet dann hier:

https://nvd.nist.gov/vuln/detail/CVE-2020-6513

Einfach die Nummer am Ende mit der gewünschten ersetzen und man bekommt auch diese Info.

Security Fix(es):

* chromium-browser: Heap buffer overflow in background fetch (CVE-2020-6510) (Score: 7.8 )
* chromium-browser: Side-channel information leakage in content security policy (CVE-2020-6511) (Score: 6.5)
* chromium-browser: Type Confusion in V8 (CVE-2020-6512)
* chromium-browser: Heap buffer overflow in PDFium (CVE-2020-6513) (Score: 8.8)
* chromium-browser: Inappropriate implementation in WebRTC (CVE-2020-6514)
* chromium-browser: Use after free in tab strip (CVE-2020-6515)
* chromium-browser: Policy bypass in CORS (CVE-2020-6516)
* chromium-browser: Heap buffer overflow in history (CVE-2020-6517)
* chromium-browser: Use after free in SCTP (CVE-2020-6532)
* chromium-browser: Type Confusion in V8 (CVE-2020-6537)
* chromium-browser: Inappropriate implementation in WebView (CVE-2020-6538)
* chromium-browser: Use after free in CSS (CVE-2020-6539)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6540)
* chromium-browser: Use after free in WebUSB (CVE-2020-6541)
* chromium-browser: Use after free in developer tools (CVE-2020-6518)
* chromium-browser: Policy bypass in CSP (CVE-2020-6519)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6520)
* chromium-browser: Side-channel information leakage in autofill (CVE-2020-6521)
* chromium-browser: Inappropriate implementation in external protocol handlers (CVE-2020-6522)
* chromium-browser: Out of bounds write in Skia (CVE-2020-6523)
* chromium-browser: Heap buffer overflow in WebAudio (CVE-2020-6524)
* chromium-browser: Heap buffer overflow in Skia (CVE-2020-6525)
* chromium-browser: Inappropriate implementation in iframe sandbox (CVE-2020-6526)
* chromium-browser: Insufficient policy enforcement in CSP (CVE-2020-6527)
* chromium-browser: Incorrect security UI in basic auth (CVE-2020-6528)
* chromium-browser: Inappropriate implementation in WebRTC (CVE-2020-6529)
* chromium-browser: Out of bounds memory access in developer tools (CVE-2020-6530)
* chromium-browser: Side-channel information leakage in scroll to text (CVE-2020-6531)
* chromium-browser: Type Confusion in V8 (CVE-2020-6533)
* chromium-browser: Heap buffer overflow in WebRTC (CVE-2020-6534)
* chromium-browser: Insufficient data validation in WebUI (CVE-2020-6535)
* chromium-browser: Incorrect security UI in PWAs (CVE-2020-6536)

Für Fedora steht dieses Update leider noch aus, da Chromium-Freeworld von RPMFusion kommt und „chromium“, was aus dem Fedora Repo kommt, vom Maintainer noch nicht gebaut wurde. Ich hab die mal beide angestupst, mal sehen was passiert 😉