LCE in Apache OpenOffice <= 4.1.10

Auf sehr unrühmliche Weise wird gerade das personelle Defizit bei OpenOffice deutlich: Für eine LCE Schwachstelle gibt es keine Updates,

LCE in Apache OpenOffice <= 4.1.10

Falls Ihr OpenOffice einsetzt, solltet Ihr derzeit nicht einfach blind aus dem Netz stammende Dateien öffnen, daß könnte im Einzelfall weh tun. In OpenOffice <= 4.1.10 wurde eine Locale-Code-Execution Schwachstelle gefunden, sprich, wer ein verändertes Dokument aufmacht, könnte sich ein Schadprogramm eingefangen haben.

Ursache ist CVE-2021-33035, ein Bufferoverflow der geschickt ASLR (Speicherverwürfelung) und DEP Schutzmaßnahmen umgeht.

Das BürgerCERT des BSI hat gestern abend noch eine Warnung vor OpenOffice rausgegeben. Etwas sehr hoffnungsvoll heißt es darin:

„Das BürgerCERT empfiehlt die zeitnahe Installation der vom Hersteller bereitgestellten
Sicherheitsupdates, um die Schwachstellen zu schließen.“

Wenn es denn nur welche gäbe 🙁 Was jetzt ein bisschen verwunderlich ist, da alleine dies Jahr schon drei Updates von OpenOffice erschienen sind.

Gefunden hat diese Lücke Eugene Lim von der malaysischen Sicherheitsfirma GovTech Singapore Cyber Security Group. Am 18. September wurde die Lücke auf der HackerOne’s Hacktivity Online Conference vorgestellt, weil Ende August das Full-Disclosure-Date angelaufen ist, ohne das ein Fix verfügbar ist.
Das stimmt zwar nicht ganz, da in einer BETA Version der Fix bereits eingebaut wurde, nur wurde daraus bis jetzt keine stabile Version 🙁

Da jetzt hoffentlich der nötige Druck ausgeübt wird, wolltest Ihr die Downloadseite von OpenOffice im Auge behalten: https://sourceforge.net/projects/openofficeorg.mirror/files/

Internetzensur für Neuländer in Deutschland umgehen

Kaum einer von Euch wird die Clearingstelle für Urheberrecht(sverletzungen) im Internet(CUII) kennen, aber Ihr seid alle von deren Zensurentscheidungen betroffen. Schauen wir uns mal an, wie man diese Zensurmaßnahme für Neuländer umgehen kann.

Internetzensur für Neuländer in Deutschland umgehen

Kleines Vorwort:

Die Antworten des DNS die Ihr hier seht sind echt, aber der Domainname wurde ausgetauscht. Der Inhalt der Probeseite wurde nicht zu Unrecht als Urheberrechtsverletzung eingestuft. Damit Ihr nicht unnötig in die Fänge von Behörden gelangt, wurde der Name zu Eurem Schutz ersetzt. Ich habe die Seite übrigens auch nicht besucht, weil 1&1 die Zensur durch die CUII unterstützt, so kommt man zur Artikeln fürs Blog 😉

Wenn Ihr so eine gesperrte Seite aufruft und nicht schon Umgehungsmaßnahmen wie TOR, VPN oder das was gleich kommt, einsetzt, dann wird wahrscheinlich nicht mal der Betreiber der Sperrseite wissen, daß Ihr die besucht habt. Das liegt daran, daß heute der Browser zuerst HTTPS versucht und die Sperrseite da „leider“ nicht das richtige Zertifikat ausgibt. Der Browser warnt Euch also, bevor er überhaupt Inhalte runterziehen will. Also, Ja, Tante Frida, diese Meldungen vom Browser haben tatsächlich eine Bedeutung.

Fangen wir an

Trifft man auf eine gesperrte Seite, passiert das hier mit der Frage nach der IP zum Domainnamen:

$ dig a +short domainname.de
notice.cuii.info.
167.233.14.14

Der Browser sieht also die 167.233.14.14 als IP der Domain „domainname.de“. Wie man schon an dem eingestreuten „notice.cuii.info“ sieht, geht es nicht ans eigentliche Ziel „domainname.de“.

Wie erkenne ich jetzt, daß es da eine echte IP gibt?

