RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Es ist vielleicht nicht das schlechteste, daß Mozilla seine Leute rausgekantet hat, denn je weniger da arbeiten, desto weniger können so richtig tief in die Scheiße greifen 🙁

RCE: 68.8< Firefox Mobile <80.x Schwachstelle

Wie gestern Abend von den Hacker News  berichtet wurde, gibt es im FireFox Mobile eine so gravierende Sicherheitslücke, daß sich einem die Fußnägel aufrollen. Wenn man mit einem FF M < Version 80 gemeinsam in einem WLAN oder anderen Netz ist, kann man dem Firefox eine Nachricht senden, und er führt das direkt aus: Eine Remote Code Execution Schwachstelle.Die Schwachstelle wurde im FireFox Mobile 80 für Android gefixt.

Hinweis: In einem FF Mobile 68.8 konnte das Verhalten, trotz absichtlicher Aktivierung des Features nicht reproduziert werden.

FireFox sendet SSDP Pakete ins Netz um Geräte zu finden, die man als Screencast verwenden kann. Das wäre a) der Job vom OS und b) nicht so schlimm, wenn man das Ergebnis, das einem unaufgefordert jeder im Netz senden kann, mal auf SINNVOLLE Werte prüfen würde, statt es BLIND auszuführen.

Über so einen Intent kann man auch Addons oder andere Apps Installieren’und natürlich auch Webseiten mit Exploits besuchen, das macht es so gefährlich.

Kleines Demo gefällig?

Dies Video stammt von Gitlab-Account des Red Teams:

Wer sich mit Android Programmierung nicht auskennt, ein „Intent“ ist eine Anfrage von App A an (meistens) alle anderen Apps, ob die mit dem Inhalt was anfangen können. So brauche ich bspw. als Browser keinen Videoplayer integrieren, weil das eine andere App vermutlich viel besser kann als ich.

Aber selbstverständlich nehme ich als Anwendung dazu keine Infos, die selbst von einer dubiosen anderen Stelle im Netz bekommen habe, sondern leite da nur Sachen hin, die „ich selbst“ erstellt oder runtergeladen habe vom Ziel.

So ein Verhalten ist grob fahrlässig und eines Anfängers ohne Security Schulung würdig, aber doch nicht den Entwicklern eines Marken-Browsers.

Fußnote

NetFlix Mobile scheint auch per SSDP nach Sachen zu suchen, aber ob die Entwickler den gleichen dicken Bug eingebaut haben, ist nicht bekannt. Wer selbst nachsehen will, soltle in seinem WLAN mal das hier starten: „sudo tcpdump -A -n not tcp and not icmp and port ssdp“

SSDP ist das Simple Service Discovery Protocol und gehört als UDP basiertem Dienst zum UPnP, den Universal Plug & Play. Diese ganzen Autodetect Sachen sind als Funktion ganz nett, aber führen immer mal wieder zu Schwachstellen. Per UPnP kann man z.b. als Programm der Firewall sagen, daß man gern ein Loch haben würde für seinen Dienst, ohne das der Firewall-Admin was davon mitbekommt. Wird oft von Instant-Messengern benutzt um durch die DSL-Router zu kommen.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Gerade erst ist jemand in Düsseldorf an den Folgen einer schlecht gewarteten Installation von Citrix ADC gestorben, da hat Citirix die nächste Sicherheitslücke für uns parat.

Shitrix is back : Citrix ADC – Mehrere Schwachstellen

Wie das BSI Cert mit Stand 18.9. 2020 mitteilt, sind von einer Privilegien Eskalation folgende Produkte betroffen:

Citrix Systems ADC < 11.1-65.12,
Citrix Systems ADC < 12.1-58.15,
Citrix Systems ADC < 12.1-FIPS 12.1-55.187,
Citrix Systems ADC < 13.0-64.35,
Citrix Systems Citrix Gateway < 13.0-64.35,
Citrix Systems SD-WAN < WANOP 10.2.7b, 
Citrix Systems SD-WAN < WANOP 11.1.2a,
Citrix Systems SD-WAN < WANOP 11.2.1a

