Fragen? Antworten! Siehe auch: Alternativlos
Das ist so komplex, dass es nicht mal Google richtig hinkriegt.
Die scheinen ihre Zertifikats-Prüfung ziemlich grundlegend verkackt zu haben. Immerhin scheint das erstmal nur neue Apps zu betreffen, die per F-Droid installiert werden, nicht Updates zu Apps, die per F-Droid installiert wurden. Wenn ich das richtig verstehe.
Ich finde das immer grotesk, wenn Leute den richtigen Schritt gehen, mal ein paar Security-Leute um Hilfe zu bitten, aber dann deren Empfehlungen nicht umsetzen.
In der Sicherheitsmitteilung schreiben die Programmierer der Open-Source-Software, dass die Icinga-2-Master, -Satelliten und -Agents in unterschiedlichen Setups von einer fehlerhaften Zertifikatsüberprüfung betroffen sind. In allen Icinga-Versionen ab 2.4.0 können Angreifer die Prüfung umgehen und so vertrauenswürdige Cluster-Knoten sowie jedweden API-Nutzer, der TLS-Client-Zertifikate zur Authentifizierung nutzt, imitieren (CVE-2024-49369, CVSS 9.8, Risiko "kritisch").You had ONE Job!
Zero-Click Flaw Exposes Potentially Millions of Popular Storage Devices to Attack
Ein Vögelchen flüstert mir gerade, dass die gerade aktiv exploitet werden, aber Fortinet nur den Kunden Bescheid gibt, die ein NDA unterschrieben haben.
Trustworthy computing, wie es im Buche steht! Noch seriöseres Geschäftsgebahren geht ja kaum!1!!
Unter uns: You had me at "Fortinet".
Was passiert, wenn Microsoft Linux-Software produziert?
Eine Weile nichts, dann regnet es Remote Code Execution! :-)
Für viele Android-Geräte da draußen ist die Antwort: Ja.
The zero-day vulnerability, officially designated CVE-2024-43047, “may be under limited, targeted exploitation,” according to Qualcomm, citing unspecified “indications” from Google’s Threat Analysis Group, the company’s research unit that investigates government hacking threats.
Fortinet confirms data breach after hacker claims to steal 440GB of filesToller Laden. Da will man doch einkaufen!!1!
Anyone who knows the Bluetooth MAC address (which is somewhat public) can connect to your AirPods and listen to the microphone or play music.
Ich hab kein Mitleid mehr.
Ich freu mich gerade besonders über diese Formulierung in dem Artikel:
Critical code-execution flaw was under exploitation 2 months before company disclosed it.So sieht das nämlich aus. Hersteller sitzen gerne monatelang auf Sicherheitslücken, bevor es einen Patch gibt. Der Kunde kriegt normalerweise gar nicht mit, wie lange der Hersteller schon von der Lücke wusste.Auch in diesem Fall weiß man das nicht genau. Aber man weiß, dass das schon monatelang aktiv ausgenutzt wurde, und der Hersteller fand es nicht nötig, ihre Kunden davon zu unterrichten.
224 Injured After Glitchy Diabetes App Drains Insulin Pump BatteriesIch bin mir sicher: Auch wenn da jemand gestorben wäre, müsste jetzt niemand in den Knast.
Softwareproblem. Kann man nichts machen.
Based on our investigation, a third party gained access to a Dropbox Sign automated system configuration tool. The actor compromised a service account that was part of Sign’s back-end, which is a type of non-human account used to execute applications and run automated services. As such, this account had privileges to take a variety of actions within Sign’s production environment. The threat actor then used this access to the production environment to access our customer database.Ja Scheiße, Bernd! Wer hätte gedacht, wenn wir unsere Dokumente in die Cloud hochladen, dass die da wegkommen könnten?!Hätten wir doch bloß auf diesen einen Blogger aus Deutschland gehört, der das seit Jahrzehnten vor warnt!
We’ve found no evidence of unauthorized access to the contents of users’ accounts (i.e. their documents or agreements).Oh super! Dann haben wir ja nochmal Glück gehabt und können alle so weitermachen, als wäre nichts passiert!!1!
Ein unter dem Pseudonym CtrlAlt auftretender Sicherheitsforscher hat einem Spiegel-Bericht zufolge eine Schwachstelle im eID-Verfahren aufgedeckt. Damit sei es ihm gelungen, im Namen einer fremden Person ein Konto bei einer großen deutschen Bank zu eröffnen.Nota bene: Das war genau das Szenario, das das Verfahren verhindern sollte.
Vielleicht sollte da doch mal jemand jemanden fragen, der sich mit sowas auskennt?
Ich könnte ja viel gelassener auf sowas reagieren, wenn es nicht meine Steuergelder wären, die da für Cyberclown-Securitytheater verbrannt würden.
Aus dem Blogpost des Forschers:
A responsible disclosure process was conducted with the BSI (Bundesamt für Sicherheit in der Informationstechnik), during which the BSI acknowledged the presence of the vulnerability. Their defense centers on the user’s responsibility for maintaining the security of their client devices.War ja klar. BSI so: Habt ihr auch alle 17 Lagen Schlangenöl gestapelt? Ja? Dann macht mal sicherheitshalber noch eine 18. Lage drüber!1!!
Lasst mich das an dieser Stelle nochmal absolut unmissverständlich sagen: Wenn du davon ausgehst, dass die Endgeräte sicher sind, DANN BRAUCHST DU KEINEN NPA ZU VERTEILEN! Vollpfosten, allesamt.
However, users typically exhibit poor security practices. In addition, this paper demonstrates that the attack remains successful even when all BSI recommendations are followed and client devices are updated.Ach. Ach was. Das war bloß Ass-Covering? Nur Security-Theater? Hätte uns nur rechtzeitig jemand gewarnt!!1!Hey, Fefe, ich habe gehört, die neue BSI-Chefin kommt aus der Informatik. Die ist gar kein Cyberclown! Mit der wird bestimmt alles besser jetzt!1!!
Kommt, liebes Publikum, rollt noch eine Ehrenrunde Schlangenöl über eurer Infrastruktur aus. Wer zuerst über sein Schlangenöl geransomwared wird, muss eine Runde ausgeben!
Update: OK, nochmal mit ein bisschen Abstand. Sicherheitsforscher mit Pseudonym, Blogpost auf Medium und PDF auf Dropbox, da gehen direkt alle Unseriositätslampen an. Bei euch hoffentlich auch. Inhaltlich haben wir es hier mit einer Eigenheit der Apple-Plattform zu tun, nicht mit einem Bug in der App, und die App kann da inhaltlich auch nicht so viel gegen tun jetzt.
Meine Einstellung dazu ist: Apple sind ein paar Tech-Bros aus Amerika, mit einem beschissenem Security-Track-Record. Die sind durch die BSI-Empfehlungen überhaupt erst zu einer satisfaktionsfähigen Plattform geworden für nPA-Scheiß, und da hat das BSI schlicht niemanden, auf den sie jetzt zeigen können. Das ist deren Verkacken, aus Gründen von Realpolitik. Aber aber aber der Minister verwendet ein Apple-Telefon!!1! Da können wir doch nicht ... ja, äh, doch. Könnt ihr nicht nur, das wäre genau eure Aufgabe gewesen, ihr Cyberclowns. Nicht dass Android fundamental besser wäre.
Wenn du findest, das das Gerät vertrauenswürdig sein sollte, dann ist Anforderung Nummer 1, dass da kein Code nachinstallierbar ist. Damit sind wir dann aber bei einer Gerätekategorie wie einem Analogtelefon oder einer Supermarktkasse.
Das ist übrigens alles gaaaaanz kalter Kaffee. Windows NT hat damals Ctrl-Alt-Del für den Login-Screen eingeführt, den sogenannten Secure Attention Key. Das war genau diese Kategorie von Problem. Wie verhindern wir, dass eine Anwendung so aussieht wie ein Login-Screen, und User ihre Passwörter dort eingeben? Du brauchst einen Weg, wie der User erkennbar einen sicheren Eingabepfad hat, und da darf sich dann auch niemand einklinken und mitlesen können. Das ist dann aber alles Software und möglicherweise hackbar. Eigentlich geht das nur, wenn da keine Software nachinstallierbar und die Hardware verplombt ist.
Hier haben wir es mit einer anderen Art von einklinken zu tun, aber die Kategorie Problem ist dieselbe.
Update: Wisst ihr, wer 2010 auf die Problematik mit den sicheren Eingabegeräten hinwies? Anlässlich des "neuen elektronischen Personalausweise" und der SuisseID? Der CCC! Schade nur, dass nie jemand auf die Experten hört. War wichtiger, auszusehen, als würde man Digitalisierung vorantreiben.
Update: Fortsetzung. (Danke, Tenshi)
Ich habe kein Mitleid. Ich habe euch alle ausreichend gewarnt.
Es handelt sich um ein zero click pre-auth remote code execution, d.h. wurmbar.
Microsoft hampelt jetzt rum, ob das bereits exploitet wird oder nicht. Kann mir keiner erzählen, dass das nicht in null komma nichts exploitet wird.
Viel Spaß beim Aufwischen!
Hey, wenn euch eure Cyberversicherungen nicht auszahlen, muss dann vielleicht doch mal irgendwann Microsoft haften für die verkackte Software, die sie euch verkauft haben? Würde mich ja wundern. Ich glaube langsam, ihr WOLLT alle ständig über Microsoft-Lücken exploitet werden. Damit endlich mal nicht ihr Schuld seid sondern der Mann im Mond, äh, in Redmond.
Hey, wieso migriert ihr nicht in die Cloud? Am besten die von Microsoft!! Danach könnt ihr mir ja was erzählen von dass das damals ja alle gemacht haben, als ob das irgendwas an eurem Versagen ändert.
Late privilege drop in REFRESH MATERIALIZED VIEW CONCURRENTLY in PostgreSQL allows an object creator to execute arbitrary SQL functions as the command issuer.In der Praxis wird das vermutlich kaum jemanden betreffen, weil außer mir niemand verschiedene Berechtigungen in Datenbanken vergibt, sondern lieber ein "technischer User" genommen wird.Und ich verwende kein Postgres, bin daher also auch nicht betroffen.
