ClamAV mit DOS Schwachstelle

Kleine Info für Euch: Das „Meine Security-Software wird zum Problemfall“ Problem hat auch wieder ein Linuxopfer gefunden: ClamAV. Ok, das gibt es auch für Windows, aber ist halt das AV Programm für die OSS Welt.

CVE-2020-3123 in ClamAV

Today, we’re publishing 0.102.2. Navigate to ClamAV’s downloads page to download the release materials.

ClamAV 0.102.2 is a security patch release to address the following issues.

CVE-2020-3123: A denial-of-service (DoS) condition may occur when using the optional credit card data-loss-prevention (DLP) feature. Improper bounds checking of an unsigned variable resulted in an out-of-bounds read, which causes a crash.

Für Euch: Es crasht in einer speziellen Konfiguration beim Scannen von Kreditkarteninfo. Es handelt sich also um ein sehr spezielles Problem. Trotzdem sollte das ein Update wert sein.

Bei Fedora war bis vor einer Stunde noch nichts zu sehen, daher habe ich mal auf den Busch geklopft. Mal sehen was passiert 🙂

Update: Das Problem wurde wohl erst mit 102.0 eingebaut, insofern ist nur betroffen, wer >=102.0 einsetzt. Ist wie beim Exim 4.93 Problem, da war die Schwachstelle auch erst durch ein neues Feature eingeführt worden.

Caribou durch Onboard ersetzen

Ihr erinnert Euch noch an mein Surface Tablet? Was mich bei Gnome schon seit Monaten nervt ist das OnScreenKeyboard von Gnome: Caribou.

Caribou nervt

Caribou kommt in vielen Situationen auf den Schirm, auch wenn das total unangebracht ist. Verschärfend schiebt es vorzugswiese das Terminal Fenster aus dem Sichtbereich nach oben, was an sich, eine gute Idee ist, wenn man a) beachtet wo da der Inhalt ist und b) es anschließend auch wieder korrekt in den Sichtbereich ziehen würde, wenn die Tastatur ausgeblendet wird. Beides bekommt Caribou praktisch nie sauber hin.

Dazu kommt ein Mangel an Funktionstasten, die man zwangsweise für das Editieren von Eingabefeldern braucht z.b. Cursorsteuertasten. Wer das nicht glaubt, kann ja mal selbst versuchen, eine Eingabezeile bei Firefox zu ändern, wenn da ein 3k+ Display dranhängt. Da ist dann leider nichts mit „genau mit dem Finger anklicken“ 😉

Außerdem ignoriert Caribou angesteckte Tastaturen, die an einem Surface als TypeCover bekannt sind. Dies Verhalten führt zu einem Nervfaktor jenseits von Gut und Böse.

Als Alternative OnBoard installieren.

OnBoard OnScreenKeyboard mit GEdit Texteditor

Die wesentlich bessere Alternative zu Caribou ist OnBoard, da diese Tastatur voll funktionsfähig ist. Sie erkennt Hardwaretastaturen, kann Steuertasten und andere Funktionstasten einblenden, bietet verschiedene Tastaturlayouts an und beugt sich in Größe und Position dem Willen des Benutzenden. Alles in Allem ist OnBoard die derzeit beste Wahl, wenn da nicht Caribou wäre…

Jetzt fragt Ihr Euch bestimmt, wie ich das meinen könnte. Naja, das ist ganz einfach. Auch wenn OnBoard aktiv ist, hält das Caribou nicht von seinen Mätzchen ab. Das geht sogar soweit, daß man zwei, sich überlagernde Tastaturen bekommt.

Jetzt kommt Ihr bestimmt mit: „Dann schalte die doch einfach im Barrierefreiheitsmenü aus.“. Glaubt Ihr echt das wäre simple? Das stört Caribou bzw. Gnome nicht im geringsten, ob da die Bildschirmtastatur erwünscht ist oder nicht. Sie kommt trotzdem.