Die dazu gehörigen CVE Nummern: CVE-2020-8245, CVE-2020-8246, CVE-2020-8247

Besonders prekär an der Sache:

Ein entfernter, –> anonymer <– oder authentisierter Angreifer kann mehrere Schwachstellen in Citrix Systems ADC, Citrix Systems Citrix Gateway und Citrix Systems SD-WAN ausnutzen, um einen Cross-Site Scripting Angriff durchzuführen, einen Denial of Service zu verursachen oder seine Rechte zu erweitern. Sprich: Jeder kanns. Man sehen ob die Uni Düsseldorf jetzt wieder 9 Monate braucht um gehackt zu werden: https://www.forschung-und-lehre.de/politik/hacker-haben-uniklinik-duesseldorf-erpresst-3110/

Ich frage mich immer, wieso Citrix Ihren Kram nicht einfach per Repo verteilt, das ist doch alles CentOS was die da nutzen.
Update: Es steht zu befürchten, daß die Uni Düsseldorf gar nicht durch die Januar Lücke gehackt wurde, sondern durch DIESE neue Lücke. Zeitlich paßt das, wenn die Hacker den Zero-Day hatten, bevor Citrix das überhaupt patchen konnte. Wenn man nämlich den offiziellen Bericht (s.o.) dazu durchliest, soll das bereits im Januar gepachted und auch geprüft worden sein. Wenn das stimmt, kann es eigentlich nur diese neue Lücke oben sein. Bin mal echt gespannt 😀
Update 20.9.2020:
Der Mailserver der Universitätsklinik Düsseldorf ist noch nicht wieder erreichbar. Gemerkt habe ich das nur, weil ich denen die CVEs zu den neuen ADC Lücken geschickt habe, wir dürfen gespannt sein.

 

Prognose: in KW 32/33 2020 werden ca. 3.000 Menschen zusätzlich sterben

Liebe Maskierte,

heute geht es nicht um Corona, auch wenn das was ich jetzt vorhersage von einigen als Coronatote gezählt werden wird.

Prognose: in KW 32/33 2020 werden ca. 3.000 Menschen zusätzlich sterben

Es geht mal wieder um traurige Sachen: sterbende Menschen. Beim Besuch des Statistischen Bundesamtes ist mir in den Zahlen von 2018 eine Spitze aufgefallen, die nur eine Woche angedauert hat.

Erst dachte ich da an eine statistische Anomalie, aber beim Vergleich mit anderen Ländern stellt sich raus: Diese Spitze gibt es EU-weit zur gleichen Zeit. Hier in einem alten Bild (hatte ich schon im Blog) zur Lage von Mai 2020:

(C) Bundeamt für Statistik 22.5.2020

Das Jahr 2020 ist ja hitzetechnisch bislang eher moderat ausgefallen. Da es sich dabei um „jetzt“ im Jahr handelt (August), vermute ich, daß es sich um Menschen handelt, deren Kreislauf aufgrund der Hitze nicht mehr mitspielte. Da diese Spitze jedes Jahr seit 2015 (weiter gehen die verfügbaren Graphen nicht zurück) um die gleiche Woche auftritt, wage ich die Prognose, daß dies jahr mit einem Unterschied auch wieder passieren wird 🙁

Der Unterschied ist: Durch den Lockdown haben viele konstitutiv beeinträchtigte Menschen überlebt, die vermutlich der aktuellen Hitzewelle nicht viel entgegen zusetzen haben, so daß diese Menschen jetzt gehäuft versterben werden. Da diese Menschen nicht bereits Anfang des Jahres gestorben sind, werden wir diese Hitzespitze in 2020 stärker erleben. Normal wären so um die 2.400 Personen, aber ich sage eine Spitze um 3.000 vorraus, tendenzielle eher höher als niedriger.