Aber lasst euch davon nicht vom Patchen abhalten. Alle Patches einspielen.
Update: Im Übrigen sei an der Stelle der Hinweis erlaubt, dass Postgres sich hier geradezu vorbildlich und professionell verhalten hat. Sie haben nicht rumgelogen oder runtergespielt, sie haben nicht von krimineller Energie der Angreifer gefaselt, die haben schnell Patches gemacht, und zwar für alle Versionen, und sie wollten kein Geld für Support abgreifen. Wenn mich mal jemand nach einer SQL-Datenbank-Empfehlung fragt, empfehle ich immer Postgres. Da hatte ich bisher auf jedem Schritt den Eindruck, dass das Erwachsene betreiben und verwalten, und da niemand bloß Selbstdarstellung oder Spendenabgreifen macht.
We discovered a heap-based buffer overflow in the GNU C Library's __vsyslog_internal() function, which is called by both syslog() and vsyslog(). This vulnerability was introduced in glibc 2.37 (in August 2022)2024 ist das Jahr von Linux auf dem Desktop, habe ich gehört! (Danke, Fabian)
Vermutlich nicht, denn das ist gerade down.
Geht in die Cloud, haben sie gesagt. Das skaliert so gut, das ist gar nicht überlastbar! Und ausfallen kann das auch nicht mehr, denn das wird von Experten betrieben. *schenkelklopf* (Danke, Boris)
Besonders geil auch:
The deal would help bolster the nearly 100-year-old technology company's artificial intelligence (AI) offerings, according to a WSJ report earlier in the day.Wat? DAS ist deren Takeaway? "KI"? LMAO!
If the HTTP2 implementation receives more then 4GiB in total headers, or more than 2GiB for any given header pair, then the internal buffers may overflow.Ich habe hier gerade die 90er Jahre am Telefon. Sie wollen ihre Bugs zurück haben.
Ich hab ja nur noch Gelächter übrig. Ihr setzt bestimmt auch Windows, Outlook und Active Directory ein. Und wundert euch über die Ransomware.
Researchers at Eurecom have developed six new attacks collectively named 'BLUFFS' that can break the secrecy of Bluetooth sessions, allowing for device impersonation and man-in-the-middle (MitM) attacks.Das sind keine Implementationsfehler. Die Spec ist schon Scheiße.Unter den Fehlern befinden sich neben SQL-Injections auch Möglichkeiten für Angreifer, beliebige Kommandos auf Appliances des kalifornischen Unternehmens auszuführen.Wie, gar keine Backdoors mit hartkodierten Credentials? So wird das nicht mit der Cisco-Konkurrenz.
The one rated HIGH is probably the worst curl security flaw in a long time.
glibc hat in ihrem ld.so tolle neue GNU-Features eingebaut und darin einen Buffer Overflow.
Die glibc-Leute haben noch keine neue Version veröffentlicht.
This vulnerability allows remote attackers to execute arbitrary code on affected installations of Exim. Authentication is not required to exploit this vulnerability.
Das ist eine wirklich ultra-peinliche Nummer. Wenn ihr Webentwicklung macht, habt ihr von JWT gehört, das ist ein Standard für Tokens, wie man sie für Authentisierung und Sessionmanagement verwendet. Diese Tokens sind im Wesentlichen JSON mit Base64 vom Output von ein paar Krypto-Primitiven. Weil der Standard von Vollpfosten entwickelt wurde, kann man als Teil des Tokens den Algorithmus einstellen, und es gibt einen "none"-Algorithmus. Zum Testen. Der hat dann halt keine Signatur.
Seit echt vielen Jahren, im Grunde seit es JWT gibt, fallen jetzt immer wieder Idioten negativ auf, die "none" tatsächlich implementieren, und wenn man ihnen ein Token hinhält, wo der Algorithmus auf "none" steht, das dann halt einfach akzeptieren.
Sharepoint ist einer dieser Idioten. m(
Viel tiefer kann man als Web-Dev eigentlich gar nicht sinken. Wüsste jedenfalls gerade nicht wie.
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.Update: RAR wird auch von hunderten von 3rd-Party-Tools entpackt. Die verwenden dafür entweder den Open-Source-Unrar-Code oder unrar.dll oder unrar64.dll. Diese DLLs zumindest sind wohl auch betroffen. Das inkludiert dann vermutlich einmal alle Schlangenöl-Installationen auf diesem Planeten.
Dann hat euch letzte Woche jemand einen Binär-Blob ins Projekt gedrückt, der auch noch kein reproducable build ist.
Gut, für Rust-Leute wahrscheinlich kein Problem, denn die lassen sich ja auch den Compiler schon als Binary reindrücken. Einen Bootstrap-Prozess ohne Binary kennt Rust nicht, obwohl Ocaml seit gefühlt 30 Jahren zeigt, wie es geht.
Bei allen tollen Ideen in Rust ist die Umsetzung schon an einigen Stellen eher traurig.
An unidentified individual has listed the data of 760,000 Discord.io (the site is dead at the moment, so you can see an Archive.org snapshot here) users for sale on a darknet forum.
Es gibt mal wieder einen apokalyptischen CPU-Bug bei AMD, und wieder basierend auf spekulativer Ausführung.
So langsam fragt man sich ja, wie viele davon es geben muss, bevor AMD mal das Problem an der Wurzel packt. Gut sieht das jedenfalls nicht aus. Im Wesentlichen waren und sind alle CPUs seit Ryzen 1000 oder so auf irgendeine Art im Arsch aus dieser Ecke.
Update: Schöne Zusammenfassung bei Bleepingcomputer, auch mit einem Statement von AMD.
Es gibt mal wieder einen apokalyptischen CPU-Bug bei Intel, und wieder basierend auf spekulativer Ausführung.
So langsam fragt man sich ja, wie viele davon es geben muss, bevor Intel mal das Problem an der Wurzel packt. Gut sieht das jedenfalls nicht aus. Im Wesentlichen waren und sind alle CPUs seit Haswell oder so auf irgendeine Art im Arsch aus dieser Ecke.
The Qualys Threat Research Unit (TRU) has discovered a remote code execution vulnerability in OpenSSH’s forwarded ssh-agent.
The StackRot vulnerability has been present in the Linux kernel since version 6.1 when the VMA tree structure was changed from red-black trees to maple trees.Die Hybris dieser Leute immer, etablierten Code wegzuschmeißen, weil sie ja so viel schlauer sind als alle vor ihnen.Und dann erst mal Bugs einbauen, die der alte Code nicht hatte. Klar.
You had ONE job!
Ich habe ja gerade mal herauszufinden versucht, was die eigentlich machen. Google sagt:
Fortinet bietet automatisierten Security-Betrieb in einer konsolidierten Cyber-Sicherheitsplattform.Hmm hmm. OK. Yes, but what do you DO?
Fortinet hilft Unternehmen, die digitale Fortentwicklung ihrer Anwendungswege in die Cloud, aber auch zwischen und über Clouds hinweg zu sichern.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric integriert branchenführende Sicherheitslösungen, die einen umfassenden Einblick in die IT-OT-Angriffsfläche ermöglichen.Hmm hmm. OK. Yes, but what do you DO?
Die Fortinet Security Fabric ist die leistungsstärkste Cyber-Security-Mesh-Plattform der Branche.OK. Yes. But. What. Do. You. DO?
Ich habe ja noch nie verstanden, wieso Firmen solches Goobledigook publizieren. Wollen die ihre Kunden einschläfern? Hypnotisieren vielleicht?
Noch unverständlicher ist mir, wieso Leute bei solchen Firmen kaufen. Wenn die Firma nicht mal selber sagen kann, was ihre Produkte eigentlich tun, wieso würde man die dann kaufen? Weil man mal eine Indiana-Jones- oder Lara-Croft-Phantasie ausleben will?
Oh, die Lücke. Die Lücke ist wohl ein pre-auth remote code execution in deren VPN-Modul. Also DIE EINE Sache, die der absolut maximale GAU für ein VPN-Produkt ist.
Update: Fortinet-Kunden kennen das schon. CVE 2023-25610, CVE 2022-42475. Insofern: Wer deren Produkte immer noch im Einsatz hat, hat kein Mitleid verdient.
You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine.HiCA ist eine chinesische CA, acme.sh ist ein Bourne-Shell-Client für das Letsencrypt-Protokoll.
Darunter auch der Intel OEM Private Key für Bootguard.
Wenn jemandem der private key geklaut wird, dann heißt das, dass der pivate key aus dem Netz erreichbar war. Dafür alleine sollte man diese Firma direkt und für immer aus seiner Einkaufsliste streichen. Aber selbst wenn man nicht bei MSI kauft, sondern sagen wir bei Lenovo oder Supermicro: Der Key ist jetzt halt geleakt. Danke, MSI!
Update: Wobei an der Stelle nochmal der Hinweis erlaubt ist, dass ich seit Jahrzehnten sage, dass Code Signing Schlangenöl ist. Genau weil sowas geradezu zwangsläufig passiert.
Völlig überraschend, ach was sage ich! Völlig schockierend stellt sich heraus, dass Edge euren Browserverlauf nach Hause telefoniert.
Das war natürlich bloß ein bedauerliches Missverständnis, versteht sich ja von selbst.
“Microsoft Edge now has a creator follow feature that is enabled by default,” says Rivera in a conversation with The Verge. “It appears the intent was to notify Bing when you’re on certain pages, such as YouTube, The Verge, and Reddit. But it doesn’t appear to be working correctly, instead sending nearly every domain you visit to Bing.”Ein blödes Versehen! Kann jedem mal passieren!1!!
Old and busted: Ping of Death. New hotness: Ping with Remote Code Execution! Auf einmal allen Windows-Versionen.
Die, die da nicht stehen, sind aus dem Support gefallen.
