Red Hat Politikänderungen wirken auch auf Fedora nach

Red Hat hatte ja einige Änderungen am Engagement für Desktopelemente in Aussicht gestellt, die jetzt langsam durchschlagen.

Red Hat Politikänderungen wirken auch auf Fedora nach

Bastien Nocera schreibt in seinem Blog, daß er von Red Hat in ein anderes Team versetzt wurde und die ohnehin schon geringe Arbeit an „fprint, fprintd, gnome, gvfs, iio-sensor-proxy, kernel, libfprint, low-memory-monitor, power-profiles-daemon, rhythmbox, sound-juicer, switcheroo-control, thumbnailer, totem“ einstellen mußte. Das führte zum Verwaisung der Pakete bei Fedora.

Langzeit Maintainer Michael Catanzaro, der auch bei Red Hat angestellt ist, schrieb dazu am Montag auf der Fedora Dev ML:

„Red Hat has instructed us to stop work on several core desktop components. All of these components need new maintainers now. The switcheroo-control repo has now been archived, and a future new maintainer will need to recreate the repo in a new location. It’s certainly not good news. :(„

Cinnamon & Nvidia Maintainer Leigh Scott nahm das zum Anlass um wenigsten einige der Pakete von der LinuxMint Gruppe übernehmen zu lassen. Dutzende andere Pakete warten aber noch auf einen neuen Maintainer.

Der ‚Umorientierung‘ bei Red Hat, der mutmaßlich von IBM inszeniert wurde, geht also weiter und wird sicherlich noch spürbare Ausmaße annehmen, weil Red Hats Engagement weitest gehend im  Stillen abgelaufen ist. Das wird sich sicherlich jetzt ändern.

RED HAT macht Schluss!

Die öffentliche Security Alert Mailingliste von Red Hat wird zum 10. Oktober eingestellt. Von da an braucht man einen Red Hat Account mit einem gültigen Abo um weiterhin die Alarmmeldungen zu bekommen.

RED HAT macht Schluss!

Ganz im Sinne der jüngsten Entwicklungen zur Abschottung nach außen bei Red Hat geht es jetzt in die nächste Runde:

RHSA-ANNOUNCE MAILING LIST SHUTDOWN NOTIFICATION

This is a notification to inform all subscribers that on October 10, 2023,
the rhsa-announce mailing list will be disabled by Red Hat Product
Security, and no additional Security Advisory notifications will be sent to
this list. The mailing list archives will continue to be available at:

https://listman.redhat.com/archives/rhsa-announce/

To continue receiving information about released security advisories,
logged-in users that have active Red Hat Subscriptions can set up
notifications at:

https://www.redhat.com/wapps/ugc/protected/notif.html

Alternatively, all users can make use of the Red Hat Security Errata
RSS feed published at:

https://access.redhat.com/security/data/metrics/rhsa.rss

Or consume security advisories in a machine-readable format at:

https://access.redhat.com/security/data/csaf/v2/advisories/

For any concerns regarding the shutdown of this mailing list, please, reach
out to Red Hat Product Security at <secalert at redhat.com>.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=0tZ4
-----END PGP SIGNATURE-----
--
RHSA-announce mailing list
RHSA-announce@redhat.com
https://listman.redhat.com/mailman/listinfo/rhsa-announce

Traurigerweise muß man gespannt sein, was der nächste Schritt von IBM ist, das alte Red Hat zu demontieren.

libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

„WOW“ entfleuchte es mir vorhin kurz, deswegen kommt Ihr jetzt in den Genuß einer drei Jahre alten Sicherheitslücke kommt.

libvncserver Sicherheitslücke erreicht 9.8/10 und wurde lange nicht gefixt

Beim Durchsehen von Securityadvisories bei Red Hat Enterprise Linux stolperte ich über eine CVE Nummer aus 2017:

* libvncserver: websocket decoding buffer overflow (CVE-2017-18922)

For more details about the security issue(s), including the impact, a CVSS
score, acknowledgments, and other related information, refer to the CVE
page(s) listed in the References section.

Da nicht dabei stand, was da los war und wieso das erst jetzt gefixt wurde bei Red Hat, habe ich kurz recherchiert. Was dabei raus kam war diese Meldung von Red Hat:

Date: Tue, 30 Jun 2020 10:50:09 +0200
From: Stefan Cornelius <scorneli@...hat.com>
To: <eine Distri übergreifende ML>
Subject: libvncserver: old websocket decoding patch

Hi,

Upstream libvncserver fixed a websocket decoding issue >3years ago in
https://github.com/LibVNC/libvncserver/commit/aac95a9dcf4bbba87b76c72706c3221a842ca433

AFAICT, this never got a CVE and wasn't backported by some
distributions.

Thanks and kind regards,

[I sent a heads-up about this to distros last Friday, 'embargo' ran out
on Monday 20:00 UTC]
-- 
Stefan Cornelius / Red Hat Product Security

Da fixt also jemand eine drei Jahre alte Sicherheitslücke, weil die damals wohl keine CVE Nummer bekommen hatte, oder jemand diesen Umstand übersehen hat. (Könnte ja auch den besten mal passieren). Wäre das jetzt irgendeine schwer auszunutzende Lücke gewesen, hätte ich das achselzuckend abgehakt, aber das war es nicht.

In der NIST Datenbank findet sich nämlich das hier dazu:

It was discovered that websockets.c in LibVNCServer prior to 0.9.12 did not properly decode certain WebSocket frames. A malicious attacker could exploit this by sending specially crafted WebSocket frames to a server, causing a heap-based buffer overflow.

Severity

Base Score: 9.8 CRITICAL
Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
9.8 von 10.0 möglichen Punkten auf der Destruktionsskala, also eine leicht auszunutzende Lücke, die ohne Autorisierung am System funktioniert und eine Übernahme des Servers ermöglicht. Und DAS haben die übersehen… => WOW!
Als wenn das nicht schon genug wäre, kommt bei der Durchsicht der Updatemeldungen bei Fedora raus, das da gleich noch 3 andere jahrealte mit CVE Nummern versehen Sicherheitslücken gestopft wurden:
[ 1 ] Bug #1849877 – CVE-2019-20839 (Score 7.5) libvncserver: „ConnectClientToUnixSock()“ buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1849877
[ 2 ] Bug #1849881 – CVE-2019-20840 (Score 7.5) libvncserver: unaligned accesses in hybiReadAndDecode can lead to a crash https://bugzilla.redhat.com/show_bug.cgi?id=1849881
[ 3 ] Bug #1849886 – CVE-2018-21247 (Score 7.5)  libvncserver: uninitialized memory contents are vulnerable to Information Leak https://bugzilla.redhat.com/show_bug.cgi?id=1849886
[ 4 ] Bug #1852356 – CVE-2017-18922 (Score 9.8) libvncserver: websocket decoding buffer overflow https://bugzilla.redhat.com/show_bug.cgi?id=1852356
Also das ist sicherheitstechnisch mal gründlich in die Hose gegangen. Jetzt denkt Ihr, betrifft mich nicht, ist ja Fedora und Red Hat.. leider Pech gehabt! betroffen sind auch:  OpenSUSE & Ubuntu. Man darf annehmen, daß Arch & Debian auch mit von der Partie sind. (kann ja mal kurz wer verifizieren, der die jeweiligen Updatesysteme kennt)

Quelle: https://nvd.nist.gov/vuln/detail/CVE-2017-18922
Quelle: https://www.openwall.com/lists/oss-security/2020/06/30/2