PVA: kleines Sicherheitsloch im IMAP Modul

Posted on 16. Juli 2022 by marius

Wie das so mit komplexer Software ist, CVE Meldungen sind quasi vorprogrammiert, aber einfache Programmierfehler tun es meistens auch 🙁

PVA: kleines Sicherheitsloch im IMAP Modul

Jetzt ist der Einschlagkrater durch die im PVA gefundene Sicherheitslücke nicht besonders groß, man müßte Ihn vermutlich mit der Lupe suchen, weil kaum wer von dem neuen Feature wußte und es ausprobiert hat, aber, zur Vermeidung gleichartiger zukünftiger Unfälle, soll die Lücke seziert und dokumentiert werden.

Was ist passiert?

In der MailConnection-Komponente, die macht die IMAP Verbindung auf, war ein Programmierfehler drin, der die verschlüsselte Verbindung zum IMAP Server unterband. Wer also die neue Funktion schon ausprobiert hat , muß mindestens auf diesen Commit updaten: 685ee5ecaa486006a0cee04cac763ee479160e6e

Hier der fehlerhafte Code:

Properties props = System.getProperties();
if ( m.secure == true ) {
       props.setProperty("mail.store.protocol", "imaps");
} else props.setProperty("mail.store.protocol", "imap");

Session session = Session.getInstance(props, null);
Store store = session.getStore("imap");
store.connect(m.servername, m.username, m.password);

Statt die laut Konfiguration (m.secure) gewünschte Verbindungsart „imaps“ zu wählen, zog es der Code vor, dann doch unabhängig davon „imap“ zu verwenden. Korrekt wäre diese Zeile gewesen:

Store store = session.getStore();

Was war die Ursache?

Als Ursache konnte „mangelndes Verständnis“ der Methode getStore(…) ausgemacht werden, um genau zu sein, wurde erwartet, daß es sich um den Unterschied zwischen „POP3“ oder „IMAP“ handelt, weil der Sicherheitslevel wurde ja vorher schon festgelegt, aber leider überschrieb der Aufruf diese Voreinstellung wieder.

Was müßt Ihr tun?

Im Repo ist das Update bereits enthalten, so daß alle die, die Automatische Updates einspielen, schon sicher sind.
Wer seinen PVA selbst baut, der muß einmal updaten und compilieren.

Wie wurde es gefunden?

Vor 11 Jahren, ja, einfach weiterlesen, entschied ich, daß meine POP3/IMAP Serverlogs von einer Software auf genau diese unverschlüsselten Verbindungen prüft und den Benutzer darüber informiert, daß er irgendwo eine unsichere Konfig hat. 11 Jahre lang habe ich keine Email erhalten, und jetzt rettet dieses kleine Script dem PVA den Arsch 😉

PS: Falls wer dachte, daß man im Github einfach mal so ein Security Advisory schreiben könnte, der hat das noch nie versucht und mir ist jetzt klar, warum so viele Projekte mit Lücken, keine Securityeinträge haben 🙁

Fedora 30: Firefox 72.0.1 im Koji bereit

Posted on 9. Januar 2020 by marius

Aufgrund mehrerer schwerer Sicherheitslücken in Firefox und dem Umstand, daß die Version 72.0 nicht funktioniert hat, gibt es für Fedora jetzt auch die 72.0.1 im Koji zum Download

schwere Sicherheitslücken in Firefox < 72.0

Es ist recht ungewöhnlich, gleich nach einer Security Release wie Firefox 72, noch eine Lücke zu fixen, aber hey, es muß wichtig gewesen sein und hier ist sie:

Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1
Announced January 8, 2020
Impact critical
Fixed in Firefox 72.0.1 , Firefox ESR 68.4.1
#CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Description
Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw.

Den wichtigen Teil, habe ich Euch mal farblich hervorgehoben 😉 Zusammen mit dieser Lücke:

#CVE-2019-17025: Memory safety bugs fixed in Firefox 72
Reporter Mozilla developers
Impact high
Description
Mozilla developers Karl Tomlinson, Jason Kratzer, Tyson Smith, Jon Coppeard, and Christian Holler reported memory safety bugs present in Firefox 71. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.

ein Grund mehr sofort zu updaten!

Hier könnt Ihr die aktuelle Version für Euch passend herunterladen, da der Stablepush noch nicht durchgeführt wurde:

F30x32: https://kojipkgs.fedoraproject.org//packages/firefox/72.0.1/1.fc30/i686/firefox-72.0.1-1.fc30.i686.rpm

F30x64: https://kojipkgs.fedoraproject.org//packages/firefox/72.0.1/1.fc30/x86_64/firefox-72.0.1-1.fc30.x86_64.rpm

F31x32: https://kojipkgs.fedoraproject.org//packages/firefox/72.0.1/1.fc31/i686/firefox-72.0.1-1.fc31.i686.rpm

F31x64: https://kojipkgs.fedoraproject.org//packages/firefox/72.0.1/1.fc31/x86_64/firefox-72.0.1-1.fc31.x86_64.rpm

Linux nicht der Rede wert, Heise?

Posted on 18. April 2019 by marius

Wir schreiben den 9.4. 2019 und Heise hat folgenden Aufmacher :

„c’t Security 2019: Zu viel Sicherheit kann schaden„

In dem Inhaltsverzeichnis der c’t Security Ausgabe 4.2019 fehlt eine OS Gruppe: Linux. Ist das jetzt gut oder schlecht, daß die neue c’t Security Linux als eigen Punkt ausspart ? Ich habe die Gelegenheit benutzt und bei der Heiseredakteurin Ilona Krause nachgefragt.