Das, falls das jemandem nicht auf Anhieb klar ist, ist das nächste Eternalblue. Das ist ein Wurm-Vektor. Da werden jetzt einmal alle Institutionen drüber geransomwared werden, weil das 3/4 mal wieder nicht patchen werden. Und am Ende wird jemand nach dem Staat rufen.
Unsere Spezies kriegt genau den Untergang, den sie verdient hat. Das war ein Unfall, dass wir am oberen Ende der Food Chain rauskamen.
Update: Grund zur Sorge ist auch, dass sie "Exploitation More Likely" sagen. Normalerweise sagen sie less likely. Die glauben also, dass das besonders leicht auszunutzen ist.
Update: Ah nee, doch nicht. Unten bei FAQ steht, dass jemand auf dem System einen Raw Socket offen haben muss. Damit ist das doch nicht automatisch ein Wurm, über den einmal die gesamte Infrastruktur hopsgenommen werden wird. Raw Sockets werden für Sniffer verwendet, oder für VPN-Implementationen, oder für Failover-Lösungen oder vielleicht Netzwerkmanagement-Software. Schlangenöl vermutlich auch. Oh und ping.
so basically the pixel 7 pro, when you crop and save a screenshot, overwrites the image with the new version, but leaves the rest of the original file in its placeDer Rest von dem Bild ist dann unter gewissen Umständen rekonstruierbar.Die Wahrscheinlichkeit dafür ist gar nicht so schlecht, wenn man z.B. ein detailreiches Hintergrundbild hat, das man mit dem Crop-Tool entfernt hat.
Das ist ja mal ein fetter Verkacker von Google, aber man kann es erklären. Erstens: Wenn du eine neue Datei schreibst, dann kann es sein, dass der Platz alle ist. Wenn du die alte überschreibst, und die neue kleiner ist (wie bei Crop zu erwarten), dann nicht.
Zweitens: Android hat da ein API verkackt. Da musste man immer "w" sagen, wenn man überschreiben wollte, und das hat sich dann plötzlich geändert, so dass man "wt" sagen musste, um auch abzuschneiden. Das Memo hat natürlich kaum jemand gekriegt dann. Nicht mal die eigenen Leute. Bonus: Die Änderung war nicht mal dokumentiert. Ja GANZ super, Google! Einmal mit Profis!
Note: Until security updates are available, users who wish to protect themselves from the baseband remote code execution vulnerabilities in Samsung’s Exynos chipsets can turn off Wi-Fi calling and Voice-over-LTE (VoLTE) in their device settings. Turning off these settings will remove the exploitation risk of these vulnerabilities.Das heißt, dass Project Zero Samsung vor drei Monaten Bescheid gesagt hat und Samsung hat das nicht gefixt sondern lieber ausgesessen.Mein Mitleid mit Samsung hält sich in Grenzen.
Nee, diesmal keine Sicherheitslücke im Code, sondern im Kopf. Github hat den Maintainer rausgeschmissen und die Repositories zu Waisen gemacht.
Eine Begründung gab es keine.
Aber schaut mal, ob ihr vielleicht selbst drauf kommt, wenn ich euch sage, dass der Typ "Alexander Amelkin" heißt und in Moskau wohnt.
Die Referenzimplementation hat einen Integer Overflow.
Die Cloud ist sicher, müsst ihr wissen. Und außerdem verschlüsseln wir ja zur Sicherheit in der Cloud.
Aber keine Sorge. Die Firma hat jetzt nachgebessert.
Das Unternehmen gibt an, betroffene Kunden mit Tipps zur Absicherung ihrer Accounts kontaktiert zu haben. Zusätzlich versichern sie, die Passwörter und MFA von einigen Kunden zurückgesetzt zu haben. Zudem haben sie eigenen Angaben zufolge deren Accounts automatisch auf eine Identity Management Platform mit erweiterten Schutzregeln migriert.Mit mehr Cloud-Bullshit.
Beide Sprachen haben meteorenhafte Aufstiege hingelegt, bei denen man vielleicht vergessen kann, dass die noch relativ jung sind und noch mit Kinderkrankheiten zu rechnen ist.
Das ist bemerkenswert, denn Threema hat bereits mehrere Audits hinter sich. Die haben aber offenbar eher auf Code-Qualität als auf die Protokolle geguckt, jedenfalls haben die diese Probleme nicht gefunden.
Threema hat in der Zwischenzeit ein neues Protokoll ausgerollt, das Forward Secrecy für die E2E-Krypto schaffen soll. Das war aber noch nicht Teil dieses Audits, kann also auch noch Probleme dieses Kalibers haben.
Sehr schön finde ich, dass hier wirklich ein Audit des Protokolls durchgeführt wurde, nicht bloß jemand einen Fuzzer laufen gelassen hat, wie es heute üblich zu sein scheint, besonders in akademischen Umgebungen, wo man so schnell und leicht Papers und Aufmerksamkeit generieren kann.
Ich mag auch die Lessons Learned von dem Team, u.a. "ordentliche Crypto-Libraries wie NaCl nehmen macht noch kein sicheres Protokoll". Und dann kommt folgende Lektion, die ich sehr wichtig finde:
Proactive, not reactive security: our inability to find an attack on a protocol does not imply it is secure. New attacks could be found at any moment and known attacks only get stronger over time if left unaddressed. Often, secure systems and protocols follow a design-release-break-patch process (a reactive approach). This is inconvenient for users and often requires the maintenance of backwards compatibility. Developers should instead adopt a proactive approach, where the system or protocol is formally analyzed during the design stage.Ob nun formale Beweisführung hilft, sei mal dahingestellt. Ich bin da eher zurückhaltend in meinen Erwartungen, denn wenn der Beweis komplexer ist als das Protokoll, wieso trauen wir dann dem Beweis, wenn wir dem Protokoll nicht getraut haben?Aber dass man Dinge vielleicht mal vor dem Release ordentlich machen sollte, und nicht diesen agile "ja klar ist es Scheiße aber wir patchen dann halt die übelsten Wunden im Feld nach" hat jetzt meiner Meinung nach echt genug Schaden angerichtet und kann mal in Rente gehen.
Wenn ihr Papers lesen könnt, lest nicht nur die Webseite sondern auch das Paper. Die kryptografischen Fehler, die die gemacht haben, sollten alle in ihr Repertoire aufnehmen, damit die niemand nochmal macht. Threema hat eine Stellungnahme veröffentlicht, die so defensiv geschrieben ist, dass sie es schafft, den Laden noch schlechter aussehen zu lassen als er eh schon rüberkam. Sie hätten auch einfach sagen können: Die Findings sind valide, wir haben Fehler gemacht, und es tut uns leid. Wir geloben Besserung. Stattdessen lauter "das ist doch bloß theoretisch" und "das betrifft die aktuelle Version nicht" (die, die nach dem Melden dieser Lücken veröffentlicht wurde!).
Ich weiß nicht, wie ihr das seht, aber ich erwarte von meinem sicheren Messenger, dass der Hersteller nicht herumverhandelt und kleinredet, wenn Lücken gefunden werden, sondern die fixed und ein Post-Mortem veröffentlicht, wie das durch ihre QA kommen konnte.
Ist mir ja ein völliges Rätsel, wieso das jemand einsetzen würde. Das ist wie das Ergebnis von einem Trinkspiel, ob jemand NOCH MEHR Angriffsoberfläche in mein Arbeitsgerät eingebaut kriegt.
A remote code execution vulnerability exists in VS Code 1.71 and earlier versions for malicious notebooks. These notebooks could use command uris to execute arbitrary commands, including potentially dangerous commandsYou had me at "command url".Mit anderen Worten: Das war kein Unfall und kein Hack. Jemand hat dieses Feature für Remote Code Execution eingebaut und jetzt wundern sich alle, dass jemand darüber Remote Code Execution macht.
Ich frage mich ja bei sowas immer, wie häufig und doll eine Organisation eigentlich auf der Weltbühne verkacken muss, bevor die Leute aufhören, denen ihren Scheiß abzukaufen.
Ach komm, Fefe, da machen wir noch schnell ein paar Lagen Schlangenöl drüber, mit cloud-basierter KI zur Anomalieerkennung. Dann berichtet Heise darüber, als sei das normal, sowas zu brauchen. Und dann sind die Leute wieder eingeschläfert und kaufen die nächste Iteration von unserem Scheiß. Und auf dem Weg holen wir noch eine Schuldumkehr raus. Wie, du hattest keinen Antivirus laufen? Na DANN ist das DEINE Schuld!!1!
Die sind im August gehackt worden. Dieser neue Incident ist jetzt auf Backend-Systemen in der Cloud, die Lastpass nutzt. Stellt sich raus: Die haben nach dem letzten Incident ihre Passwörter nicht geändert.
Da willste doch Kunde sein, bei so einer Firma! Security by Yolo!
Der Bug ist ein Stack Overflow, der über das Netz ausnutzbar ist.
Eigentlich wäre dieser Bug so der übelste Fall von Sicherheitsproblem, aber er eignet sich auch zur Illustrierung von Sicherheitsmaßnahmen über die Jahre.
ping droppt als erstes seine Privilegien, nachdem es den raw socket geholt hat. Damit kriegt der Angreifer nicht mehr Root-Rechte wie früher sondern die Rechte des aufrufenden Users, hat allerdings auch Zugriff auf den offenen raw socket.
Außerdem hat FreeBSD einen Self-Sandboxing-Mechanismus eingeführt.
The ping process runs in a capability mode sandbox on all affected versions of FreeBSD and is thus very constrainted in how it can interact with the rest of the system at the point where the bug can occur.Das heißt konkret, dass ein Angreifer z.B. keine anderen Prozesse aufrufen kann, um beispielsweise eine Reverse Shell zu installieren.Auch wenn es sich häufig nicht so anfühlt, haben wir doch eine Menge erreicht über die Jahre. Nur halt nicht beim Entfernen der Bugs. Nur beim Ausnutzen-Verhindern.
OK, da muss ich ja direkt mal fragen: Warum? Seid ihr eigentlich alle bekloppt?!
