CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Nein, heute geht es nicht um Dichtung, eher um Undichtigkeiten in Betriebssystemen 😉

CVE-2020-15999: Der Kelch, der an Euch vorbei ging

Google’s Projekt Zero hat im Oktober eine Serie von kritischen Bugs offengelegt, mit deren Hilfe iOS, Android, Windows, Macs und Linuxsysteme ĂŒbernommen werden konnten. Die LĂŒcken sind so groß, daß Apple sogar noch Iphone 5s aktualisiert und die sind seit Jahren im End-of-Live.

Ein Blick auf eine dieser LĂŒcken zeigte, daß diese auch fĂŒr Linux vorhanden war, aber unter dem Radar bliebt: FreeType < 2.10.4

„Bug #1890210 – CVE-2020-15999 freetype: heap-based buffer overflow via malformed ttf files“

Red Hat hat dazu im Bugreport geschrieben:

„A flaw was found in freetype in the way it processes PNG images embedded into fonts. A crafted TTF file can lead to heap-based buffer overflow due to integer truncation in Load_SBit_Png function.“

Wer in den letzten Tagen die Updates verfolgt hat, weiß, daß es fĂŒr Chrome, FireFox, Thunderbird eine schere SicherheitslĂŒcke beim Webseitenaufruf gab. Über den Bug im FreeType, einer Font-Rendering-Engine, die auch und gerade in Webbrowsern genutzt wird, konnte mit Hilfe eines manipulierten Fontfiles, und da zĂ€hlen auch WebFonts zu, das komplette System ĂŒbernommen werden.

Diese LĂŒcke betraf uns alle, und mit alle meine ich wirklich ALLE auf dem Planeten.

Wie kann eine so simple Sache wie einen Fontrendern, zu einer SystemĂŒbernahme fĂŒhren? Das liegt daran, daß es sich hierbei wohl um den ersten Schritt in einer ganzen Exploitchain handelt. Hat man erstmal den Fuß im Chrome oder Firefox, muß man nur noch dort ausbrechen können und das war bei Chrome ĂŒber einen Sandbox-Escape möglich. Danach findet sich im Kernel schon eine Schwachstelle, gerade bei Handies.

Von der Tragweite der LĂŒcke mal abgesehen, rankt sich um die Google Veröffentlichung noch einiges andere. In der Szene munkelt man von „Spionagekram“, wozu auch paßt, daß keiner der Beteiligten dazu irgendwas sagen möchte. Nachdem der Exploit verbrannt ist, dĂŒrften die frĂŒheren Nutzer ziemlich sauer auf Google sein. Das Google uns aber nicht sagen kann, woher die Exploits stammen und wie Sie darauf aufmerksam wurden, spricht dafĂŒr, daß es ein „us-heimischer“ Dienst war, sonst wĂ€ren die Antworten vermutlich anders. Aber, genaueres weiß man nicht, da keiner reden will.

Also feiert, daß ein Angriff weniger auf Euch möglich ist und wer von Euch Software schreibt, denkt bitte daran, wirklich sauber zu arbeiten, weil auch die unbedeutendste Lib einen immensen Schaden anrichten kann!

Systemd: resolved verkauft User u.U. an Google und Cloudflare

Was so alles ans Licht kommt, wenn man Mailinglisten verfolgt. Quasi in einem Nebensatz hat Herr Pöttering kurz mal erklĂ€rt, daß systemd gegen die DSGVO verstĂ¶ĂŸt.

Systemd: resolved verkauft User u.U. an Google und Cloudflare

Die DSGVO legt fest, daß alle Systeme die zum Einsatz kommen, in einer datenschutzfreundlichen Voreinstellung daher kommen mĂŒssen. Merkt Euch das mal fĂŒr spĂ€ter.

Hier erstmal ein Auszug aus dem Posting von Herrn Pöttering:

„Also, people would react very allergic if we’d start sending all DNS traffic to google or so. I mean, you can’t believe how pissed people are that we have a fallback in place that if no DNS servers have been configured at all or acquired via DHCP we fall back to Cloudflare + Google DNS servers. Downstream distros (Debian
) tend to patch that fallback out even…“ (Fedora ML, 29.9. 10:19)

Meint auf deutsch:

„Außerdem wĂŒrden Menschen sehr allergisch reagieren, wenn wir anfangen wĂŒrden, alle DNS Verkehr zu googlen oder so. Ich meine, Sie werden es nicht glauben, wie sauer die Leute sind, dass wir einen Fallback haben, der, wenn ĂŒberhaupt keine DNS-Server konfiguriert sind oder ĂŒber DHCP erworben werden, greifen wir auf Cloudflare + Google DNS-Server zurĂŒck. Downstream-Distributionen (Debian…) neigen dazu, das sogar raus zupatchen …“

