CryptSetup Archive - Marius Welt

Linux am Dienstag: Programm für den 5. Oktober 2021

Ab 19 Uhr wenden wir uns wieder mal Themen aus der Linuxwelt zu. u.a. im Programm:

Vortrag – Wir bauen einen Tresor mit CryptSetup und SSHFS

UNICEF – Fedora zum öffentlichen Gut durch DPGA erklärt

Digitalisierung – Digitaler Führerschein floppt

Nachhaltigkeit – Atari1040ST seit 1986 im Einsatz

Sicherheitslücken – Chrome Exploits gehen in die nächste Runde

Außerdem im Programm „Manche Bugs sind nicht auszurotten: Eine Anwendung will Ressourcen freigeben, die gar nicht belegt sind.“ . Natürlich sind wieder Nachrichten aus aller IT-Welt dabei.

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .

Hi,

wer von Euch LUKS2 einsetzt sollte jetzt weiterlesen und nebenbei schon mal schauen, ob die Updates eingespielt sind.

CryptSetup: Update behebt CVE-2020-14382

CryptSetup fällt auf manipulierte Dateien herein, die sich als Luks2 Container ausgeben. Möglich ist es, damit ein nicht vorgesehenen Schreibzugriff auszulösen. Das ist per se nicht gut für Eure Datenintegrität 😉

Behoben wurde die in Version 2.2.0 eingeführte Ursache mit dem Update auf 2.3.4.

Nicht betroffen ist, wer Luks nicht benutzt um manipulierte Datencontainer aufzumachen aka. nicht auf alles draufklicken, was per Post kommt 🙂

Problematisch wird das nur, wenn jemand einen manipulierten USB Stick bei Euch einschieben kann, der sich als LUKS2 Laufwerk ausgibt. Da solche Laufwerke automatisch eingebunden werden, wird der Container sofort geöffnet. Hier hilft USB-Guard weiter, der nicht autorisierte USB Geräte gar nicht erst an das OS lässt.

Updates für Fedora gibts z.B. so:

sudo dnf update https://kojipkgs.fedoraproject.org//packages/cryptsetup/2.3.4/1.fc31/x86_64/cryptsetup-2.3.4-1.fc31.x86_64.rpm https://kojipkgs.fedoraproject.org//packages/cryptsetup/2.3.4/1.fc31/x86_64/cryptsetup-libs-2.3.4-1.fc31.x86_64.rpm

Quelle: https://access.redhat.com/security/cve/CVE-2020-14382