Ich spreche das an, weil die Polizei Gelsenkirchen diese Story hier verbreitet hat:
Eine 23 Jahre alte Gelsenkirchenerin hat am vergangenen Samstagmorgen, 19. November 2022, 0.17 Uhr, die Polizei gerufen und eine Strafanzeige wegen Verletzung der Vertraulichkeit des Wortes gestellt. Den Beamten gegenüber gab sie an, dass ein unbekannter Tatverdächtiger Ton- und Videoaufnahmen aus ihrer Wohnung gefertigt und sie teilweise bereits in einem sozialen Netzwerk veröffentlicht habe. Für die Aufnahmen nutzte er einen Katzenfütterungsautomaten, der in der Wohnung stand und über ein Wlan-Zugang verfügt.Wenn es nach mir ginge, würde man ja aus Firmen, die sowas in Umlauf bringen, Parkplätze oder gleich Krater machen. Solange da jetzt gegen unbekannt ermittelt und dann eingestellt wird, wird das immer nur noch schlimmer werden. (via) (Danke, Christian)
On vulnerable systems, CVE-2022-35737 is exploitable when large string inputs are passed to the SQLite implementations of the printf functions and when the format string contains the %Q, %q, or %w format substitution types. This is enough to cause the program to crash. We also show that if the format string contains the ! special character to enable unicode character scanning, then it is possible to achieve arbitrary code execution in the worst case, or to cause the program to hang and loop (nearly) indefinitely.
It would appear that there is a set of memory-related vulnerabilities in the kernel's WiFi stack that can be exploited over the air via malicious packetsJa super!
libexpat before 2.4.9 has a use-after-free in the doContent function in xmlparse.cTauschen wir aus, läuft alles wieder? Nee, expat wird gerne und häufig in andere Projekte übernommen. Die haben dann eine verwundbare Kopie in ihrem Source Tree. Einfach die Shared Library updaten ist möglicherweise nicht genug.Wisst ihr, ich beobachte ja mit einer gewissen Genugtuung die Supply Chain-Panik um mich herum gerade. Ich hab das schon immer so zu halten versucht, dass ich möglichst wenige externe Libraries reinnehme in meine Projekte. Als ich mal XML parsen musste, habe ich mir daher lieber selbst einen nicht-generischen recursive descent-Parser geschrieben.
Der kann nicht allgemein XML parsen sondern nur die konkrete Ausprägung, und kann auch ganz viele Dinge nicht, z.B. keine Element Expansion, keine Schema-Validierung (das Schema ist hart einkodiert), hat keine Rekursionstiefeprobleme, etc pp.
Was habe ich dafür geerntet, von Leuten, denen ich das erzählt habe? Augenrollen. Wieso DAS denn, Fefe? Nimm doch expat!
Wobei expat zumindest von der Größe her tatsächlich relativ attraktiv aussah. libxml alleine ist größer als der Rest meines Projektes.
Tja, und so sitze ich jetzt hier, gucke mir eure Supply-Chain-Apokalypse an, und bin mit meinen eigenen Projekten nicht betroffen. Indirekt bin ich natürlich doch betroffen, denn ich verwende Firefox, und Firefox verwendet expat.
Seufz.
Nun, der installiert einen Backdoor-Admin-Account mit hartkodiertem Password.
Was hat Atlassian zu ihrer Verteidigung vorzubringen?
This account is intended to aid administrators that are migrating data from the app to Confluence Cloud.Oh ach soooo ist das! Wir machen die On-Prem-Geschichten schrittweise immer kaputter, bis auch der letzte von euch renitenten Pennern endlich unser Cloud"angebot" annimmt!1!!
The CVE-2022-28219 vulnerability enables malicious actors to easily take over a network for which they already have initial access. Malicious actors could exploit this vulnerability to deploy ransomware, exfiltrate sensitive business data, or disrupt business operations.They could also then go on to exploit XML External Entities (XXE), Java deserialization, and path traversal vulnerabilities to wreak additional havoc, according to an in-depth analysis this week by Horizon3.ai.
Das ist nicht gut, wenn der Bericht nach "da kann jemand alles kopieren und verschlüsseln" noch weiter geht. (Danke, Manuel)
Update: Betrifft nur OpenSSL 3.0.4, das gerade erst rausgekommen ist. Der kaputte Code kam auch erst kurz vor Release rein. Die haben also immer noch keine Qualitätssicherung bei OpenSSL. Seufz.
Splunk Enterprise deployment servers in versions before 9.0 let clients deploy forwarder bundles to other deployment clients through the deployment server. An attacker that compromised a Universal Forwarder endpoint could use the vulnerability to execute arbitrary code on all other Universal Forwarder endpoints subscribed to the deployment server.Ja Scheiße, Bernd! Hätte ich das gestern gewusst, hätte ich das in meine Folien eingebaut. Da ist eine Folie bei: Wenn Sie Network Monitoring machen, müssen Sie den Agenten und Sensoren und deren Cloud trauen. Die kommen in Ihrer Firma überall hin. Wenn die jemand hackt, der auch.Aber mir glaubt sowas ja immer keiner. Die glauben ja auch noch alle, dass Schlangenöl nicht die Angriffsoberfläche erhöht.
Update: Die Splunk-User sind gerade ziemlich angefressen. Hier eine repräsentative Mecker-Mail:
ist noch viel grossartiger.
Zusätzlich zu der verlinkten SVD-2022-0608 gibts auch noch die 607, die die Authentifizierung am Deploymentserver aushebelt. Hoppla. Die ist auch seit mindestens 2020 bekannt. Sprich: wenn ich den Deploymentserver kenne und da rankomme, dann kann ich dem, ohne selbst subscriber zu sein irgendwas unterjubeln.
Nun kommt noch obendrauf, dass die Veröffentlichung dieser Schwachstelle einherging mit der Splunkkonferenz der vergangenen Woche, auf der dann die taufrische Splunk Version 9.0.0 präsentiert wurde.
Splunk Cloud Platform (das SaaS angebot) ist nicht betroffen, aber bitte betatestet den neuen Release doch mal auf eurer Produktion.
Die Solution des Fixes wurde auch (möglicherweise mehrfach) editiert, was für mich darauf hindeutet, dass die selber erstmal gar nicht so genau wussten, was man denn nun alles updaten muss um die Schwachstelle zu beheben.
Nun und offenbar wurde die Remote Code Execution intern gefunden beim Rewrite der Security Architektur, war also vermutlich nicht wirklich bekannt. Die Schwachstelle dann mit der neuen (.0.0) Version zu veröffentlichen, die alle möglichen Kinderkrankheiten mitbringt und im Enterpriseumfeld sicherlich niemand auf Produktion nutzen will, halte ich dann auch für nen tierisch schlechten Marketing move. Die hätte man vielleicht wenigstens bis zum nächsten Minor Release, mit dem ich aus bisheriger Erfahrung mit .0er Releases im Herbst erwarten würde, vielleicht in der Schublade liegen lassen können.
(Danke, Andreas)
Wie bei Cisco stellt sich auch bei Atlassian die Frage: WARUM?!
There are currently no fixed versions of Confluence Server and Data Center available. In the interim, customers should work with their security team to consider the best course of action. Options to consider include:- Restricting access to Confluence Server and Data Center instances from the internet.
- Disabling Confluence Server and Data Center instances.
If you are unable to take the above actions implementing a WAF (Web Application Firewall) rule which blocks URLs containing ${ may reduce your risk.
Oh wow. Einmal mit Profis.
Stellt sich raus: Der EDCSA-Code im JDK 15 aufwärts wurde von C++ nach Java konvertiert und dabei ist ein relevanter Check hinten runtergefallen. Der Check ist humoristisch wertvoll. Wenn man Java-ECDSA eine Signatur gibt, die nur aus 0-Bytes besteht, dann kommt die durch. Das ist der eine Sonderfall, für den die eine Berechnung Müll liefert, daher ist der Wert als Signatur ungültig.
Den Fall hätte man halt abfangen müssen.
Auf einer Skala von 0 bis 10 hat Oracle das bloß als 7 eingestuft. ECDSA wird u.a. für JWT und Webauthn eingesetzt. Aus meiner Sicht ist das eine 10.0.
Wenn ihr also Java einsetzt, mit einem JDK 15 oder neuer, dann lasst JETZT alles stehen und liegen und spielt den Patch ein. Geht nicht über Los.
Update: Achtet mal auf die Timeline. Im November 2021 hat Oracle den Bug bestätigt und für kritisch befunden. Im APRIL haben sie den Patch veröffentlicht. Oracle hat also von einer apokalyptischen Sicherheitslücke gewusst und ihre Kunden monatelang am langen Arm verhungern lassen.
Update: ECDSA wird auch in Bitcoin verwendet.
Wer hätte das gedacht, dass das eine furchtbar schlechte Idee ist, Web-Pfuscher als Programmierer anzustellen, nur weil man nicht das Geld für kompetente Programmierer ausgeben will?
Das ist eine weitere dieser völlig überflüssigen ranzigen Schrottkomponenten aus dem Gnome/Freedesktop-Umfeld. Wenn ihr Linux verwendet, und euch eure Distro nicht wie ich selber gebaut habt, dann ist die Antwort wahrscheinlich: ja.
Der Bug betrifft euch auch, wenn ihr das nur installiert habt, aber der Daemon nicht läuft.
Ich freue mich ja immer wieder, wenn die DSGVO funktioniert.
So ein Passwortmanager ist was feines. Nicht so fein dann, wenn der eine Cloudanbindung hat. Und in der Cloud das Masterpasswort liegt und abgegriffen werden kann. Denn früher oder später passiert das halt.
Attackers can directly construct malicious requests to trigger remote code execution vulnerabilities. Vulnerability exploitation does not require special configuration, Apache Struts2, Apache Solr, Apache Druid, Apache Flink, etc. are all affectedHach. Schön, dieser Framework-Turmbau zu Babel immer. Am Ende hat niemand mehr irgendwas davon unter Kontrolle oder hat auch nur ein Verständnis dafür, was da eigentlich passiert. Und keiner ist Schuld!Dann macht man Devops, damit auch für den Updateprozess niemand Schuld ist.
