Category Archives: Security

Fedora: Chromium Patch wird ausgeliefert, aber nicht für alle

Posted on by

Hallo,

überraschenderweise hat mein Pinephone als erstes die gepatchte Chromium 4324-150 bekommen.

Fedora: Chromium Patch wird ausgeliefert, aber nicht für alle

Wenn Ihr für Fedora 32 und 33 in den Genuss des Updates kommen möchtet, müsst ich jetzt leider selbst Hand anlegen:

32:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/chromium/88.0.4324.150/1.fc32/x86_64/chromium-88.0.4324.150-1.fc32.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/chromium/88.0.4324.150/1.fc32/x86_64/chromium-common-88.0.4324.150-1.fc32.x86_64.rpm

33:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/chromium/88.0.4324.150/1.fc33/x86_64/chromium-88.0.4324.150-1.fc33.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/chromium/88.0.4324.150/1.fc33/x86_64/chromium-common-88.0.4324.150-1.fc33.x86_64.rpm

Die Pakete sind zwar schon fertig, aber noch nicht im Repo drin. Daher hat es mich gewundert, daß mein Pinephone das bereits so drauf bekommen hat. Da Rawhide das Testrepo des Testrepos ist, kann es sich nur um wenige Stunden handeln, bis Ihr das auch automatisch bekommt.

Da die Bugs in der Wildness bereits ausgenutzt werden und die totale Kontrolle des befallenen PCs bedeuten, ist Zeit ein Luxus, also updated lieber gleich.

 

Schwachstelle in Chrome und damit wohl in Chromium

Posted on by

Google hat verkündet, daß jeder mal sein Chrome auf den neusten Stand bringen muß, weil für die erst vor 4 Tagen gebaute 88.0.4324.96 schon Exploits im Umlauf sind.

Schwachstelle in Chrome und damit wohl in Chromium

Eine Schwachstelle in Chrome muß jetzt nicht gleichzeitig eine in Chromium sein, aber bis das geklärt ist, gehen wir mal davon aus, daß es das ist.

Jetzt haben wir nur ein Problem, zumindest für Fedora gibt es noch keinen Build zu dem man wechseln könnte. Die 88.0.4324.96-4 ist gestern erst gebaut worden. Hätte es da die 150 schon gegeben, wäre die vermutlich benutzt worden.

Für Eure Distros müßte jetzt mal in Eure Updatecenter schauen, ob die vielleicht schon eine neue 150er Version für Euch haben.

Die Schwachstelle

Über die Schwachstelle wissen wir, daß Sie in der Javascript-Engine von Chrome enthalten ist, da das keine angepaßte Komponente ist, wird das so auch für den Chromium gelten. Google gab dazu auch bekannt, das es bereits über eingesetzte Exploits informiert wurde. Für die unter Euch, die sich informieren wollen: CVE-2021-21148 ist eure Nummer.

D.b. wenn Ihr kein Update habt: Internetverbot für Chrome/ium bis das Update da ist.

 

RCE Exploits bei Cisco VPN Routern

Posted on by

Bei CISCO ist mal wieder Tag des offnen Ports: 6 schwere Sicherheitslücken.

RCE Exploits bei Cisco VPN Routern

Remote-Code-Execution auf Ciscoroutern erlauben die komplette Kaperung der Geräte durch Angreifer.

Die Schwachstellen haben die Nummern CVE-2021-1289 bis CVE-2021-1295 (CVSS score 9.8).

Folgende Geräte sind betrofffen: RV160, RV160W, RV260, RV260P, and RV260W VPN Router mit einer Firmware < 1.0.01.02.

Außerdem gibt es dann nochmal zwei Schwachstellen, bei denen Angreifer Dateien überschrieben konnten, was auch keinen Deut sicherer wäre als die CVE-2021-1295. Ob CISCO das noch irgendwann mal lernt?