Nun, fragen wir einfach einen Nameserver der sich damit auskennt, nämlich den, der eigentlichen Domain. So bekommen wir eine unverfälschte Antwort:

$ dig a +trace +short domainname.de
NS a.root-servers.net. from server 192.168.0.254 in 1 ms.
…Liste an Rootnameservern…
NS m.root-servers.net. from server 192.168.0.254 in 1 ms.
RRSIG NS 8 0 518400 20210922050000 20210909040000 26838 . JUgTTYYzN1MwYcXc3M72zng1WYfSd/dGLLIPCHZn8krMFHZP7aB8gmb7 YwlGcN/OVzDPGvPRKL0krs+hHoJOX5TD+poiTtIEE/itTSxNubbpD4K0 IcsCk7hGiF4/Knl2cUfV8OgVZuUoonmW//MTIfDrESuFZkLyFPNrmtfJ pBwrbuvvip2csp2OdIs0/fpWlVZHyDrusKcqpjVmCB4iQwkyWSa0kN+P 8ZjJBPF5O1lYxDjJf3z5aECI0MECTjtghDRdcsazxoUPSGFCYaP4qvJa PZH9SzpCkTH9DijQ4H8wZ1uHISbsH/aT7dZCDYSx9+NUDq9002/bZOtf Rf+Mlg== from server 192.168.0.254 in 1 ms.
A 190.115.31.20 from server 162.159.38.131 in 14 ms.

Die Parameter für dig kurz erklärt:

+short meint, daß wir nur die relevanten Infos wollen.
+trace meint, daß wir bei der Auflösung nicht das eingestellte DNSCache vom PC fragen, sondern wir fangen ganz vorn bei den Rootnameservern an und arbeiten uns zum echten DNS der Domain vor.

Die gesuchte Domain hat also die IP 190.115.31.20 und nicht 167.233.14.14, wie man uns erzählen wollte.

Nun fragen aber alle Anwendungen den eingestellten DNSCache und nicht die Rootnameserver, also haben wir jetzt die richtige IP, nun müssen wir da auch irgendwie hinkommen.

Zwei Wege:

a) sudo echo „190.115.31.20 domainname.de www.domainname.de“  >> /etc/hosts

oder b) ihr stellt Euch in den Netzwerkeinstellungen einfach einen nicht zensierenden Nameserver aus dem freien Internet ein. Das wäre die dauerhafte Lösung.

Optional wäre noch c) als Variante von b) , nämlich per VPN ins Freie Internet tunneln und da die DNS benutzen ( natürlich nicht die von TKOM/1und1/usw. 😉 Versteht sich wohl von selbst.

Listen von freien DNS Servern gibt es jede Menge im Netz, zur Not tuts auch erstmal der 8.8.8.8 von Google. Das hat andere Implikationen, aber ist nur für die Abfrage nach freien DNS Servern 🙂

Kommentar: Die Qualität der Zensurmaßnahme

Hinter dem Feigenblatt, das durch einen Ex-Bundesrichter und die BundesNetzAgentur errichtet wurde, versteckt sich der Internet Mob und deren Helfershelfer, die anstatt Rückgrad beim Kampf um die Freiheit im Netz zu beweisen, lieber den Weg der Compliance beschreiten. Anstatt die Rechtsverletzer vom Netz zu nehmen, in dem deren Hoster unter Beschuss genommen werden, geht man den Weg der Milchglasscheibe:

„Meine Herren, wir haben einen innovativen Weg gefunden, daß dort stattfindende Verbrechen zu bekämpfen. Diese Milchglasscheibe hinter der Sie jetzt stehen, schützt Sie vor dem Verbrechen, denn wenn Sie es nicht sehen, findet es auch nicht statt.“ „Und was ist das für eine spezielle Scheibe?“ „Das ist Schrödingers Milchglasscheibe.“

Solange Politiker und der Internetmob auf diesem Niveau Maßnahmen ergreifen, werden wir Kinderpornos und Piratenseiten nie los. Deswegen muß diese Maßnahme als das enttarnt werden was sie ist: Blödsinn.

Diese Zensur kann man sich sparen und die Kosten dafür auch. Leichter kann man Internetsperren nicht umgehbar machen. In Zeiten von TOR und doppellagig verschlüsselten VPNs ist so eine Sperre nur ein schlechter Witz.

Die vollmundig vorgetragene Pressemitteilung vom 11. März ( komisch, habe ich gar nichts von mitbekommen ), liest sich so:

„Sie fügen den betroffenen Branchen der Kreativwirtschaft jedes Jahr große wirtschaftliche Schäden zu,
indem sie unberechtigt Zugang zu urheberrechtlich geschützten Inhalten verschaffen und dadurch die Nutzung legaler Angebote behindern. Für die Internetzugangsanbieter als bloße Vermittler bietet das Verfahren unter Beteiligung der BNetzA die erforderliche Rechtssicherheit. “ (Quelle: https://cuii.info/fileadmin/files/20210311_PM_Gruendung_CUII.pdf)

Wenn ich das Wort Kreativwirtschaft schon höre, rollen sich mir die Fußnägel hoch. Die Werbeagenturen, Grafiker, Texteschreiber und Filmemacher halten sich als für alleinig kreativ, dabei hätten die meisten von denen keinen Job, wenn es nicht kreative Ingenieure gäbe, die Dinge entwickeln, die beworben werden (müssen). Jeder Softwareentwickler, von ein paar Ex-Kollegen von mir mal abgesehen, erbringt laufend eine kreative Leistung. Täglich, und nicht einmal im Leben, um dann für immer abzusahnen.

