WordPress: über vergessene Defaults

Posted on by

Entschuldigt bitte die Störung mit nicht OSS relevanten Beiträgen. Die Ursache, wieso das immer wieder passiert wurde gefunden.

WordPress: über vergessene Defaults

Wer viel für eine Kategorie seines Blogs schreibt, der kann sich einiges sparen, aber wenn man das mal vergißt und für eine andere Kategorie schreibt, dann landet es ggf. bei der falschen Zielgruppe.

Daher hier der Hinweis, wie man das in WordPress abstellt:

Die Standard-Beitragskategorie muß lediglich auf etwas „anderes“ gestellt werden.

Apropos WordPress

Wer noch nicht auf 5.5.3 aktualisiert hat, der sollte das schnellsten machen:

Das BSI informiert über mehrere Sicherheitslücken in WordPress < 5.5.2 vom 1.11.2020 :

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/11/warnmeldung_tw-t20-0188.html

Zusammenfassung:

Ein entfernter, anonymer Angreifer (Jeder) kann mehrere Schwachstellen in WordPress ausnutzen, um Cross-Site-Scripting und Cross-Site Request Forgery (CSRF) Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen und Code zur Ausführung zu bringen.

https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/

Beim Durchsehen unserer Blogs habe ich dann tatsächlich eine Installation gefunden, die es per utoupdate nicht auf 5.5.3 geschafft hatte. Es gilt: „Vertrauen ist gut, Kontrolle ist besser.“

CoronaChroniken: Rückgang ohne Lockdown

Posted on by

Liebe Maskierte,

schon in der Bundespressekonferenz fragte Anfang der Woche ein Journalist, was denn der Knick bedeuten würde. Schauen wir doch mal 🙂

CoronaChroniken: Rückgang ohne Lockdown

Gemeint ist der Abfall der Neuinfektionskurve:

Deutlicher sieht man das in Graphen, der den Unterschied zum Vortag darstellt:

Hier die aktuellen Graphen mit Sterbefällen und hospitalisierten Personen:

Ich hatte es ja Anfang der Woche schon angedeutet und diesmal hat es sich dann ja auch bestätigt: Diese Woche waren es weniger Neuinfizierte, als letzte Woche. Da die Inkubationszeit mindestens 5 Tage beträgt, kann der tolle Lockdown nicht die Ursache für den Abfall sein und daher glaube ich, ist dem erst einmal nicht viel hinzuzufügen. Gute Nacht 🙂

LUKS2: CVE-2020-14382 – out of bounds write

Posted on by

Zeit für ein Update von CryptSetup: CVE-2020-14382

LUKS2: CVE-2020-14382 – out of bounds write

CryptSetup ist das Tool, daß Luks Container, egal ob als Datei oder Festplatte, einhängt und/oder bearbeitet. Eine Lücke im Speicherhandling von CryptSetup kann von einem Angreifer ausgenutzt werden, indem er einen manipulierten Container einer anfälligen Version von CryptSetup präsentiert, was z.B. durch das Einstecken eines USB Sticks ausgelöst wird.

Die Lücke in CryptSetup sorgt dafür, daß weniger Speicher allokiert wird, als tatsächlich angegeben ist, aber von dem manipulierten Inhalt des Containers aufgrund mangelnder Grenzprüfungen, überschrieben werden kann. Damit gelangt ggf. Code an eine Stelle, die von einem anderen Prozess genutzt wird. Die Lücke CVE-2020-14382 kann also ggf. zu Arbitrary-Code-Execution führen, wenn es im System dumm läuft.

Daher empfehle ich Euch kurz mal nach dem Zustand Eures CryptSetup Befehls zu schauen und ggf. zu Updaten, denn auch wenn Ihr selbst keine Festplattenverschlüsslung benutzt, es reicht, daß das Paket auf dem System installiert ist und jemand einen USB Stick einsteckt.

Kleine Anmerkung zur Lage

Falls Ihr die Red Hat Securityliste lest, ist Euch auch aufgefallen, daß da heute ein ganzes Rudel (70+) Sicherheitsadvisories gekommen sind und die Bugs größtenteils Nummern aus 2018 und 2019 tragen? Ich glaube, da ist etwas arg schief gelaufen bei Red Hat.