HTTPd < 2.4.53 von kritischer Lücke betroffen

Posted on by

httpd mit neuer Sicherheitslücke / 9.8 auf der bis 10 gehenden CVE Skala.

HTTPd < 2.4.53 von kritischer Lücke betroffen

Der Apache hat dies Jahr schon die dritte Sicherheitslücke gefixt, aber nicht bei allen ist das Update angekommen. Benutzer von Fedora 34 hatten da jetzt leider doppelt Pech, da das 2.4.53 Update im Test stecken geblieben ist und sich leider niemand die Mühe gemacht hatte, es obwohl es funktional ok ist, ins Stable Repo zu pushen.

Die Lücke CVE-2022-22720 selbst ist mit 9.8/10 bewertet worden, also extrem kritisch:

* httpd: Errors encountered during the discarding of request body lead to HTTP request smuggling (CVE-2022-22720)

Wer seinen httpd für Fedora 34 updaten will, muß dies hier angeben:

dnf update -y –enablerepo=updates-testing httpd

(Hinweis: WP wandelt doppelte Bindestriche gern in einen anderen einfachen Bindestrich um)

 

Linux am Dienstag: Programm für den 22.3.2022

Posted on by

In der nächsten Ausgabe von Spaß mit Flaggen … ähm.. ich meine natürlich Linux am Dienstag.. kümmern wir uns um die Haustechnik und basteln uns eine kleine Alarmanlage zusammen, mit Bash 😀

Linux am Dienstag: Programm für den 22.3.2022

Diese Woche haben wir u.a. eine kleine Alarmanlage mit variabler Empfindlichkeit und:

  • Sicherheit – Ukraine-Krieg mit NPM Paketen
  • CryptoBros – WinAMP vertickt WinAMP-Skin auf OpenSEA als NFT
  • Sicherheit – StephansDom in Wien gehackt
  • Linux – Alarmanlage selbst gebastelt
  • Krypto – Unsichere RSA Schlüssel in Druckern von Hand knacken

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .

Zeilen mit Bash zusammenfügen

Posted on by

Bei Linux am Dienstag hatten wir diesmal zwar keine größeren Vorträge zu Linuxprogrammen, aber dennoch etwas neues für die meisten Shellfanatiker: paste .

Zeilen mit Bash zusammenfügen

Nehmen wir mal diese Daten einer beliebigen Datei oder Shellausgabe:

Username:		User1
	0.00 MB
Username:		User#2
	0.07 MB
Username:		User3
	4630.98 MB
Username:		User#4
	209.16 MB
Username:		User5
	583.70 MB
Username:		User#6
	896.46 MB
Username:		User7
	809.58 MB
Username:		User#8
	902.74 MB
Username:		User9
	136.84 MB
Username:		User#10
	9156.09 MB
Username:		User11
	372.55 MB
Username:		User#12
	77.75 MB

Wir haben also in den ungerade Zeilen 1,3,5… usw. den Text „Username:<TAB>UserX<LF>“ stehen und in den geraden Zeilen „<TAB>2134 MB<LF>“. Diese Zeilen sollen zusammengefügt werden, daß Username und Anzahl der MB in einer Zeile mit 2(3) Spalten steht:

Username:		User1		0.00 MB
Username:		User#2		0.07 MB
Username:		User3		4630.98 MB
Username:		User#4		209.16 MB
Username:		User5		583.70 MB
Username:		User#6		896.46 MB
Username:		User7		809.58 MB
Username:		User#8		902.74 MB
Username:		User9		136.84 MB
Username:		User#10		9156.09 MB
Username:		User11		372.55 MB
Username:		User#12		77.75 MB

Wie bekommt man das hin?

Da geb es erst einmal einen kleinen Dämpfer, als wir versuchten die <LF> mit sed zu ersetzen, was nicht funktionierte und selbst wenn es funktioniert hätte, nicht die Lösung gewesen wäre, weil dann alles in einer Zeile gestanden hätte: sed -e „s/\n//g“ können wir also vom Plan streichen 🙂

Eine kreative Lösung kam dann von Matthias:

$ cat daten.txt | xargs echo | sed -e "s/MB /MB\n/g" | sed -e "s/ /\t/g"
Username:	User1	0.00	MB
Username:	User#2	0.07	MB
Username:	User3	4630.98	MB
Username:	User#4	209.16	MB
Username:	User5	583.70	MB
Username:	User#6	896.46	MB
Username:	User7	809.58	MB
Username:	User#8	902.74	MB
Username:	User9	136.84	MB
Username:	User#10	9156.09	MB
Username:	User11	372.55	MB
Username:	User#12	77.75	MB

Weil es einfacher war damit umzugehen, standen die Ausgangsdaten in einer Textdatei „daten.txt“.

„xargs echo“  gibt jede Zeile der Datei mit echo einzeln aus. Darauf hin wird sed so ausgeführt, daß der resultierende Textblock „…MB “ zu „…MB<LF>“ wird und alle Leerzeichen zu Tabulatoren <TAB>.

Das ist schon einmal eine Möglichkeit, aber es geht einfacher:

$ cat daten.txt | paste - -
Username:		User1		0.00 MB
Username:		User#2		0.07 MB
Username:		User3		4630.98 MB
Username:		User#4		209.16 MB
Username:		User5		583.70 MB
Username:		User#6		896.46 MB
Username:		User7		809.58 MB
Username:		User#8		902.74 MB
Username:		User9		136.84 MB
Username:		User#10		9156.09 MB
Username:		User11		372.55 MB
Username:		User#12		77.75 MB

Es gab keine Vorgabe, daß alle Leerzeichen verschwinden sollten. Wäre das eine Vorgabe gewesen, hätte man am Ende noch das | sed -e „s/ /\t/g“ dranhängen müssen.

$ cat daten.txt | paste - - |  sed -e "s/ /\t/g"
Username:		User1		0.00	MB
Username:		User#2		0.07	MB
Username:		User3		4630.98	MB
Username:		User#4		209.16	MB
Username:		User5		583.70	MB
Username:		User#6		896.46	MB
Username:		User7		809.58	MB
Username:		User#8		902.74	MB
Username:		User9		136.84	MB
Username:		User#10		9156.09	MB
Username:		User11		372.55	MB
Username:		User#12		77.75	MB

oder etwas schlanker:

$ cat daten.txt | paste - - |  sed -e "s/\t\t/ /g" -e "s/ /\t/g"
Username:	User1	0.00	MB
Username:	User#2	0.07	MB
Username:	User3	4630.98	MB
Username:	User#4	209.16	MB
Username:	User5	583.70	MB
Username:	User#6	896.46	MB
Username:	User7	809.58	MB
Username:	User#8	902.74	MB
Username:	User9	136.84	MB
Username:	User#10	9156.09	MB
Username:	User11	372.55	MB
Username:	User#12	77.75	MB

Merke: paste aus den CoreUtilities kann zwei oder mehr Zeilen einer Ausgabe zusammenfügen.