Wenn also in einigen Wochen die Zahlen für diesen Zeitraum vom Bundesamt vorliegen und eine „mysteriöse“ Häufung an Toten in den Medien verbreitet wird, dann wißt Ihr jetzt schon warum es da wirklich geht. Ich wette, daß einige den aktuellen Anstieg an Infizierten für diese Sterbespitze verantwortlich machen werden.

Stand dieser Prognose: 11.8.2020.

Update: Antwort von Destatis 11.8.2020

ja, aus unserer Sicht ist es naheliegend, dass Anstiege um die 30. oder 31. Kalenderwoche, wie sie auf unserer Grafik für 2018 bzw. 2019 zu sehen sind, mit Hitzetagen oder -perioden zusammenhängen. Zu den genauen Todesursachen haben wir allerdings keine Information.

Mit freundlichen Grüßen
....
Federal Statistical Office of Germany
Natural Population Change,
Demographic Analyses, Projections

Wieso die das auf Englisch da drunter schreiben, entzieht sich mir aber 🙂

Hinweis: Wenn Ihr etwas dagegen tun wollt, dann sorgt dafür das es kranke und alte Menschen kühl haben und genug trinken. Ggf. mal einen Kaffee oder ein Pils (regt beides den Kreislauf an) mehr als sonst und natürlich nicht zu dick einpacken.

Anmerkung:

Auch wenn einige Formulierungen für einige immer herzlos klingen, aber versucht diese Umstände und Vorgänge mal anders zu formulieren, das ist schwieriger als Ihr denkt ohne den Sinn zu entstellen.

Intel: Schwere Unwetter gesichtet

Oh Oh,

jemand hat bei Intel Daten, Sourcen, Videos zu CPUs und Chipsätzen usw. rausgetragen und leakt die jetzt:

https://mobile.twitter.com/deletescape/status/1291422841834016770/photo/1

In den Sourcen kommt wohl öfters das Wort „Backdoor“, zu deutsch „Hintertür“, vor.

Mehr Infos gibts hier: https://www.theregister.com/2020/08/06/intel_source_code_leak/

Das macht natürlich in nächster Zeit keinen Spaß mehr, Intel HW zu kaufen, zu benutzen oder ständig zu updaten. Wie schlimm das genau wird, ist noch gar nicht absehbar.

Wieder Baustelle auf dem Mittelweg

Es ist wieder mal soweit, eine Baustelle an der Einmündung Nordstraße/Mittelweg sorgt für Verkehrsprobleme.

Man sieht Absperrungen, Baustellenfahrzeuge, die EinmündungDie Arbeiten an einem Kabelschacht, der, oh Wunder der Koordination des Tiefbauamtes, keinen Meter von der letzten Baustelle aus Juli entfernt liegt, soll den Verkehr auf dem jeweils einseitig gesperrten Mittelweg und der Nordstraße bis zum 6.8.2020 beeinträchtigen. Hat man mir wenigstens versprochen 🙂

Mittelweg und Nordstraße sind jeweils einseitig nicht passierbar, die Nordstraße wurde allerdings zur Einbahnstraße erklärt. Wie man auf dem Foto sieht, kann man da jetzt nur noch rein fahren 🙁 Zu Staus oder ähnlichen Beeinträchtigungen wie beim letzten Mal, ist es heute noch nicht gekommen, trotz einsetzendem Feierabendverkehres.

Mittelweg: Staus und Behinderungen durch Tiefbauamt

Ein skrilles Gespräch unter Baulärm vom Asphaltfräsen endete mit einem: „Nein, Wasserleitungen.“

zu sehehn ist eine Baustelle aus der Vogelperspektive Kreuzung Mittelweg/Nordstraße

Baustelle Mittelweg – Archivbild von 2019

Dabei war die Straße erst im  Februar 2019 aufgerissen worden um Versorgungsleitungen auf das Baugrundstück der alten Braunschweiger Zeitung zu legen. Heute morgen wurde eine Ampelanlage aufgebaut, die Nordstraße zur Sackgasse gemacht und seit ein paar Minuten wird die Straße an exakt der Stelle wieder geöffnet, an der Sie 2019 schon geöffnet wurde. Leider nicht im gleichen Maße, so daß jetzt zu erahnen ist, daß es noch mehr Flicken geben wird. Es wird zwar eine alte Naht benutzt, aber die Fläche ist anders.