Update: Bedauerliches Missverständnis.
Update: Völlig überraschend stellt sich raus: ALLE verwenden log4j. Und keiner hat vorher mal geguckt. Oder, you know, mitgeholfen. Oder was gespendet, damit mal jemand einen Audit macht.
Wann auch, die waren beschäftigt damit, sich über npm lustig zu machen!1!!
Die Amis haben ja neulich Positive Technologies als staatliche Cyberterroristenbude bebrandmarkt und auf die Boykottliste gesetzt. Positive Technologies hat sich gedacht: Ach, na dann gucken wir doch mal, wie wir mit minimalem Aufwand eine Remote Code Execution in Windows finden können.
Der Aufwand war tatsächlich eher überschaubar. Er nutzt Microsoft-spezifische URL-Schema-Handler aus. Ihr erinnert euch, das war das, womit Microsoft neulich Firefox unfair rauskanten wollte.
Es gibt da einen, über den Edge Office-Programme starten kann.
Our research journey was straightforward: We decided to find a code execution vulnerability in a default Windows 10 URI handler, and succeeded within two weeks. Considering the amount of URI handlers Windows ships with, it seems very likely that others are vulnerable tooDer Einschätzung würde ich mich anschließen.Update: Äh, da hab ich zu schnell geschossen. Positive Security (Berlin) != Positive Technologies (Moskau). Positives ist so selten in der Branche, da kann man das schonmal verwechseln *kalauer*
Lass mich raten… weil OpenSSL so einen schlechten Ruf hat?
Tavis Ormandy hat mal geguckt, wie die ihre Signaturen ablegen. Sie haben da eine Union, in der das größte Element 16 kbit groß ist, für RSA.
Okay, but what happens if you just….make a signature that’s bigger than that?Well, it turns out the answer is memory corruption. Yes, really.
Oh. Mein. Gott.Das ist schlimmer als Heartbleed. Das ist sozusagen der Hallo Welt unter den Remote Code Execution.
Sagt mal seid ihr auch so froh, dass Mozilla ihr Geld für so Dinge wie Colorways ausgegeben hat?
Oder dafür, dass ihr endlich Werbung im New Tab kriegt?
Oder für das ungefragte Einsammeln von Telemetrie?
At Mozilla, we want to make products that keep the Internet open and secure for all. We collect terabytes of data a day from millions of users to guide our decision-making processes. We could use your help.Nein, Mozilla. Wenn ihr meine Hilfe wollt, dann löscht ihr erstmal alle Daten über eure User.Aber zurück zu diesem Bug. Tavis Ormandy ist besonders geflasht, dass Mozilla da endlos static analyzer und fuzzing gemacht hat, und die Tools haben alle grüne Lampen angezeigt. Und nicht nur doofe Fuzzer sondern aktuelle state-of-the-art Fuzzer mit Coverage-Analyse!
Mich überrascht das ja nicht so doll. Ich werde praktisch nach jedem Code Audit gefragt, wieso ihre Static Analyzer das alles nicht gefunden haben. Ihr solltet vielleicht mal weniger Geld für Tools ausgeben und mehr Geld in eure Entwickler stecken, dass die lernen, wie so ein Bug aussieht und worauf man achten sollte.
Ja wie, sieht doch gut aus? Blablah darüber, wie wichtig ihnen Security ist, und was sie alles investieren für Security und so? Jahaa, das, meine Damen und Herren, ist wie Verzweiflung im Krisenmanagement aussieht.
Wenn man nämlich weiß, wonach man suchen muss, findet man folgende Absätze weiter unten im Kleingedruckten:
a vulnerability that would allow an attacker to publish new versions of any npm package using an account without proper authorizationJa, richtig gelesen, liebe Leser! Mit einem Account konnte man jedes Paket überschreiben, nicht nur die eigenen.Wie lange gab es das Problem? Gut, dass ihr fragt! Die Antwort könnte allerdings die Bevölkerung verunsichern!
This vulnerability existed in the npm registry beyond the timeframe for which we have telemetry to determine whether it has ever been exploited maliciously.Das muss man sich mal auf der Zunge zergehen lassen. Das ganze NPM-Infrastrukturkartenhaus müsste man jetzt eigentlich mal kontrolliert sprengen und alles neumachen.Sehr geil auch, wie sie euch dann nochmal 2FA andrehen wollen, obwohl das nichts geholfen hätte hier. Reine PR, genau wie das mit dem CO2-Fußabdruck, den euch BP ans Ohr schwatzen wollte. Damit ihr nicht darüber nachdenkt, wieso BP eigentlich nichts tut, sondern euch fragt, was ihr tun könntet. Genauso macht Github das hier jetzt auch. Erzählt euch was von 2FA, damit ihr nicht darüber nachdenkt, wie so das so epochal verkacken konnten. Github ist sogar noch ein bisschen krasser, weil sie die ganze Zeit den Eindruck zu erwecken versuchen, ihr Telemetrie-Sammeln sei ein Security-Feature. Was für eine bodenlose Frechheit, ey.
Nein, nein, keine Sorge. Diesmal waren es keine hartkodierten Backdoor-Passwörter. Diesmal waren es "unintentional debugging credentials". Das ist was GANZ anderes!!1!
Diesmal war es keine Absicht!1!!
So glaubt uns doch!
Oh, warte, das war noch nicht alles!
The other critical hole is CVE-2021-40113, which can be exploited by an unauthenticated remote attacker to perform a command injection attack on the equipment's web-based management portal, thanks to insufficient validation of user-supplied input.Einmal mit Profis!"A successful exploit could allow the attacker to execute arbitrary commands on an affected device as the root user."Was macht die Security-Abteilung bei Cisco eigentlich beruflich?
Ein Leser meint, das ist heute nacht allen möglichen Firmen um die Ohren geflogen und könnte auch der Hintergrund für den Bahn-IT-Ausfall sein.
Stellt sich raus: Keine gute Idee.
Ich sage euch, die Leichtigkeit, mit der die Leute ihren Kram in die Cloud schieben, ist immer wieder atemberaubend.
Als ob das nicht dein Problem ist, wenn bei denen dann was kaputt geht!?
Vielleicht nicht die beste Idee.
Ein paar Forscher aus Israel haben herausgefunden, dass man "Master Faces" machen kann, wie Master Key nur halt für Gesichtserkennung. Die Gesichter sind so durchschnittlich, dass sie in üblichen Gesichtserkennungssystemen gleich mehrere anderen Gesichtern zugeordnet werden.
The work suggests that it’s possible to generate such ‘master keys’ for more than 40% of the population using only 9 faces synthesized by the StyleGAN Generative Adversarial Network (GAN), via three leading face recognition systems.Das Knistern, das ihr da im Hintergrund hört? Das ist die brennende Bude bei den Leuten, die Gesichtserkennungssysteme verkaufen.
by creating, mounting, and deleting a deep directory structure whose total path length exceeds 1GB, an unprivileged local attacker can write the 10-byte string "//deleted" to an offset of exactly -2GB-10B below the beginning of a vmalloc()ated kernel buffer.Ach komm, Atze, niemand wird jemals so einen Pfad erzeugen!!1!Stimmt! Außer den bösen Angreifern, die deine Kiste hacken wollen. Die würden das machen.
Da gibt es jetzt eine "In-App Rating"-Funktion. Warum? Das ist ja wohl das nutzloseste des Überflüssigen?
Naja nee. Die Leute da draußen glauben, sie würden darüber das Restaurant bewerten, nicht die App.
So ist die App gerade von 2 auf 4 Sterne gestiegen, über Leute, die dachten, sie würden gute Restaurants bewerten.
A VMware vulnerability with a severity rating of 9.8 out of 10 is under active exploitation. At least one reliable exploit has gone public, and there have been successful attempts in the wild to compromise servers that run the vulnerable software.Wie man an dem hohen Rating schon sehen kann ist das pre-auth remote code execution.
Die noch recht neue OpenPGP-Implementierung des Mail-Programms Thunderbird speicherte die geheimen Schlüssel im Klartext auf der Festplatte des Benutzers. Das zum Schutz vorgesehene Master-Passwort kam nicht zum Einsatz.
In the Homebrew/homebrew-cask repository, it was possible to merge the malicious pull request by confusing the library that is used in the automated pull request review script developed by the Homebrew project.By abusing it, an attacker could execute arbitrary Ruby codes on users' machine who uses brew.
Unter uns? You had me at Ruby.
BleedingTooth is a set of zero-click vulnerabilities in the Linux Bluetooth subsystem that can allow an unauthenticated remote attacker in short distance to execute arbitrary code with kernel privileges on vulnerable devices.Der (für mich) verstörenste Teil daran ist:I discovered the first vulnerability (introduced in Linux kernel 4.19) by manually reviewing the HCI event packet parsers.Erstens: 4.19 ist nicht sooo alt. Da waren die Prozesse, die diese Art von Problem verhindern sollen, eigentlich schon aktiv. Insbesondere sollten die Prozesse "manually reviewing [...] parsers" eigentlich beinhalten.Das ist also offensichtlich noch einiges im Argen bei Linux.
Google will angeblich gerade den Bluetooth-Support in Android neu schreiben, den Userspace-Teil in Rust.
We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).Da muss man allerdings dazu sagen, dass der Typ, der das schreibt, der ist, in dessen Namen da Zeug eingecheckt wurde. Der ist möglicherweise nicht der Richtige, um zu untersuchen, ob der Server oder bloß sein Account übernommen wurde.
Die Firma hinter pfsense ("World's Most Trusted Open Source Firewall") hat einen Typen bezahlt, damit er Wireguard nach FreeBSD portiert, und zwar in den Kernel rein. Die wollten das in ihren Produkten unterstützten (Wireguard ist ein VPN-Protokoll, sowas wie IPsec).