Oh, ja, da reagieren wir Menschen allergisch drauf, weil das einen Verstoß gegen den Datenschutz darstellt. Die Debinaleute sehen das ganz richtig. Man kann nicht einfach heimlich am Benutzerwunsch oder Adminunvermögen hinweg Daten an Google oder Cloudflare schicken. Wenn das in einer Firma, einem Verein oder einer Behörde passieren wĂŒrde, dann wĂ€re das ein DSGVO Verstoß der bestraft wĂŒrde! Scheinbar hat hier jemand die Jahre 2016-2019 verschlafen, als die EU Gerichte mit so etwas aufgerĂ€umt haben. Zur Erinnerung: US Privacy Shield .. zusammengebrochen, Facebook droht mit RĂŒckzug aus der EU, Google & MS verlegen Ressourcen in die EU, damit sie weiter im Spiel bleiben können und dann kommt ein Systemd daher, der die DSGVO unterminiert.

Man stelle sich mal vor, eine grĂ¶ĂŸere Firma in der auch Linux als Desktop zum Einsatz kommt und dann steht in irgendsoeiner hart gecodeten .so drin, sie soll Google kontaktieren. FĂŒr alle die nicht wissen, was Datenschutz in Firmen heutzutage bedeutet:

  1. Zuerst muß man mal ermitteln wohin was fĂŒr Daten abfließenund wen das genau betrifft
  2. Dann muß man eine DatenschutzfolgeabschĂ€tzung dafĂŒr machen
  3. Dann muß man geeignete Schutzmaßnahmen ergreifen.
  4. Das muß als Vorgang mit laufender Nummer in die Datenschutzmappe eingetragen werden.

Jetzt habe ich als Admin also einen DNS Cache fĂŒr die Firma hingestellt und per DHCP teile ich dieses DNSCache allen PCs mit. Die PCs fragen also meinen DNS Cache und der fragt dann wen auch immer.Das DNS Cache wird also schon eine Reihe von meinen Abfragen so beantworten können, was den Datenschutzvorteil hat, daß der DNS, den das Cache wiederum fragt, nur einen Bruchteil davon sieht und so kein vollstĂ€ndiges Profil erstellen kann. Den DNS Cache ( z.b. nscd ) kann man auch per Round-Robin mehrere andere Server fragen lassen um die Profilbildung weiter zu erschweren.

Der Problemfall

Jetzt funktioniert der lokale DNS aber nicht, weil es ein Update gab, oder die VM abgestĂŒrzt ist. Systemd wĂŒrde jetzt keine gĂŒltigen DNS bekommen und Google+Cloudflare fragen. Damit wĂ€re meine komplette DatenschutzabschĂ€tzung fĂŒrn Arsch. Schlimmer noch ist der Umstand, daß diese Art Datenfluß als Vorgang ĂŒberhaupt gar nicht in meiner Datenschutzmappe vorkommt. Zum GlĂŒck ist das ein minder schwerer Fall, den der Datenschutzbeauftragte selbst regeln kann, indem er den Vorfall in die Mappe eintrĂ€gt und Maßnahmen ergriffen werden, dies zukĂŒnftig zu verhindern.

Sollte aber ein Datenschutzaudit ergeben, daß es diesen Abfluß gibt ohne das das intern gefunden wurde, sieht die Sache schon anders aus. Je nach Umfang könnte die Datenschutzbehörde ein Bußgeld verhĂ€ngen und das nur weil einer, den keiner in der Firma kennt, meinte schlauer sein zu mĂŒssen, als alle anderen. Na danke!

Jetzt kommt der nĂ€chste Oberschlaue mit dem Hinweis, daß bei DSL ja eh alle die gleiche IP von der Firma haben und individuelle Profile gar nicht erstellt werden können und außerdem wĂ€ren das ja keine privaten Domainanfragen. Das fĂ€llt bei grĂ¶ĂŸeren Firmennetzen seit IPv6 unter „Es war einmal..“ . Wenn ich einen Businesszugang mit einem reinen IPv6 Netz bekommen, habe ich einen ganzen Block zur VerfĂŒgung. Dies Netz kann ich direkt an alle Pcs durchreichen, denn dann habe ich kein NAT Problem mehr. Per Firewall kann ich den Direktzugang zu den Pcs sperren, kein Problem und wenn doch mal jemand von außen drauf muß, wĂ€ren individuelle Freigaben möglich. Das muß man als Admin natĂŒrlich auch mit IPv6 nicht so machen, aber es wurde mal so vermarktet, als fĂŒr IPv6 geworben wurde.

Das die meisten am Arbeitsplatz auch privat surfen, braucht man wohl kaum noch erwÀhnen.

