Category Archives: Linux

LPD BS und doch macht es einen traurig

Posted on by

Im Zuge der Werbung für den Linux Presentation Day am Samstag 22.10. in Braunschweig, habe ich mich bereit erklärt Flyer zuverteilen. Da ich krankheitsbedingt nicht anders konnte, fuhr ich heute noch die letzten Werbepunkte an, um meine Ware auszulegen.

Trotz schönem Wetters, wird dieser Beitrag weder vom LPD, noch von Linux, noch von den Ausreden der Inhaber handeln. Er handelt von John Doe; den ich auf einer Bank in der Stadt getroffen habe. John möchte seinen Namen nicht in diesem Artikel lesen und auch kein Bild von sich auf meinem Blog sehen. Ich habe dafür Verständnis und komme seinem Wunsch nach.

John wirkt, als wenn er Ende 40 ist, aber Haarpracht und Farbe deuten eher auf Ende 30 hin. John wohnt seit drei Wochen an dieser Stelle, im Freien…im Müll. Mit seinem Wollpullover und dem Bart hätte er auch Seemann auf einem Segelschiff sein können. Neben ihm auf der Bank liegen Essensreste und Vorräte für heute, vielleicht morgen, sauber verpackt. Es erinnert mich an die belegten Brötchen in der Mensa. Daneben Tüten mit Anziehsachen und anderen Gegenständen, die möglicherweise mal sein Leben ausgemacht haben, aber auch gegen die Kälte sind. Er ist schon seit einer Weile Obdachlos, mitten in Braunschweig. Job verloren, und den Rest konnte er auch nur mit „halt so passiert“ erklären. Vielleicht wollte er auch nicht. Möglicherweise ist er es satt darüber zu reden. Das ganze Gespräch ist eher einsilbig. Ich frage, er ist schwer zu verstehen. Nach einer Weile verabschiede ich mich. Ich habe zwar noch viele Fragen, aber ich spüre, daß jetzt der falsche Zeitpunkt wäre sie zu stellen.

Auf der meiner weiteren Flyerfahrt frage ich mich, wie es sein kann, daß dieses Land für mehr als 1 Million Flüchtlinge ein Ort zu Leben ist, mit einem Dach über dem Kopf und einem vollen Magen, gleichzeitig aber lassen wir all die Schwächsten unter uns so leben, wie wir es keinem Hund zumuten würden. Wäre John ein Hund, hätte sich schon wer gefunden der für ihn sorgt oder man hätte ihn erschossen. Ich habe keine Antwort gefunden und selbst helfen kann ihm nicht, außer mit Geld und Essen.

Wer helfen möchte, kann mich kontaktieren. Wie lange John an dem Platz sein wird, weiß ich natürlich auch nicht. Es wird aber reichen mit Offenen Augen durch die Innenstadt zu gehen. Sein Lager ist nicht zu übersehen.

Aber den Leuten, die einfach vorbei gegangen sind und blöde Sprüche und Unterstellungen parat hatten, sei gesagt: Auf Euch kann man getrost verzichten!

 

Lets Encrypt: Zertifikatsprobleme auf iOS Geräten

Posted on by

Seit Dezember 2015 stellt Lets Encrypt kostenlose Zertifikate zur Verfügung. Damit kann man Webseiten und Mailserver schützen, wenn da nicht die liebe Realität in Form von iOS wäre.

Bei unserem hausinternen Versuch, die Mailserver von einem kommerziellen Comodozertifikat auf Lets Encrypt umzustellen, was für Webseiten überhaupt kein Problem war, stellte sich raus, das sofort alle iOS Endgeräte, egal ob iPhone 5,6,7 oder iOS 9,10 keine Emails mehr empfangen konnten. Entäuschenderweise war auch Thunderbird betroffen 🙁

Daraufhin haben wir auf ein Comodozertifikat umgestellt und die Lage beruhigte sich, bis einige iOS Geräte anfinden, nur noch Emails zu senden, aber keine mehr zu empfangen. Wohlgemerkt, mit dem gleichen SSL-Zertifikat 😉

Nach derzeitigen Erkenntnissen seitens Comodo und unseren Technikern, liegt das Problem beim iOS Gerät selbst. Mal sehen was Apple dazu meint.