Der Typ hat dann nach ein paar Monaten einen Port nicht nur abgeliefert, sondern bei FreeBSD einfach so in den Code einchecken können. Die Wireguard-Leute erfuhren aus der Presse auf einer FreeBSD-Mailingliste davon und dachten sich: Sollten wir vielleicht mal kurz einen Blick drauf werfen. Steht ja immerhin unser Name dran.
Was fanden die? Nun, äh, es war nicht gut. Es war so doll nicht gut, dass sie sich entschieden haben, da mal die Dinger zu fixen. Sie haben also zwei Wochen lang im Wesentlichen Crunch-Mode gefahren (auf Schlaf verzichtet) und am Ende war von dem ursprünglichen Port-Code nichts mehr übrig.
Und DAS, meine Damen und Herren, ist ein GANZ eindeutiges Zeichen. Wenn du zwei Wochen hast, und du machst lieber alles neu, dann war das ungefähr die Hölle auf Erden.
Es gibt eine Liste:
The first issue is whether Macy's code actually had significant problems. Donenfeld said that it did, and he identified a number of major issues:- Sleep to mitigate race conditions
- Validation functions which simply return true
- Catastrophic cryptographic vulnerabilities
- Pieces of the wg protocol left unimplemented
- Kernel panics
- Security bypasses
- Printf statements deep in crypto code
- "Spectacular" buffer overflows
- Mazes of Linux→FreeBSD ifdefs
Da muss ich doch mal kurz den Zyniker raushängen lassen und auf Linus zeigen. Der wird seit Jahren angefeindet, weil er Leute, die schlechten Code einreichen, abweist. Wer es einfach nochmal versucht, kriegt eine Beleidigung. Wer es nochmal probiert, wird abgewatscht.Wenn du das nicht machst, passiert sowas hier.
Update: FreeBSD hat ein Statement veröffentlicht. Da war ich ja mit meinem Linus-Vergleich geradezu prophetisch.
Update: Man kann auch die Perspektive haben, dass das kein Qualitätssicherungsproblem bei FreeBSD ist, denn die Qualitätssicherung selektiert nicht, was nach HEAD reinkommt, sondern was in die Release-Branches kommt.
Seufz. Seit dem Stress neulich hatte mein gatling gerade 10 Tage Uptime zusammen.
Python 3.x through 3.9.1 has a buffer overflow in PyCArg_repr in _ctypes/callproc.c, which may lead to remote code execution in certain Python applications that accept floating-point numbers as untrusted input
Kurzfassung: GnuPG benutzt als Kryptolibrary aus religiösen, äh, Lizenzgründen nicht OpenSSL oder etwas anderes existierendes, sondern "libgcrypt", eine eigene Krypto-Library, die im Allgemeinen langsamer als andere ist und deren API noch übler ist als die von OpenSSL. Ich kenne kein Argument dafür, die gegenüber einer Alternative zu bevorzugen.
Da ist kürzlich eine neue Version released worden, 1.9, in der Assembler-Optimierungen für einige Funktionen neu dazu kamen. Unter anderem für Hashing-Verfahren. Hashing ist eine der wichtigsten Funktionen in einer Krypto-Library und spielt z.B. eine Rolle beim Validieren von Signaturen in GnuPG.
Wenn man Daten hasht, gibt es normalerweise drei Schritte. Man hat einen "Kontext", d.h. eine Datenstruktur mit dem internen Status, die initialisiert man (Funktion 1), dann ruft man so oft man es braucht "hash mal auch diese Daten hier" auf (Funktion 2), und am Ende holt man sich den Hashwert über alle bisherigen Daten (Funktion 3). Je nach Hashfunktion, für die man das macht, beinhaltet das Finalisieren noch ein mehr oder weniger abstoßendes Padding-Verfahren, denn die Hashes arbeiten normalerweise auf Blöcken von Bytes, nicht auf einzelnen Bytes.
Bei libgcrypt heißt der letzte Schritt "finalize". Der Assembler-Code nahm an, dass niemand so blöd sein würde, nach einem finalize nochmal weitere Daten hashen zu wollen, weil das nie gültige Ergebnisse liefern kann, denn da ist ja schon Padding reingeflossen.
Stellt sich raus: GnuPG macht genau das. Das sollte wohl ein halbherziger Versuch sein, einen Timing-Seitenkanal zu schließen.
Da hätte wohl der Autor von GnuPG mal mit dem Autor von libgcrypt reden sollen, denkt ihr euch jetzt vielleicht? Das ist dieselbe Person. Werner Koch.
Was heißt das? Anscheinend reicht das Öffnen einer verschlüsselten Mail mit GnuPG, um Speicherkorruption herbeizuführen und damit eventuell Remote Code Execution.
Ich habe den Bug nicht analysiert, aber wenn das stimmt, ist das auf der Krassheitsskala ungefähr so weit oben wie Heartbleed bei OpenSSL war, denn GnuPG hat keine Privilege Separation und kein Sandboxing. Die gute Nachricht ist: Das betrifft euch nur, wenn euer GnuPG so neu ist, dass er schon gegen die neue libgcrypt linkt, die vor ner Woche oder so erst rauskam.
Kann man diese Art von Bug verhindern?
Ja, kann man.
Diese Art von Bug wäre aufgefallen, wenn GnuPG eine Testsuite hätte, die z.B. mit valgrind oder dem Address Sanitizer automatisch durchläuft, bevor er eine Version released. Noch beunruhigender als dass das offensichtlich nicht stattfindet, finde ich Werner Kochs Reaktion, als Hanno Böck genau das vorschlägt. Er schließt den Bug als "invalid". Das ist selbst für Werners Verhältnisse ausgesprochen unprofessionell, aber leider nicht überraschend.
Hey, Werner, wenn du keinen Bock auf die Verantwortung hast, die der Maintainer von GnuPG tragen muss, dann übergib das Projekt doch am besten der Apache Software Foundation oder so. Jetzt wäre jedenfalls der richtige Zeitpunkt für zerknirscht Besserung geloben gewesen, nicht für close as invalid.
Ich muss dann wohl doch mal meinen OpenPGP-Code fertig machen. So geht das jedenfalls nicht weiter.
Update: Ich hatte meinen OpenPGP-Code prokrastiniert, weil ich dachte, fürs reine Signatur-Prüfen ist mein Ansatz mit der Prozessisolation vielleicht nicht nötig. Wer verkackt denn schon eine Hashfunktion, dachte ich mir.
Update: Leserbrief von Hanno Böck:
libgcrypt hat eine testsuite, und die hat den bug nicht gefunden. Müsste man jetzt genauer analysieren warum und ob das ein mangel bei der testabdeckung ist und sie den bug hätte finden sollen.
Der Punkt den ich aber kritisiert hab: Es gibt einen anderen bug in libgcrypt 1.9.0 in der testsuite, der durch asan gefunden wird. Es ist "nur" eine selbsttestfunktion, insofern ist der bug nicht so relevant, aber daraus kann man halt schließen: libgcrypt wird offenbar nicht regelmäßig vor einem release (oder via CI)mit asan getestet, sonst hätte das ja merken müssen.
Und achso, noch was: Valgrind hätte diesen Bug (also den in der testsuite) nicht gefunden. Das ist ein buffer overread in einem predefinierten array, sowas kann valgrind nicht. Siehe beispiel im Anhang.
Ich predige seit jahren dass die leute asan nutzen sollen und nicht glauben valgrind sei ein vergleichbar mächtiges tool. Ist es nicht.
SonicWall Hacked Using 0-Day Bugs In Its Own VPN Product
Wenn ihr es nicht wisst, aber einen Plasterouter einsetzt, dann ist die Antwort wahrscheinlich: Ja.
Sie haben ein Remote Code Execution-Bug gefunden, im DNSSEC-Codepfad.
Vielleicht erinnert sich der eine oder andere Leser noch an früher, als beim Booten nach unsauberem Runterfahren erstmal ein CHKDSK anlief und Dinge reparierte. Für Konsumenten-Rechner war das nicht so schlimm, aber auf Servern mit mehreren Terabyte großen Dateisystemen dauerte so ein CHKDSK schon mal Stunden bis Tage.
Daher hat Microsoft eines Tages entschieden, das Checking wegzumachen und stattdessen NTFS "self healing" zu machen. Ich hab ihnen damals davon abgeraten, weil so self-healing Kram Heuristiken fährt und nicht den Überblick hat, den CHKDSK haben kann. Möglicherweise macht der die Dinge sogar schlimmer.
Daher dachte ich, als ich das hier las, als erstes an das self-healing NTFS. Der Bug klingt ein bisschen danach, als würde da ein Sonderfall nicht bedacht und der self-healing Repariercode springt an und macht das Filesystem erst korrupt.
Das ist aber alles Spekulation. Einblick habe ich da keinen.
Tracked as CVE-2021-1647, the vulnerability was described as a remote code execution (RCE) bug that allowed threat actors to execute code on vulnerable devices by tricking a user into opening a malicious document on a system where Defender is installed.War das nicht die Software, die man einsetzt, damit man geschützt ist und auf Dokumente draufklicken kann, weil das Schlangenöl die Malware rausfiltert?Frage für einen Freund.
Wenn ihr jetzt "nein" sagen wollt, irrt ihr wahrscheinlich. Wenn ihr mit irgendeiner Java-Software interagiert, die irgendwas mit Krypto macht, dann ist da wahrscheinlich Bouncycastle drin.
Bouncycastle ist jetzt nicht komplett kaputt, nur ihre Implementation der bcrypt-Passwort-Crypt-Funktion von OpenBSD ist kaputt. Das betrifft glaube ich so gut wie niemanden.
Ihr solltet aber grundsätzlich immer alle Updates einspielen, auch wenn ihr glaubt, sie beträfen euch nicht.
Wie? Nein, diesmal keine Hintertür. Diesmal eine wormable remote code execution.
Fortschritt!!
Es handelt sich um eine Null Pointer Dereference, das man auslösen kann, wenn man einem OpenSSL ein böses Zertifikat gibt, das auf eine Revocation Liste zeigt, die auch böse ist, und das OpenSSL mit revocation checking läuft.