Die Technisch -Organisatorischen Maßnahmen zum Datenschutz einer Firma ( TOM ) beinhalten alle Maßnahmen die man so als Firma macht und wenn da steht, wir leiten DNS ĂŒber ein Cache zum minimieren von Profilbildungen, dann kann man da schlecht ein Linux betreiben, daß sich da nicht dran hĂ€lt, oder seht Ihr das anders? Linux muß also auch in der Datenschutz freundlichen Einstellung daher kommen, was damit einen Einsatz von systemd-resolved ausschließt, da man sich da ja nicht drauf verlassen kann wie man oben sieht.

Update

Ein Leserbrief erreichte mich vorhin. Hier ist der Link, in dem das Fallbackfeature bei Systemd besprochen wird: https://github.com/systemd/systemd/pull/11666

Und gleich noch die Diskussion, wieso CloudFlare DNS besser wÀren: https://github.com/systemd/systemd/issues/8899

So richtig viel Gegenwind gabs aus der Peergruppe anscheinend nicht.

CoronaChroniken: Es tut sich was

Liebe Maskierte,

die Frage, wieso es hauptsĂ€chlich Ältere Menschen mit Vorerkrankungen in der Risikogruppe gibt, könnte geklĂ€rt worden sein.

CoronaChroniken: Es tut sich was

Wie aus einer Studie der CharitĂ© in Berlin hervorgeht, gibt es im Blut von Risikopatienten viel mehr T-Helferzellen, als im Blut von Patienten deren Verlauf mild ist. Das ist ein krasser Widerspruch zur Aufgabe der T-Helferzellen, denn die sind fĂŒr die Immunantwort verantwortlich (u.a.). Wieso verlaufen die Erkrankungen also schwerer als die von Menschen, wo viel weniger T-Helferzellen vorhanden sind? Das scheint an einer Immunantwortbremse zu liegen, denn im Blut der Patienten ist vergleichsweise wenig Interferon gamma. Das Interferon gamma löst andere Prozesse der Immunabwehr aus, ist es nicht da, fehlt diese Antwort. Die CharitĂ© geht davon aus, daß sich diese Erkenntnis als Therapieansatz nutzen lĂ€ĂŸt, weitere Studien sind nötig.

Vermutung

Wenn ich eine Vermutung Ă€ußern mĂŒĂŸte, wĂŒrde ich meinen, daß auch bei anderen Infektionskrankheiten dieses PhĂ€nomen bei schweren VerlĂ€ufen beobachtet werden kann und sich die Behandlung universell eignen wird, schwere VerlĂ€ufe bei Infektionen zu behandeln.

In weiteren Nachrichten

Gesundheitsminister Jens Spahn Ă€ußerte, bevor er auf seiner jĂŒngsten Wahlkampfveranstaltung in Bochum ausgebuht wurde, um es freundlich auszudrĂŒcken, daß ein nochmaliges Schließen von EinzelhandelsgeschĂ€ften, Friseuren etc. nicht in Frage kommt, weil es „unangemessen“ war. Ebenso wird es keine Kontaktverbote in Alten- und Pflegeheimen mehr geben. SpĂ€t, aber immerhin, ein Sinneswandel. Auf die nutzlose Maske möchte er nicht verzichten. Da bekommen wir Ihn auch noch zu 😉

Medizinisch auffĂ€llig, aber nur bedingt im Bezug zu Corona relevant, Ă€ußerte sich Herr Trumph dahingehend, daß Joe Biden und die Protestbewegung BLM von Menschen aus der „Schattenwelt“, die im Verborgenen agierten, gesteuert( und finanziert). Das war dann selbst Trumps Haus- und Hofsender Fox News zu viel: „Das klingt sehr nach einer Verschwörungstheorie“, entgegnete Fox-Moderatorin Laura Ingraham.

Apple und Google

Ähnlich schlimm, weil nicht ĂŒberprĂŒfbar, ist diese Meldung:

Apple und Google ĂŒberraschen – keine App mehr fĂŒr Coronakontaktverfolgung nötig

Man brĂ€uchte dann keine App mehr, weil es im OS ist. Was aber auch bedeutet, daß derjenige, der das OS beherrscht festlegt, ob dieses Teil aktiv ist, oder nicht. Da weder das Google Android, noch das Apple iOS schon gar nicht, nicht vollstĂ€ndig OpenSource ist, mĂŒĂŸte man hier wieder jemandem vertrauen, dessen GeschĂ€ftsmodell das Verkaufen von Daten ist, und die Handyhersteller dĂŒrfen wir nicht vergessen, die da auch dran rumfummeln können und werden. Das treibt einen eigentlich immer schneller und intensiver zu rein linuxbasierten Handies. Mögen Sie noch schneller kommen, als jetzt schon.