Auflösung: Mail.APP ist buggy, denn jedes andere installierte Emailprogramm auf einem betroffenen IPhone hat das Zertifikat einwandfrei akzeptiert. Aber der Witz kommt jetzt, dem Kunden hat das neue Mailprogramm „My Mail“  viel besser gefallen als die original App 😀

 

CVE-2016-7543: gravierende Schwachstelle in Bash < 4.4

Posted on by

Durch eine fehlerhafte Auswertung von Umgebungsvariablen, kann ein lokaler Angreifer beliebigen Code als Root ausführen.

Wichtig sind zwei Parameter:

A) Er muß die Umgebungsvariablen beeinflussen aka. setzen können.

B) Er muß ein Programm starten können, daß Root gehört und das „+s“ (SetUID) Flag hat.

Mehr Infos Link: http://seclists.org/oss-sec/2016/q3/617

Wer ist betroffen ?

Betroffen ist u.a. die gesamte Fedora Palette:

Red Hat Fedora 23
Red Hat Fedora 24
Red Hat Fedora 25

Es dürften aber alle, die Bash < 4.4 einsetzen von dem Problem betroffen sein und betrifft wohl jeden Desktopnutzer.

Warum melde ich das heute, ist doch nur eine Sicherheitslücke unter vielen ?

Ohne Bashing betreiben zu wollen, aber im OSBN tauchte heute folgender Beitrag auf :  Defektes Piwik nach Update auf 2.16.3

Kurzfassung: Weil Piwik (Webanalysesoftware wie Google Analytics) plötzlich nach einem Update  500er Fehler geworfen hat, entfernte der Serverbetreiber einfach Kurzerhand die paar Restsicherheitsmaßnahmen des Apachewebservers und erlaubte es dem Piwik unnötige und sehr gefährliche Apache-Directiven in der .htaccess  auszuführen. (Wie ich grade gesehen habe, ist mein Protest auf fruchtbaren Boden gefallen und er hat es korregiert 😀 )

Hintergrund des Protestes ist, daß mit der Anweisung „AllowOverride All“ in einer Htaccess auch AddHandler und Action Anweisungen erlaubt sind.  Mit denen kann u.a. das machen :

AddHandler php-script .php .pl .rb .py .exe .cgi .sh 
Action php-script /cgi-sys/cgiwrap

Mit „/cgi-sys/cgiwrap“, was ein CGIWrapper wie FastCGI oder ein Eigenbau wie bei uns sein kann, sorgt der Webserverbetreiber normalerweise dafür, daß Prozesse als User und in einer Chroot ausgeführt werden, statt als Apachebenutzer und mit Zugriff auf “ / „. Kann ich die Optionen als Angreifer frei setzen, kann ich eigene Kommandos statt des Cgiwrappers ausführen und damit auch außerhalb der Chrootumgebung. ( Klar das Ausführen von Programmen geht beim Webangriff auch anders, gehen wir mal davon aus, daß das der einzige Weg wäre).

Wenn ich eigene Kommandos ausführen kann, kann ich obige Schwachstelle ausnutzen und Root werden. Da die obige Schwachstelle der Bash darauf beruht, daß man eine SETUID Programm ausführen muß und in einer CHROOT keine SetUID Programme von Root sind, weil es keinen Root User gibt(der ist da prinzipbedingt unnötig), kann man trotz verwundbarer Version von Bash, den Angriff nicht durchführen.  Kann ich aber den Wrapper umgehen und im Realsystem arbeiten, finde ich auch Root-SetUID Programme und der Hack gelingt.

Und deswegen trägt man in seinen Vhost das hier ein : „AllowOverride AuthConfig Indexes Limit FileInfo“ und nichts anderes.

So tragen verschiedene Mechanismen dazu bei, daß ansonsten verwundbare Systeme doch nicht geknackt werden. Die Bash braucht man oft auch in der Chroot, außer man hat keine generelle Hostingumgebung, sondern läßt da genau eine Sache drin ablaufen, was auch legitim wäre.