Man könnte also instinktiv sagen: Betrifft mich nicht, ich mach hier Serverseite ohne Client Certs. Und wenn ein Client segfaultet, da scheiß ich doch drauf.
Mein Rat ist: Immer alles patchen. Sofort.
Es gibt da einige beachtenswerte Details.
Erstens: Die Codequalität und das Design sind auffallend schlecht.
Zweitens: Wenn man einen Bug meldet, mit dem zero-click remote code execution geht, dann stuft das Teams-Team das nicht etwa als critical ein (dafür ist critical gedacht, um genau diesen Fall abzudecken), sondern als … "important, spoofing". Warum "important, spoofing"? Weil das noch in scope ist, um an dem Bug-Bounty-Programm teilzunehmen. Wenn es nicht in scope wäre, wären die Melder juristisch auch nicht an die Teilnahmebedingungen gebunden und könnten direkt 0days an Ransomware-Gangs verkaufen. Das ist also sowas wie der Mittelfinger von Microsoft an die Melder des Bugs.
Drittens:
angular expression filtering can be bypassed by injecting a nullbyte char in unicode \u0000, e.g.{{3*333}\u0000}
Mit dem Nullbyte-Trick haben wir in den 90er Jahren Perl-Webapps aufgemacht. Das ist immer noch ein Problem bei Web-Entwicklern?!Tja und die Remote Code Execution geht dann, weil dieser ranzige Gammelclient in Electron implementiert wurde, das ist im Wesentlichen ein Webbrowser mit Javascript, aber das Javascript hat Zugriff auf Filesystem und Systemresourcen und kann Prozesse starten. WAS FÜR EINE GROSSARTIGE IDEE!! Lasst uns mehr "Anwendungen" mit Electron machen! Wenn es eine Programmierumgebung gibt, in der wir Injection voll im Griff haben, dann ist es ja wohl Javascript!!1! (Danke, Bernd)
Benutzt ihr Webex deshalb, weil ihr gehört habt, dass bei Zoom unautorisierte Dritte reinkommen und mithören können?
Nicht authentifizierte Dritte konnten sich in Webex-Konferenzen einklinken, ohne dass sie zu einem Meeting eingeladen wurden. Dabei konnten die Eindringlinge die Konferenzen mithören und -sehen, sprechen und teils auf geteilte Medien zugreifen, ohne dabei in der Teilnehmerliste aufzutauchen - wie ein Geist. Der einzige Hinweis auf den Geist sei ein zusätzlicher Beitritts-Piepton gewesen - der bei großen Besprechungen jedoch häufig deaktiviert werde, schreibt IBM in einem Blogeintrag.Ja gut. Glücklicherweise werden in Meetings ja keine vertraulichen Dinge besprochen.
Sonst hätte man das ja von Anfang an nicht in die Cloud verlagern können, nicht wahr?
Ich meine, so blöde werden die Firmen doch nicht sein, dass sie ihre vertraulichen Besprechungen über jemand anderes Infrastruktur abwickeln? Oder? ODER?
All payload are processed in the context of NT AUTHORITY\SYSTEM.Hey, Produkte dieser Firma will man doch einsetzen?! Die Qualität springt einen förmlich an!1!!Ach was reg ich mich auf. Die Deppen da draußen patchen das und vergessen sofort, dass Cisco "vergessen" hat, sie auf diese Lücken aufmerksam zu machen. Dass eine der Lücken ausgerechnet in einem nach Backdoor klingenden Dienst namens SecretServiceServlet ist, das merkt ihr wahrscheinlich gar nicht.
Not my department, says Wernher von Braun.
Weil das eine sichere Sprache ist? Endlich sind wir die Probleme von C los?
Dann guckt mal die Liste an Problemen in deren Crypto-Code hier an. Nicht nur auf den Titel gucken, ihr müsst den Fließtext lesen.
Und kann heute keine Apps starten, die nicht von Apple kommen?
Deren OCSP-Server ist offenbar down und jeder App-Launch führt zu einem Nach-Hause-Telefonieren zu Apple zu diesem Server, der nicht antwortet.
Ein Einsender schreibt mir gerade::
Unis in Deutschland: Oh nein, völlig überraschend noch ein Online-Semester! Schnell, wir brauchen ein robustes Videokonferenz-System, shut up and take my money *schielt zu Cisco Webex*Daher fragt man für sowas ja auch Leute, die sich mit sowas auskennen.Schulen in Griechenland: Oh nein, völlig überraschend müssen wir wieder Online-Unterricht anbieten, Cisco, schafft ihr das?
Cisco: Kein Proble.. ups.
Ergebnis: WebEx in halb Europa kaputt (vermutlich wegen der plötzlichen, unerwarteten Last, oder wegen des CVEs neulich?):
Alternativen gibt's kurzfristig natürlich keine, aber "Cisco arbeitet an einer Lösung". Ach so, na denn wird ja alles jut.
Übrigens, Lacher am Rande (die Webseite lädt gerade ein bisschen langsam; warum wohl?):
Cisco Webex ist eine sichere, Cloud-basierte Collaboration-PlattformCloud, wir erinnern uns, machte man, damit man auf plötzliche Lastspitzen souverän reagieren kann, indem man einfach Server nachklickt. Und dass sie es wagen, nach dem CVE neulich da noch "sicher" hinzuschreiben, das ist auch echt geil.
Eigentlich müsste man den Satz gar nicht weiterführen nach "jemand".
Cisco hat mal wieder ein paar 0days in der Wildnis beobachtet, und war schockiert — SCHOCKIERT!!1!, dass die gegen Cisco-Anyconnect gerichtet waren! Ansonsten haben auch Kunden von Webex die Arschkarte, und SD-WAN scheint selbst für Cisco-Verhältnisse richtig doll schlecht zu sein.
Wieso kauft denen eigentlich immer noch jemand ihren Ranz ab? Was müssen die noch machen!?
Man würde ja denken, wenn du ein Admin-Interface baust, dass du dann im wesentlichen einen Job hast: Dafür sorgen, dass nur der Admin das benutzen kann.
Das ist jetzt das 2. Mal, dass die das dermaßen verkacken.
Der 1. Bug ist, dass die einen völlig überflüssigen API-Endpunkt eingeführt haben, vermutlich weil die Devops-Sprallos auf APIs stehen. Und dann haben sie in dem API-Endpunkt eine command injection vulnerability eingebaut. Weil, äh, YOLO! Wir entwickeln hier agil! Wir machen uns die Gedanken nachher, nicht vorher! Klar ist unser Code scheiße aber dafür reagieren wir schnell!1!!
Hey Fefe, wieso entwickelst du deine Software eigentlich selber und nimmst nicht anderer Leute agil entwickelten fertigen Lösungen? Tja, das werden wir wohl nie erfahren. Ein Mysterium!!1!
The big problem with this feature is that it is highly vulnerable to injection attacks. As the runner process parses every line printed to STDOUT looking for workflow commands, every Github action that prints untrusted content as part of its execution is vulnerable. In most cases, the ability to set arbitrary environment variables results in remote code execution as soon as another workflow is executed.Ach kommt, da muss man Verständnis haben. Das ist Microsoft. Die hatten noch nie Injection als Bugklasse!1!! Daher ist auch das Repo von Visual Studio Code betroffen.Niemand kann erwarten, dass die sich vorher existierende Bugklassen angucken. Wir sind hier in der Devops-Ära. Da wird erst implementiert, und danach guckt man, ob Fehler drin sind. Planen macht man nicht mehr. Das erinnert zu sehr an Wasserfall.
Und komm schon, wann hat Wasserfall jemals funktioniert? Gut, es hat uns als Spezies auf den Mond gebracht. Es hat die Entwicklung von Datenbanken und von Programmiersprachen und Finanzsoftware ermöglicht. Aber sonst? NICHTS hat es uns gebracht!!1! Heute pfuschen wir lieber und gehen dann pleite, wenn die Fehler offenbar werden. Oder wir fangen an, von "responsible disclosure" zu faseln.
Ich find das ja immer geil, dass die gleichen Leute, die uns eben noch erzählt haben, Wasserfall sei zu teuer, jetzt ein Abomodell für ihre Pfusch-Schrottware aufschwatzen wollen.
Die RIAA hat deren Github-Präsenz weg-DMCA't. Ja, die RIAA gibt es noch. Ich war auch erstaunt.
Begründung: Das sei ein Umgehungswerkzeug für Kopierschutzmaßnahmen. Konkret weil man damit Songs von Youtube runterladen kann, wenn Youtube bloß eine Streaming-Lizenz gekauft hat und keine Download-Lizenz.
Die Homepage des Projekts gibt es noch aber die Links gehen alle ins Leere.
Das Problem: Der Sicherheitsforscher Tom Tervoort hat entdeckt, dass der Parameter Clientcredential - Teil der Funktion ComputeNetlogonCredential - in einem aus 256 Fällen ebenfalls aus acht Nullen besteht, wenn Angreifende die Challenge, die zwischen Domänencontroller und -clients für eine Authentifizierung ausgetauscht wird, auf ausschließlich null setzen. Nach maximal 256 Brute-Force-Versuchen mit dem Call NetrServerAuthenticate3 kann sich das System in einer Domäne als Client authentifizieren, was laut dem Forscher etwa 3 Sekunden Rechenzeit entspricht.Top Notch Engineering, Microsoft!
Bonus: Der Bug gammelt da seit dem 1. April herum.
Naja, werdet ihr euch jetzt denken, das ist bestimmt alter Gammelcode. Heute würde sowas in neuem Code nicht mehr passieren.
Doch, würde es. Das ist brandneuer Code.
m(
Warum nicht Teams? Die nehmen das wenigstens ernst mit dem Datenschutz!
Unter uns: Beides finde ich völlig abwegig. Das ist geradezu für Deppen-Manager gemacht, die sich an der Illusion von Kontrolle über ihre Leute aufgeilen, aber eigentlich nur die ganze Zeit im Weg rumstehen.
Ist ja komisch, Cheffe! Ich frage alle 10 Minuten nach einem Statusupdate und packe denen ständig Meetings in den Kalender, wieso kriegen die denn nichts fertig?! Das liegt bestimmt an denen.