Zum Glück gibt es da Abhilfe:

https://extensions.gnome.org/extension/992/onboard-integration/

Das Addon schaltet Caribou aus und ersetzt es mit OnBoard. Diese Tastatur muß natürlich vorher installiert worden sein: „sudo dnf -y install onboard“

OnBoard beschreibt sich selbst so:

„Onboard ist eine Bildschirmtastatur, die für alle nützlich ist, die keine Hardware-Tastatur verwenden können; z.B. TabletPC-Benutzer, mobilitätseingeschränkte Benutzer…

Sie wurde mit dem Gedanken der Einfachheit entworfen und kann ohne Konfiguration sofort verwendet werden, da sie das Tastaturlayout vom X-Server lesen kann.“

und da könnte was dran sein, weil sie tatsächlich ohne viel Aufwand läuft. Es ist allerdings sinnvoll, wenn man am Anfang noch die Sache mit der Hardwaretastatur klärt:

Man sieht das Einstellungsfenster von Onboard mit dem MS Typecover

Geräte, die als Eingabegerät zählen, aber nicht stören, kann man hier auf Ignorieren stellen.

Fest steht, daß OnBoard all die Funktionalität hat, die Caribou eigentlich haben sollte um als Vorzeigebildschirmtastatur gelten zu können. Das jüngst in Caribou hinzugekommene Smiley-Fenster reicht da leider nicht aus.

Eine Anwendung für OnBoard, die Caribou in absehbarer Zeit nicht erfüllen wird, hat ein Benutzer der Gnome-Erweiterung OnBoard-Integration so kommentiert:

„Works great for me on GNOME 3.32.1 on Ubuntu 19.04.
Very much appreciated as I’m able to use ctrl in touch-mode with my Lenovo X1 Yoga while using Krita without a keyboard – nice!“

Eins muß man allerdings als Nachteil hinnehmen: OnBoard funktioniert nicht für die Suche nach Programmen und Daten, wenn man die Super-(Windows)taste gedrückt hat. Da muß man (noch) zwangsweise Caribou für aktiviert haben 🙁

youtube-dl: die wirklich neueste Version bekommen

Wer schon einmal ein Video von Youtube auf dem PC laden wollte, kennt das (kleine) Programm youtube-dl vielleicht. Aufgrund neuester Änderungen an den Signaturalgorithmen von Seiten Youtube’s, kommt es seit einigen Tagen zu einem Fehler, wenn man Playlisten runterladen möchte.

Latest Version, die keine ist…

Beispielhaft soll hier mal der geschlossene Bugtrackeintrag  https://github.com/ytdl-org/youtube-dl/issues/23915 gezeigt werden:

youtube-dl --verbose 'https://www.youtube.com/watch?v=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX' 
[debug] System config: [] 
[debug] User config: [] 
[debug] Custom config: [] 
[debug] Command-line args: ['--verbose', 'https://www.youtube.com/watch?v=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'] 
[debug] Encodings: locale UTF-8, fs utf-8, out UTF-8, pref UTF-8 
[debug] youtube-dl version 2019.12.25 
[debug] Python version 3.6.9 (CPython) - Linux-4.15.0-64-generic-x86_64-with-LinuxMint-19-tara 
[debug] exe versions: ffmpeg 3.4.6, ffprobe 3.4.6 
[debug] Proxy map: {} 
 I8KSAtos-dk: Downloading webpage 
 I8KSAtos-dk: Downloading video info webpage 
 {18} signature length 106, html5 player vfl1GpCbm 
 I8KSAtos-dk: Downloading player https://www.youtube.com/yts/jsbin/player_ias-vfl1GpCbm/en_US/base.js 
ERROR: Signature extraction failed: Traceback (most recent call last): 

Von der Sorte prasseln auf die Entwickler bei GitHub derzeit einige pro Tag ein, die alle mit „added the outdated-version label Jan 31, 2020“ abgeschmettert werden.

Jetzt könnte man ja meinen, daß es da einen Updatemechanismus gibt, den man benutzten könnte, um an die neuste Version zu kommen. Laut der Projektseite: https://github.com/ytdl-org/youtube-dl gibt es den natürlich auch:

To install it right away for all UNIX users (Linux, macOS, etc.), type:

sudo curl -L https://yt-dl.org/downloads/latest/youtube-dl -o /usr/local/bin/youtube-dl
sudo chmod a+rx /usr/local/bin/youtube-dl

Wenn man das tut, bekommt man aber nicht die neueste Version, sondern die 2019.11.28 angeboten. Starrsinnigerweise beharren die Entwickler trotz gegenteiliger Beweise darauf, daß man doch die latest Version nehmen sollte. Sie nennen das die „Binary“ Version. Bloß, wo bekommt man die her?