Ist vermutlich das Schicksal einer deutschen Straße, daß Sie dreimal geöffnet werden muß, nur weil man schon vor 5 Jahren wußte, was da kommen wird 🙁 Die Folge ist jetzt ein Rückstau bis zum Ring, und das ich vom Hof zum Parkplatz (100m Weg) einen ca. 3km langen Umweg fahren darf. Danke Tiefbauamt Stadt Braunschweig.

Coronachroniken: gefährliche Änderung im Infektionsschutzgesetz

Liebe Kasernierte,

die Bundesregierung ändert mal wieder in bewährter Hau-Ruck-Manier an einem wichtigen Gesetz rum. Der Artikel 23a soll geändert werden. Dieser lautet:

Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen (Infektionsschutzgesetz – IfSG)
§ 23a Personenbezogene Daten über den Impf- und Serostatus von Beschäftigten
Soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf Krankheiten, die durch Schutzimpfung verhütet werden können, erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus verarbeiten, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Im Übrigen gelten die Bestimmungen des allgemeinen Datenschutzrechts.

Coronachroniken: unsinnige Änderung im Infektionsschutzgesetz

Der Artikel regelt, daß Arbeitgeber Gesundheitsinformationen verarbeiten dürfen, wenn das für das Beschäftigungsverhältnis wichtig ist, z.b. weil man in der Lebensmittelindustrie arbeiten soll und da möchte man niemandem mit einem potentiellen Massenvernichtungsvirus beschäftigen. Das ist per se nachvollziehbar und ok.
Der obige Satz soll nun wie folgt geändert werden:
17. In § 23a Satz 1 werden die Wörter „Krankheiten, die durch Schutzimpfung verhütet werden können,“ durch die Wörter „übertragbare Krankheiten“ ersetzt.
Die alte Formulierung ist an sich auch schon großer Bullshit, weil es erlauben würde, daß eine Krankheit, gegen die man nicht impfen kann, nicht beim Arbeitgeber verarbeitet werden dürfte. Das meint im Extremfall, daß in der Akte einer Person eine tödliche Krankheit wie Ebola, Hunterfieber, das West-Nilvirus oder andere bislang unimpfbare Krankheit nicht auftauchen dürfen. Zum Glück darf man den Arbeitnehmer trotzdem ablehen, man darf es nur nicht in der Akte haben. Wie hirnamputiert ist das bitte?
Die neue Formulierung schließt jetzt zwar tödliche und unimpfbare Krankheiten mit ein, aber eben auch Sachen wie Herpes und Schnupfen, Krankheiten die zwar lästig sind und im Einzelfall problematisch werden können, aber statistisch als Bedrohung irrelevant sein dürften. Dafür darf dann jeder Arbeitgeber eine Akte über alle meine Rhino- und Simplexviren führen?
Von der Bürokratischen Aufwand der entsteht abgesehen, weil jeden Tag neue harmlose, aber übertragbare Viren entstehen, die dann nachgepflegt werden wollen, muß das ja dann auch wer testen. Wer soll das bitte machen?
Wäre das mein Gesetz, würde ich den Artikel komplett neu formulieren, damit klar ist, was als relevant gilt und was nicht. So ist das jedenfalls ein Freibrief für Gesundheitsdatensammler.

