Linux am Dienstag: Programm für den 14. September 2021

Alle Großen haben geliefert: „Sicherheitslücken für Alle \o/ !!!“  außerdem dabei: Die Clearingstelle für Urheberrecht(sverletzungen) im Internet(CUII)  und was man gegen die machen kann.

Linux am Dienstag: Programm für den 14. September 2021

Es ist wieder mal Montagabend und das Programm für Morgen, Dienstag den 14. September 2021, muß angekündigt werden, aber laßt mich vorher noch sagen.. ähm.. schreiben, daß wir uns morgen um Zensur kümmern, etwas, daß es in Deutschland eigentlich nicht gibt, aber doch massenweise praktiziert wird. Die dabei im Internet eingesetzten Methoden sind gelinde gesagt, Feigenblätter, hinter denen sich die Beteiligten verstecken, statt zu handeln. Sei es gegen Softwarepiraten vorzugehen oder Sexualverbrecher an ihren Taten zu hindern. Lieber holt man das Schild raus, statt das Verbrechen in Aktion mit Aktion zu bekämpfen. Wäre das im realen Leben, würde man bei einem laufenden Banküberfall einen Sichtschutz aufstellen und allen Passanten verbieten, daran vorbei zu luken und darauf zu setzen, daß gar keiner weiß, wie man den Sichtschutz umgeht.

Außerdem haben wir noch im Programm:

Sicherheitslücken – 57 Schwachstellen in Chromium < 93
Sicherheitslücken – Schwachstelle in Matrix Server Synapse
Sicherheitslücken – Schwachstellen in Thunderbird und Firefox
Sicherheitslücken – Schwachstellen in Proftpd
USB Powercontrol mit uhubctl
*Internetzensur durch die Provider und die CUII

Wie jede Woche per Videokonferenz auf https://meet.cloud-foo.de/Linux .

Kleine Anmerkung: Die bisherigen Vorträge findet man jetzt unter https://linux-am-dienstag.de/archiv/ .

*) Einen Beitrag zur Internetzensur könnt Ihr ab Dienstag, 18 Uhr unter folgendem Link abrufen:

Internetzensur für Neuländer in Deutschland umgehen

 

 

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Die aktuelle Version von Dovecot für Fedora, Version 2.3.15, hebt über die internen Defaulteinstellungen das MinimalProtokoll für TLS von TLS 1.0 auf TLS 1.2 an, ganz zum Nachteil alter Mailprogramme.

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Montag Morgen, Internet: Gegen 6 Uhr morgens weisen die Fedoraserver eine neue Dovecotversion aus. Wenige Sekunden später fangen die ersten Server im Cluster an, das Update einzuspielen. Gegen 8 Uhr kommen die ersten Beschwerden beim Support rein, daß einige Benutzer keine Emails mehr abholen könnten.

Eine Analyse später steht nur fest, daß die Clienten beim Abholen eine „nicht unterstützte TLS Version sprechen“, komischerweise aber noch Emails senden können. Die Zugriffe der Mailprogramme findet dabei über die seit 1994 in Betrieb befindlichen SSL-Ports 993 und 995 statt, was die Vermutung nahe legt, daß die Mailprogramme dabei auch das damals übliche SSLv3 sprechen oder zumindest nicht TLS 1.2+.

In den Adminkreisen kommt der Verdacht auf, ein Windowsupdate hätte das Problem verursacht, was sich aber als falsch herausstellt, da nach und nach auch Android und Macuser Probleme melden.

24h später steht die Ursache fest: Das Dovecot Update 2.3.15 bringt ein Securityupdate mit, in dessen Zuge die minimale Protokollversion für TLS Verbindungen von TLS 1.0 auf TLS 1.2 gesetzt wird. Eine Umstellung der Mailprogramme aus das moderne STARTTLS stellt in den Mailprogramm dann auch die verwendete Krypto von „völlig veraltet“ auf „modern“ um, so daß die Probleme mit einen Klick behoben werden können.

Im Changelog liest sich das übrigens so:

CVE-2021-29157: Dovecot does not correctly escape kid and azp fields in JWT tokens. This may be used to supply attacker controlled keys to validate tokens, if attacker has local access.
CVE-2021-33515: On-path attacker could have injected plaintext commands before STARTTLS negotiation that would be executed after STARTTLS finished with the client.
Add TSLv1.3 support to min_protocols.

Da die Sicherheitslücken nicht umgangen werden können, bleiben die alten Versionen draußen. Dies hat uch den Vorteil, daß jetzt TLS 1.2 das Mindestmaß auch bei Privatanwendern ist.

Zwei Einzelfälle möchte ich Euch allerdings nicht vorenthalten:

a) Ein Benutzer nutzte auch beim Senden noch TLS 1.0, was den Verdacht nahelegte, daß hier eine alte Version in Spiel war. Es kam raus, daß noch Thunderbird V17 von 2013 benutzt wurde und nie Updates eingespielt wurden 🙂 Ein Update wirkte Wunder 😉

b) Ein anderer Benutzer nutzte auch noch TLS 1.0, aber hier war Hopfen und Malz verloren, da es sich um einen MAC von 2006 oder 2007 handelte. Dem ist in sofern nicht mehr zu helfen, da es hier keine Updates mehr gibt, die diese HW noch mitmachen würde.

Merke: Alte Hardware ist nur charmant, wenn Sie auch noch sicher ist.

WordPress: über vergessene Defaults

Entschuldigt bitte die Störung mit nicht OSS relevanten Beiträgen. Die Ursache, wieso das immer wieder passiert wurde gefunden.

WordPress: über vergessene Defaults

Wer viel für eine Kategorie seines Blogs schreibt, der kann sich einiges sparen, aber wenn man das mal vergißt und für eine andere Kategorie schreibt, dann landet es ggf. bei der falschen Zielgruppe.

Daher hier der Hinweis, wie man das in WordPress abstellt:

Die Standard-Beitragskategorie muß lediglich auf etwas „anderes“ gestellt werden.

Apropos WordPress

Wer noch nicht auf 5.5.3 aktualisiert hat, der sollte das schnellsten machen:

Das BSI informiert über mehrere Sicherheitslücken in WordPress < 5.5.2 vom 1.11.2020 :

https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2020/11/warnmeldung_tw-t20-0188.html

Zusammenfassung:

Ein entfernter, anonymer Angreifer (Jeder) kann mehrere Schwachstellen in WordPress ausnutzen, um Cross-Site-Scripting und Cross-Site Request Forgery (CSRF) Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen, Informationen offenzulegen und Code zur Ausführung zu bringen.

https://wordpress.org/news/2020/10/wordpress-5-5-2-security-and-maintenance-release/

Beim Durchsehen unserer Blogs habe ich dann tatsächlich eine Installation gefunden, die es per utoupdate nicht auf 5.5.3 geschafft hatte. Es gilt: „Vertrauen ist gut, Kontrolle ist besser.“