Wo man es her bekommt

Unter https://github.com/ytdl-org/youtube-dl/releases kann man sich eine Version namens youtube-dl laden. Die kann man einfach nach /usr/local/bin/ kopieren, wo die alte Version bereits liegt. Beim Kopieren solltet Ihr die Rechte nicht verändern. Zur Not einfach „sudo chmod a+rx /usr/local/bin/youtube-dl“ hinterher ausführen.

Damit hätte man dann die „latest version“, die in den Bugtracker Ablehnungen gemeint ist. Vielleicht sollten die Entwickler mal Ihre Updatebeschreibung überdenken oder Ihren kleinen Versionsfehler auf dem Server aus der Anleitung fixen.

Interessant an der Sache finde ich nur, daß es ein ZIP Files ist und Linux das zur Laufzeit auspackt und an Python weiter gibt. Hätte ich nicht vermutet, daß das geht.

verfrühtes Ende von Elster

Wir wußten ja, daß das Elster auf dem Desktop keine all zu lange Zukunft mehr hat, aber das Kapitel jetzt durch einen Bug vorzeitig beendet wird, ist schon überraschend.

Beim Update hops gegangen

Seit Tagen suche ich nach einer anderen Lösung als Elster Online benutzen zu müssen, aber leider ging das nicht mehr. Ob das jetzt an meiner Wineumgebung, oder dem neuen Wine 5 liegt, Fakt ist, es updatet nicht mehr und zerstörte beim missglückten Update auch noch den Signator von Eric ( das ist das eigentliche Elster ). Kurz um: nichts sinnvolles geht mehr, außer alten Unterlagen beim digitalen Verwesen zu zusehen.

Da hat wohl eine Datei im Archiv vom Update gefehlt:

0067:err:module:import_dll Library libcrypto-1_1.dll (which is needed by L“C:\\Program Files\\ElsterFormular\\bin\\ericprozess.exe“) not found

Macht Euch also darauf gefasst, gleich die Online Version nehmen zu müssen. Auch wenn man Elster einiges Nachsagen kann, aber die Onlineversion ist noch schlimmer, weil total unübersichtlich.

R.I.P. Eric.

Thunderbird < 68.4.1mit RCE Schwachstelle

Und gleich nach Firefox zieht Mozilla mit der (vermutlich) gleichen Schwachstelle in Thunderbird nach: Remote-Code-Execution in Version < 68.4.1

Remote-Code-Execution in Thunderbird

Wie wir gerade vom CERT erfahren haben, ist in Thunderbird eine Sicherheitslücke enthalten, die zum Ausführen von Code aus der Ferne taugt. Mozilla schreibt dazu:

CVE-2019-17024: Memory safety bugs fixed in Thunderbird 68.4.1

Reporter Mozilla developers
Impact high
Description

Mozilla developers Jason Kratzer, Christian Holler, and Bob Clary reported memory safety bugs present in Thunderbird 68.3. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

References   Memory safety bugs fixed in Thunderbird 68.4.1

Eine weitere kritische Sicherheitslücke wurden auch gefunden, auch wenn diese nicht per Email ausgenutzt werden kann:

Announced January 10, 2020
Impact critical
Products Thunderbird
Fixed in Thunderbird 68.4.1

In general, these flaws cannot be exploited through email in the Thunderbird product because scripting is disabled when reading mail, but are potentially risks in browser or browser-like contexts.

#CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement

Reporter Qihoo 360 ATA
Impact    critical
Description  Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw.
References  Bug 1607443

 

Offensichtlich nutzen Angreifer das bereits aus, weil der gleiche Bug auch in Firefox drin war. Wie das genau dann passiert, kann ich mir allerdings auch nur schwer vorstellen.

Derzeit werden die nötigen Pakete bei Fedora noch gebaut! Es gibt also noch keine Updates, die man einspielen könnte für Euch. Andere Distributionen waren da ggf. schneller.

Update

Hier Eure Downloadlinks:

https://kojipkgs.fedoraproject.org//packages/thunderbird/68.4.1/1.fc30/x86_64/thunderbird-68.4.1-1.fc30.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/thunderbird/68.4.1/1.fc31/x86_64/thunderbird-68.4.1-1.fc31.x86_64.rpm