Artikel 25 Absatz 4

Es geht um Ermittlungen zur Todesursache bei Verdacht auf gefährliche Infektionskrankheiten:
„(4) Den Ärzten des Gesundheitsamtes und dessen ärztlichen Beauftragten ist vom Gewahrsamsinhaber die Untersuchung der in Absatz 1 genannten Verstorbenen zu gestatten. Die zuständige Behörde kann gegenüber dem Gewahrsamsinhaber die innere Leichenschau anordnen, wenn dies vom Gesundheitsamt für erforderlich gehalten wird.“
„Gewahrsamsinhaber“ meint Bestatter und Pathologien oder alle anderen, die eine Leiche lagern.
Das Wort „kann“ soll durch „soll“ ersetzt werden. Das dies im Kontext dieses Satzes Synonyme sind und die Änderung daher irrelevant, würde intelligenten Menschen sofort auffallen. Warum wäre das so? Wenn es sich um eine gefährliche Infektionskrankheit handelt, dann wird aus dem „soll“ und „kann“ ein „wird“.
Beispiel: „Die zuständige Behörde wird gegenüber dem Gewahrsamsinhaber die innere Leichenschau anordnen, weil dies vom Gesundheitsamt für erforderlich gehalten wird.“
Warum sollte man das auch sonst machen, weil Pathologen notorisch unterbeschäftigt sind? Natürlich wird ein Gesundheitsamt das anordnen, wenn es das für nötig erachtet. Das ist der ganze Sinn der Anordnungsbefugnis.
Bitte wer schreibt solche Gesetzestexte? Offensichtlich niemand der wirklich darüber nachdenkt, was er da gerade macht.
Noch ein kleines Gegenbeispiel für „kann“ … :
„Die zuständige Behörde kann gegenüber dem Gewahrsamsinhaber die innere Leichenschau anordnen, weil dies vom Gesundheitsamt für erforderlich gehalten wird, tut es aber nicht, weil sie keine Lust hat.“
Der Satz macht keinen Sinn, außer Mitarbeiter von Gesundheitsbehörden sind völlig irre Menschen, denen Verantwortung gegeben wurde, diese aber nach eigenem gutdünken gottgleich für anderes einsetzen. Sollte das der Fall sein, wäre der Wechsel des Personals eine recht gute Idee.
Und deswegen sind „kann“ und „soll“ Fallsynonyme, beide sind genauso falsch an der Stelle, es muß „wird“ lauten: „Die zuständige Behörde wird gegenüber dem Gewahrsamsinhaber die innere Leichenschau anordnen, weil dies vom Gesundheitsamt für erforderlich gehalten wird.“  Wird es das nämlich nicht für erforderlich halten, wird das Amt das auch nicht machen. QED.
Ich habe gerade echt Angst die Änderungsnovelle „der Fraktionen der CDU/CSU und SPD für einen aus der Mitte des Deutschen Bundestages“ noch weiter zu lesen. Wenn die alten und neuen Gesetzestexte alle das Kaliber haben, gründet man wohl besser einen eigenen Staat auf einer fernen Insel.

Artikel 28, Satz 2 – Wie alt ist das Gesetz eigentlich?

Jetzt wird mir schlecht… Die Masern sind tatsächlich als einzige namentlich erwähnte Infektionskrankeit in dem Text drin UND BLEIBEN ES AUCH!
„(2) Wird festgestellt, dass eine Person in einer Gemeinschaftseinrichtung an Masern erkrankt, dessen verdächtig oder ansteckungsverdächtig ist, kann die zuständige Behörde Personen, die weder einen Impfschutz, der den Empfehlungen der Ständigen Impfkommission entspricht, noch eine Immunität gegen Masern durch ärztliches Zeugnis nachweisen können, die in § 34 Absatz 1 Satz 1 und 2 genannten Verbote erteilen, bis eine Weiterverbreitung der Krankheit in der Gemeinschaftseinrichtung nicht mehr zu befürchten ist.“
Ein Kommentar:
Liebes Gesetz,
hast Du schon einmal davon gehört, daß in den letzten 80 Jahren andere hochansteckende und zudem tödliche Infektionskrankheiten gefunden wurden die es zu berücksichtigen gäbe?
Scheinbar nicht. Wieso ändert bitte niemand diesen offensichtlich mangelhaften Artikel?

