Tag Archives: fedora

Update: Fedora OpenSSH Alarm: Nicht updaten auf 7.2p2-6 !

Posted on by

Wie gestern schon berichtet, ist die openssh Version 7.2p2-6 für Fedora defekt,

Wer keinen Zugang zu seiner Monitor Konsole hat und trotzdem das Downgrade einspielen muß, kann nun auf diesen Weg zurückgreifen:

Workaround V2.0: Downgrade auf 7.2p2-3

Über den Kojilink lädt man die drei Pakete runter:

Koji :  http://koji.fedoraproject.org/koji/buildinfo?buildID=756836

dann loggt man sich via defektem SSHD ein und  downgraded die Files für einen oneshot CronJob:

echo „59 16 * * * root /usr/bin/rpm -U –force /tmp/openssh*rpm > /tmp/log; rm -f /etc/cron.d/onetime“ > /etc/cron.d/onetime

Die Uhrzeit muß man natürlich an seine aktuelle Zeit anpassen 😉

Dann Ausloggen und nach der Zeit wieder einloggen. Der Befehl „rpm -qa | grep openssh“ sollte dann 7.2p2-3 anzeigen, welches die letzte funktionierende Version war.  Danach in /etc/dnf/dnf.conf einfügen:

exclude=openssh*

erst dann zieht das nächste Update nicht wieder die defekte Version auf den Server.

Das ganze klappt, weil der crond als „echter“ Root außerhalb der SSH Session läuft und nicht über sshd angetriggert wird.

Erste Hinweise zu den Ursachen des Problems

Wie im Bugtracker von RedHat einsehbar ist, kristallisieren sich grade Probleme mit der Chroot-Funktion vom SSHD heraus. Ist die Chroot aktiviert, was man tun sollte um Benutzer den Zugang zum System zu verweigern, so daß diese keine lokalen Angriffe fahren können, sondern in einer eigenen Umgebung arbeiten können. werden die für Root nötigen Capabilities nicht mehr gesetzt.

Capabilities sind die Eigenschaften eines Users, die erweiterte Rechte im Linuxsystem beinhalten, wie z.b. das Recht sich mit PTRACE in Prozessen einzuklinken, um diese zu belauschen oder zu verändern. Diese Capabilities machen Root erst aus und fehlen in der aktuellen sshd version:

# capsh --print
Current: =
Bounding set =
Securebits: 00/0x0/1'b0
 secure-noroot: no (unlocked)
 secure-no-suid-fixup: no (unlocked)
 secure-keep-caps: no (unlocked)
uid=0(root)
gid=0(root)
groups=

Meine Vermutung: Da hat wer zuviel weggepatcht 😉

RemixOS besser, aber noch nicht wirklich benutzbar

Posted on by

RemixOS habe ich ja schon mal vorgestellt, es handlet sich dabei um einen Android Emulator, der vom USB Stick auf IntelHardware läuft. Das kann ein Laptop sein, aber auch der Desktop-PC.

Fedoras Hausvirtualisierung „Boxen“ kommt mit dem RemixOS gut zurecht, was man von Oracles VirtualBox nicht sagen kann. Ich habe keine Möglichkeit gefunden, RemixOS erfolgreich zu starten. Nur die Bootanimation war zu sehen. Boxen dagegen bootete sofort ins OS hoch.

Leider ist es eine Qual damit zu arbeiten, also RemixOS, nicht Boxen, weil alle Mausbewegungen mit gedrückter linker Maustaste erfolgen, was aber gleichzeitig auch die Aktivierung darunterliegender Elemente ist. Außerdem sind die Mausbewegungen auf dem FullHD Display nicht syncron mit der VM, weil die im 1024×768 Modus läuft.

Star Trek (tm) - Timelines im Fullscreenmodus von Boxen

In 3D Spielen wie Star Trek – Timelines beeinflußt man damit automatisch die Ansicht, wenn man überhaupt soweit kommt irgendetwas gezielt zu aktivieren. Gäbe es die Excapetaste nicht, man hätte an einen schlechten Witz denken können.

Zum Rumspielen reicht es, aber „Zocken“ kann man getrost vergessen! Und schon gar nichts, was man mit Händen steuern muß, wie Hill-Climb Racer. Kauft Euch dazu lieber den HDMI Adapter für Euer Handy oder Tablet, habt Ihr mehr von!

„Transmission“ Webseite gehackt

Die Webseite, des auch für Linux verfügbaren Bittorrentprogramm „Transmission“, wurde vor drei Tagen gehackt. Die dortigen Downloads für MacOS wurden gegen mit Backdoors ausgerüstete Dateien ausgetauscht. Wer also in den letzten Tagen dort direkt etwas runtergeladen hat, sollte das schleunigst überprüfen! (Mehr)