… jetzt müßte eigentlich Jepardy Musik kommen …

… Die Zeit verfliegt …. über die Straße ins Baugebiet…

… „und am Fenster zieht Wolfsburg vorbei“ …

Tja, 9 Tage später und keine Antwort von Frau Krause.

Dann hier aus Transparenzgründen die Fragen, damit nicht einer glaubt, daß diese unzumutbar gewesen wären:

Gesendet am 9.4.2019:

Guten Tag Frau Krause,

Sie haben heute die neue c’t Security 2019 vorgestellt. Ich nehme an, Sie haben sich auch mit dem Inhalt beschäftigt.

Ich hätte da vorab einige Fragen an Sie, da die Ausgabe ja noch nicht erhältlich ist. Die Antworten sollen in meinem Blog veröffentlicht werden, daher bitte nur antworten, wenn Sie damit einverstanden sind. Frage und Antworten werden ungekürzt und unbearbeitet übernommen, außer Grammatik und Rechtschreibung 😉

1. In der Abteilung Sicherheits-Checklisten wurden einige Betriebssysteme aufgeführt, eins aber ausgelassen: Linux. Wieso?

2. Kann man für Linux eine Antischadsoftwarelösung empfehlen, die wirklich funktioniert?

3. Sie führen in den Checklisten eine Software auf, die vom Amtsgericht Bad Hersfeld als gesetzeswidrig eingestuft wurde: WhatsApp.

Empfehlen Sie diese ganz zu löschen oder unterstützen Sie die Bürger und Bürgerinnen aktiv bei Gesetzesverstößen 😉 ?

( Anmerkung: Mir ist natürlich auch klar, daß es die User sind, die sich dessen nicht klar sind und deswegen gegen Gesetze verstoßen. Die Frage lautet also eigentlich: Müßte man das totschweigen, um nicht
aktiv bei der Verbreitung mitzuwirken? )

4. In der Vergangenheit haben die c’t Redakteure z.b. im Uplink 22.9 bereits über die USB-Stick Verschlüsselung diskutiert.

Kleine Zusammenfassung:
https://marius.bloggt-in-braunschweig.de/2018/07/02/wie-man-besser-usb-sticks-verschluesselt-mit-linux/

Hat sich die Meinung der Redaktion im Vergleich zum Uplink 22.9 geändert?
Seht Ihr LUKS jetzt als eine Alternative an ? (Bitte mit Begründung.)

5. und letzte Frage: Wieso gibt es keinen Artikel mit dem Thema
„Sicherheit durch Umdenken – Eine Liste mit Dingen, die man einfach nicht macht“ ?

Mir schwebt da so das übliche vor:

„Attachments nur von Emails öffnen, die man selbst angefordert hat“
„Nicht auf jeden Link klicken, ohne die Maus vorher drüber gehalten zu haben“
„Nicht jede App einfach installieren, gerade wenn die nur 100 Downloads hat.“
„Betriebssysteme einsetzen die nicht selbst schon Spionagetätigkeiten durchführen.“
„Eine Smart-Alarmanlage bei Aldi kaufen“
„Den Kühlschrank nicht ans Internet hängen“

so in der Art. Die eine oder andere These wird sicherlich in einem Spartenbeitrag enthalten sein, z.B. NoScript in Seite 143 Webbrowser. Die Frage die sich mir stellt ist, wäre eine Not-Todo-Liste nicht die bessere Herangehensweise, weil diese das Konzept der „Sicherheit durch Hirneinschalten“ sehr viel besser abbilden würde und so zu einem langfristigen Umdenken der Leser führt, statt zu dem Gedanken „Technik macht das schon“, der ja nachweislich falsch ist ?

Ich freue mich jetzt schon auf Ihre Antwort.

Jetzt Ihr alle selbst urteilen, ob es so clever war, nicht darauf zu antworten, oder ob ich mich im Ton oder den Fragen vertan habe.

Kleine Anmerkung zu WhatApp:

Das Gericht hat die pauschale und ungehinderte Weitergabe der Kontaktdaten aus dem Telefonbuchs des Handies an WhatsApp als gesetzwidrig erkannt und daraus abgeleitet, daß der Einsatz von WhatsApp SO nicht erlaubt ist. Wenn man vor der Installation von WhatsApp die Kontakte gefragt hat und alle zugestimmt haben, wäre es erlaubt.

Nur dieser letzte Umstand rettet WhatsApp vor dem Status: „illegal“. Aber da kaum jemand seine Kontakte vorher fragt, wird das halt eigentlich in der Praxis „nicht legal benutzt“, daher müßte man das ja mal breiter aufklären und deswegen auch die Frage 😉

Marius Welt

Tag Archives: Security

PVA: kleines Sicherheitsloch im IMAP Modul

PVA: kleines Sicherheitsloch im IMAP Modul

Was ist passiert?

Was war die Ursache?

Was müßt Ihr tun?

Wie wurde es gefunden?

Fedora 30: Firefox 72.0.1 im Koji bereit

schwere Sicherheitslücken in Firefox < 72.0

Security Vulnerabilities fixed in Firefox 72.0.1 and Firefox ESR 68.4.1

#CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement

Description

#CVE-2019-17025: Memory safety bugs fixed in Firefox 72

Linux nicht der Rede wert, Heise?

„c’t Security 2019: Zu viel Sicherheit kann schaden„

Kleine Anmerkung zu WhatApp: