Der (IT) Blog aus Braunschweig
Fedora hat die Version 40 ins Beta geschickt. Da es nur einen Bug gibt, der bis zum Releasestart zu fixen ist, dürften wir im Mai schon Fedora 40 als Stable begrüßen.
GESTERN gingen über 240 Security Updatemeldungen zu Fedora 40 in meinem Postfach ein 😉 Aber das ist normal beim Start der Beta, weil die Meldungen sich in der Queue aufgestaut haben. Passiert für jede Release 😉
Auch wenn ich krank bin und eher moralische Unterstützung liefere, haben wir zwei Linux Vorträge für Euch, eigentlich drei, aber der Dritte ist so spezifisch, das könnte schwer verständlich sein.
u.a. im Programm am 13.2.2024, ab 19 Uhr:
Vortrag – Probleme mit Sicherheitsupdates bei Fedora. (Matthias)
Vortrag – SystemD-Utilities in freier Wildbahn. Wie man Container von außen konfiguriert. (Matthias)
Sicherheit – AnyDesk gehackt.. aber seit wann eigentlich?
Sicherheit – Ivanti schon wieder gehackt.
Linux – Kernel-Debug-API uprobes kann u.a. TLS Inhalte abschnorcheln
und andere IT-Newsbeiträge aus aller Welt. Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .
Hinweis: Die bisherigen Vorträge findet man unter https://linux-am-dienstag.de/archiv/ .
Ich begnüge mich mal mit der Kurzfassung:
Am 7.2. kam ein SecurityPatch auf ClamAV 1.05, das ist die ältere Linie, raus, der 2 CVEs patched, die Remote ausgenutzt werden können: https://blog.clamav.net/2023/11/clamav-130-122-105-released.html
Das Update wurde auch zeitnah vom Maintainer gebaut, aber dummerweise nicht ins Stable gepusht 🙁 Das erinnert natürlich an die OpenSSH Release vor ein paar Tagen, Ihr erinnert Euch. Keine gute Quote für das Fedoraprojekt.
Natürlich habe ich den Maintainer schon freundlich angemault, wer von Hand updaten will, kann das so machen:
sudo dnf update clamav –enablerepo=updates-testing -y
In der deutschen Bloggerlandschaft gibt es ja ein sehr aktives Blog, das sehr oft die Frage der Existenzberechtigung einer bestimmten Bundesbehörde stellt. Lieber Fefe, die machen z.B. das hier:
Sehr geehrte Damen und Herren,
im Rahmen der täglichen Lagebeobachtung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnis über Schwachstellen in der Virenschutz-Lösung ClamAV erlangt.
Demnach könnte es einem Angreifer gelingen, aus der Ferne einen Pufferüberlauf und somit einen Softwareabsturz zu erzwingen (CVE-2024-20290). Weiterhin besteht die Gefahr einer Command Injection-Schwachstelle (CVE-2024-20328), die ClamAV selbst als „kritisch“ bezeichnet.Inzwischen hat das BSI verwundbare Systeme in Deutschland identifiziert, die sich in Ihrem Zuständigkeitsbereich befinden. Konkret geht es um folgende IPs/URLs:
********* entfernt *********** ( zwar erreichbar, aber lehnt alles aus fremden Netzen ab )Wir bitten Sie, den Sachverhalt zu prüfen und ggf. kurzfristig Schutzmaßnahmen einzuleiten, um Schaden zu verhindern.
Hinweise zur Absicherung können Sie zum Beispiel den Herstellerinformationen entnehmen:
https://blog.clamav.net/2023/11/clamav-130-122-105-released.htmlMit freundlichen Grüßen
das Team CERT-BundIm Auftrag
Till Kleinert
—
Bundesamt für Sicherheit in der Informationstechnik (BSI)
CERT-Bund
Godesberger Allee 87
53175 Bonn
Ohne das BSI wäre das Update zwar auch gekommen, aber vielleicht zu spät. Also danke, daß Ihr uns kontaktiert habt.
Dank der Hilfe eines Unbekannten konnte ich das Update selbst ins Stable pushen (legal 🙂 ). Das Update kommt für jetzt.
Ich sollte mich langsam mal vom Projekt als inoffizielle Mitarbeiter bezahlen lassen 😉