Aus eigener Erfahrung über die Jahre meines Lebens angesammelt, kann ich auch sagen, daß mit dem richtigen legalen Angebot, illegale Angebot leicht ausgemerzt werden können. Jeder Netflixer kann dazu sicher etwas in der Art beitragen, daß er vor Netflix auch mal Tauschbörsen benutzt hat. Selbst Musik, muß man sich heute nicht mehr von Piratenseiten holen, die wird von den Labels direkt bei Youtube angeboten. Warum klappt das? Weil jemand dafür bezahlt und das sind die, die die Werbung da schalten.

Hat sich mal jemand überlegt, was passieren würde, wenn Filme als Flatrate angeboten, mit einfachen Zugang und ständiger Verfügbarkeit angeboten würden? Gäbe es bei einem günstigen Preisangebot einen Grund diese noch zu kopieren? Von Internetausfällen und internetlosen Gebieten mal abgesehen, wohl kaum.

Überkomplizierte Verwertungskanäle und Lizenzen erschweren den Aufbau von genau solchen legalen Angeboten, die die Content-Industrie so dringend brauchen würde. Da sie an der Lizensierungskaskade selbst Schuld sind, weil die Gier schon immer groß war, sind sie auch selbst an den Piratenangeboten schuld. Die gibt es nur, weil es die Nachfrage gibt und diese legal nicht passend bedient wird.

Also, sorgt endlich dafür, daß Eure Verkaufsmodelle der Nachfrage gerecht werden und Ihr werdet glücklich sein. Aber mit solch aberwitzigen Sperren kommt Ihr dem Ziel nicht einen Schritt näher.

Verdecken, statt Verhindern

Da bei Kinderpornos die gleichen Sperrmechanismen zum Einsatz kommen, verhindert das Feigenblatt zu dem nichts, es verdeckt nur das Verbrechen, statt es zu bekämpfen. Wer etwas dagegen tun möchte, wendet sich am besten an das örtliche Hackerkollektiv, denn die können wirklich etwas gegen die Verbreitung von Kinderpornos tun. Es mag nicht legal sein, aber moralisch richtig ist es definitiv.

Vielleicht sollte man mal Strafvereitelung im Amt für diejenigen in Betracht ziehen, die diese Feigenblätter bördlicherseits decken. Würde man es ernst meinen mit dem Schutz von Kindern, hätten wir bald Drohneneinsätze gegen Bulletproofhoster wie den mit dem Netzwerk von 190.115.31.20 :

inetnum: 190.115.16.0/20
owner: DDOS-GUARD CORP.
ownerid: BZ-DALT-LACNIC
responsible: Evgeniy Marchenko
address: Suite 102, Ground Floor, Blake Building, Corner Eyre Hutson Streets, 0, -
address: - - Belize - BZ

Wer mal wissen will, wer da so Kunde ist: https://krebsonsecurity.com/tag/evgeniy-marchenko/ .

So, mit dieser Erkenntnis aus der scheinheiligen Realität deutscher Feigenblättler, entlasse ich Euch mal in die dunkle Herbstzeit, da ist genug Platz zum Nachdenken 😉

OpenSSH 8.7 verfügbar

Kurze Ansage von OpenSSH: RSA/SHA1 Signing Algorithmen werden in Kürze abgeschaltet.

OpenSSH 8.7 verfügbar

Weil der Angriff auf einen RSA-SHA1 Hash bereits für unter 50.000 $US zu haben ist, hat sich die OpenSSH Gemeinde entschlossen, diesen Signing-Algorithmus in der nächsten Release abzuschalten. Als Alternative wird rsa-sha2-256/512 empfohlen, oder gleich der Umstieg auf ecdsa-basierte Signaturalgorithmen.

Jetzt werden diese Algorithmen ja nicht gleich aus OpenSSH entfernt, sondern erstmal nur abgeschaltet. Falls mal also ein Problem damit haben sollte, auf alte Server drauf zu kommen, die seit langem keine Updates mehr gesehen haben, kann man es einfach wieder einschalten. Ein kleiner Test kann Euch jetzt bereits zeigen, ob Ihr davon betroffen seid:

ssh -oHostKeyAlgorithms=-ssh-rsa user@host

Ich habe das bei mir mal getan und konnte selbst auf einem Android 4 SSH Server von Anno 2016, keine Probleme feststellen. Sorgen muß man sich also kaum welche machen.

Das Ende von SCP

Das Ende von SCP dagegen rückt immer näher. Zur Zeit werden an SFTP Änderungen vorgenommen, die es erlauben, Daten von einem Server direkt zum anderen Server zu kopieren, so wie das mit scp auch möglich ist. Alternativ würden ja Dinge wie – ssh root@server1 „sftp file root@server2:/path/“ – auch funktionieren, auch wenn sie nicht ganz so elegant wären 😉

Die anderen Änderungen sind eher sehr speziell und werden Euch nicht direkt betreffen.

lwn.net – OpenSSH 8.7 released