Das Beste zum Schluss der Immunitätsnachweis

Der von der Regierung geplante, nicht für die Lebensmittel- oder Gesundheitsindustrie exklusive Immunitätsnachweis, der Menschen helfen soll, schneller für eine Arbeit, Reisen oder Zugang zu Orten freigegeben zu werden, der ist per se falsch.
Begründung:
1. Menschen werden Ihn fälschen, weil Sie davon Vorteile haben.
2. Menschen werden sich einer potentiell tödlichen Krankheit aussetzen, um den Nachweis zu bekommen.
3. Menschen werden bevorteilt, die sich einer potentiell tödlichen Krankheit durch Zufall, absichtlich oder durch unterlassen ausgesetzt haben.(Bezogen auf Corona meint „unterlassen“ z.B. kein Hände waschen, keinen Abstand, ignorieren von Quarantäneregeln, Coronaparties und anderer Unsinn)
In Summe werden also Pechvögel, Kriminelle, Deppen und Draufgänger belohnt. Das ist genau die Menge an Menschen, die man NICHT belohnen sollte. Auch hier zeigt sich, daß Logisches Denken in der Politik nicht vorhanden ist. Frei nach dem Motto „Was jucken mich die Folgen meines Gesetzes!“.
Beispiele bei denen das super funktioniert hat:
Harz IV -> Jugendliche die nie In die Kassen eingezahlt hatten, beantragten Hart IV und zogen in eine eigene Wohnung.
Kaufprämien für Autos -> Autos die mehr Wert waren als die Prämie wurden verschrottet.
Das sind nur die, die mir spontan eingefallen sind. Würde man beim Steuerzahlerbund oder bei Extra3 nachfragen, wäre die Liste wohl endlos! Deswegen sollte man Politiker für Ihre Gesetze haftbar machen: „Sie haben das mit verabschiedet, jetzt löffeln Sie die Suppe auch aus.“ Wie viele Politiker dann plötzlich zur Abstimmung und in die Ausschüsse gingen, statt was anderes zu machen, wäre der Wahnsinn.

Noch die Zahlen für heute

Fedora 32 RC geht Online

Hallo Fedora Fans,

die Fedora 32 Version ist auf dem Weg in den stabilen Zustand. Am 28.4. geht der RC 1 live und kann ausprobiert werden.

The Fedora 32 Final RC1.6 compose [1] is GO and will be shipped live on Tuesday, 28 April 2020.

For more information please check the Go/No-Go meeting minutes [2] or logs [3].

Thank you to everyone who has worked on this release and getting it out on time.

[1] https://dl.fedoraproject.org/pub/alt/stage/32_RC-1.6/

Ein RC (Release Candidate) ist eine Vorabversion, quasi ein offener Betatest. Wnen es keine negativen Rückmeldungen aus dem Feld gibt, dann wird daraus die tatsächliche Stable Version.

verfrühtes Ende von Elster

Wir wußten ja, daß das Elster auf dem Desktop keine all zu lange Zukunft mehr hat, aber das Kapitel jetzt durch einen Bug vorzeitig beendet wird, ist schon überraschend.

Beim Update hops gegangen

Seit Tagen suche ich nach einer anderen Lösung als Elster Online benutzen zu müssen, aber leider ging das nicht mehr. Ob das jetzt an meiner Wineumgebung, oder dem neuen Wine 5 liegt, Fakt ist, es updatet nicht mehr und zerstörte beim missglückten Update auch noch den Signator von Eric ( das ist das eigentliche Elster ). Kurz um: nichts sinnvolles geht mehr, außer alten Unterlagen beim digitalen Verwesen zu zusehen.

Da hat wohl eine Datei im Archiv vom Update gefehlt:

0067:err:module:import_dll Library libcrypto-1_1.dll (which is needed by L“C:\\Program Files\\ElsterFormular\\bin\\ericprozess.exe“) not found

Macht Euch also darauf gefasst, gleich die Online Version nehmen zu müssen. Auch wenn man Elster einiges Nachsagen kann, aber die Onlineversion ist noch schlimmer, weil total unübersichtlich.

R.I.P. Eric.