Attacken sollen vergleichsweise trivial sein. So könnten Angreifer aus der Ferne und ohne Authentifizierung die volle Kontrolle über Systeme erlangen.Ja super!
Weil es Netgear offenbar nicht geschafft hatte, innerhalb der bereits verlängerten Frist von fünf Monaten Updates bereit zu stellen, hat die Zero Day Initiative den Sachverhalt jetzt veröffentlicht; Adam Nichols von der Sicherheitsfirma Grimm zog kurz darauf nach.Die will man doch einsetzen, deren Produkte!
GnuTLS servers are able to use tickets issued by each other without access to the secret key as generated by gnutls_session_ticket_key_generate().
If Thunderbird is configured to use STARTTLS for an IMAP server, and the server sends a PREAUTH response, then Thunderbird will continue with an unencrypted connection, causing email data to be sent without protection.Au weia. Wenn Outlook so einen Bug bringen würde, würden alle von NSA-Backdoors herumschwadronieren.
Cisco Talos recently discovered two vulnerabilities in the popular Zoom video chatting application that could allow a malicious user to execute arbitrary code on victims’ machines.Da bieten sich jetzt natürlich Witze an, wie schlimm das sein muss, wenn sogar Cisco Lücken findet, aber Talos ist zugekauft. Die Frage muss also eher sein, wieso Cisco nicht mal die Talos-Leute auf ihre eigenen Produkte gucken lässt. Vielleicht wollen sie denen einen Schlaganfall ersparen oder so.
Auf einer Investoren-Konferenz sagte der Zoom-CEO, die E2E-Krypto gäbe es nur für zahlende User. Warum? Äh, *papierraschel* *mikrofonfeedbackpfeif* wir arbeiten ja mit dem FBI zusammen, und wenn wir den Traffic von Kriminellen verschlüsseln, dann geht das ja nicht, und *aufdieuhrguck* OH SCHON SO SPÄT?! *weglauf*
IP Encapsulation within IP (RFC2003 IP-in-IP) can be abused by an unauthenticated attacker to unexpectedly route arbitrary network traffic through a vulnerable device.Betroffen ist deren Nexus-Reihe. (Danke, Christian)
Digicert, Digicert, wer war das noch gleich … ach ja! Die mit dem CA-Business von Symantec!
Da hat wohl jemand die Due Diligence verkackt? (Danke, Christian)
Wenn ihr mich fragt, ist das ganze Konzept von Rootkit-Erkennung eine Totgeburt. Wenn du vermutest, dass du ein Rootkit haben könntest, ist es zu spät. (Danke, Guido)
When he looked around the Web on the device’s default Xiaomi browser, it recorded all the websites he visited, including search engine queries whether with Google or the privacy-focused DuckDuckGo, and every item viewed on a news feed feature of the Xiaomi software. That tracking appeared to be happening even if he used the supposedly private “incognito” mode.The device was also recording what folders he opened and to which screens he swiped, including the status bar and the settings page. All of the data was being packaged up and sent to remote servers in Singapore and Russia, though the Web domains they hosted were registered in Beijing.
The vulnerability allows remote code execution capabilities and enables an attacker to remotely infect a device by sending emails that consume significant amount of memory (Danke, Frank)
TLDR: Es hat gereicht das Enduser-Self-Service-Portal oder die Admin-GUI public erreichbar zu haben um geowned worden zu sein.Ich sage euch, diese Antivirenbranche! Hätte uns doch nur jemand rechtzeitig gewarnt, dass das bloß Schlangenöl ist! (Danke, Sebastian)Und Ersteres zumindest haben vieeele. Der gemeine Enduser muß ja sein VPN selber klicken können. Erst Recht zu Homeoffice-Zeiten...
(Durfte gestern/heute >25 Systeme durchgehen. Nicht eines hats nicht erwischt.)
Es gibt ja die Variante: 'Hotfix automagisch eingespielt + Dir ist nix passiert' oder 'Hotfix automagisch eingespielt + you were 0wned'.
Pre-Auth-SQL-Injection, sportlich. Finde leider keine technischen Details zum Angriff selber, man könnte ja meinen im Testing wird mit allem möglichen drauf eingehauen.
PS: Aber, auch das (noch gepflegte, ältere) Schwesterprodukt "Sophos UTM" hatte so seine Themen die Tage:
https://www.heise.de/security/meldung/Sophos-zieht-problematisches-Firmware-Sicherheitsupdate-9-703-fuer-UTM-zurueck-4704634 .html
BigBlueButton versions lower than 2.2.4 have a LFI vulnerability allowing access to sensitive files.LFI = Local File Inclusion. Der Klassiker ist sowas wie /display.php?filename=index.html und der Angreifer übergibt dann halt filename=../../../../etc/passwd oder so. Der Vorteil von dieser Art Bug ist, dass man sie eigentlich recht effizient halbautomatisch finden kann. Da gibt es also eigentlich nicht so viel Ausreden für, so einen Bug in seinem Produkt zu haben.
CVE-2020-0022 an Android 8.0-9.0 Bluetooth Zero-Click RCE – BlueFragRCE = Remote Code Execution. Die Art von Bug, die man nicht haben will.
Bei allem Geheule über die unfassbare Komplexität und die ständigen Lücken in Browsern: Das hier ist noch viel schlimmer.
Ich finde es ja auffällig, dass die ganzen git-Probleme anfingen, nachdem Linus die Weiterentwicklung an Andere übergeben hat. Ist echt immer dasselbe Muster. Ach komm, wir bauen noch ein paar Features ein!1!!
Aufgrund einer mangelnden Prüfung des SHA256-Hashes von Paketen ist die Integrität von Dateien nicht mehr gewährt.
For the record: Das ist kein DOS, das ist ein Remote Code Execution.
By exploiting the Ghostcat vulnerability, an attacker can read the contents of configuration files and source code files of all webapps deployed on Tomcat.In addition, if the website application allows users upload file, an attacker can first upload a file containing malicious JSP script code to the server (the uploaded file itself can be any type of file, such as pictures, plain text files etc.), and then include the uploaded file by exploiting the Ghostcat vulnerability, which finally can result in remote code execution.
Der Bug ist in dem AJP-Handler.
Ist ja komisch. Dabei sah das doch so seriös aus! "Redefining trust, value and ownership"! Indeed!
Hätte uns doch nur jemand vor Kryptowährungen gewarnt!
Zur Abwechslung ist es mal kein Intel-Hardware-Bug sondern schlicht nicht fertig implementierter Code.
Ach komm, Fefe! Es kompiliert! Das shippen wir!!1!
Update: Dieser Angriff betrifft die Server-Seite im pppd, d.h. eher die Access-Konzentratoren bei den ISPs. Außer euer Router hat einen VPN-Modus, bei dem er mehr als Client ist.
Update: Ilja schreibt mir gerade:
So it affects the server and client. Both eap_request() and eap_response() are vulnerable (and have the exact same bug). Further more, there is no check to see if you’ve actually configured eap and are using eap prior to hitting the parser. So even if it’s not configured, you’re still vulnerable. Oh, and it’s pre-auth.
Es trifft also doch alle eure Plasterouter. UND die Access-Konzentratoren. Und man kann es ausnutzen, ohne einen gültigen Account zu haben, und ohne dass EAP konfiguriert sein muss. Das ist der perfekte Sturm.
Oh und wenn euer Unix pppd setuid root installiert hat, ist das auch eine local privilege escalation.
five critical vulnerabilities in [...] the Cisco Discovery ProtocolDas betrifft einmal die ganze Hardware-Produktpalette bis hin zu IP-Telefonen.
Habt ihr die gekauft, weil Apple mit ihrem Trackingschutz Werbung gemacht hat?
Dann habe ich schlechte Nachrichten für euch. Der funktioniert nicht nur nicht, der ist kontraproduktiv.
Apple erinnert langsam so ein bisschen an Intel. Da sind ja auch alle Innovationen der letzten Jahre nach hinten losgegangen.
Und hat sich Sorgen gemacht, dass Microsoft in letzter Zeit so wenig versucht hat, ihren Usern unter illegaler Ausnutzung ihres Monopols ihre unterperformenden Ranztechnologien überzuhelfen, ob sie wollen oder nicht?
Gut, in Sachen erzwungene Windows-Updates und endlosem Rumgenerve, man möge Windows 10 installieren, war Microsoft eher nicht zurückhaltend. Aber es gab schon länger kein DU WIRST JETZT INTERNET EXPLORER BENUTZEN!!1! mehr.
Keine Sorge. Das Warten ist vorbei. Microsoft installiert jetzt allen Office 365-Usern ungefragt und ungebeten eine Chrome-Extension, die die Suchmaschine zu Bing umstellt.
Ach komm, Fefe, ich verwende Firefox, das betrifft mich nicht!
Support for the Firefox web browser is planned for a later date.Ach komm, Fefe, das ist doch nur die englische Seite, sowas würden die sich in der EU nie trauen!At this time, the extension will only be installed on devices in the following locations, based on the IP address of the device:- Australia
- Canada
- France
- Germany
- India
- United Kingdom
- United States
Doch, würden sie!Es ist allerhöchste Zeit, dass die EU diese Firma mal in ganz kleine Teile zertrümmert. Alternativ müsste einfach ein Gericht urteilen, dass man denen die Arbeitszeit für das Rückgängigmachen in Rechnung stellen kann. Dann könnte ich damit auch gut leben.
In this post, I share three (3) full exploitation chains and multiple primitives that can be used to compromise different installations and setups of the Cisco DCNM product to achieve unauthenticated remote code execution as SYSTEM/root. In the third chain, I (ab)use the java.lang.InheritableThreadLocal class to perform a shallow copy to gain access to a valid session.Es ist ja nicht so, als ob noch irgendjemand was von Cisco erwarten würde. Aber das ist selbst für deren Verhältnisse auffallend schlecht. Man muss sich fragen, wieso es bei uns keine Behörde gibt, die diese Firma aus dem Verkehr zieht. (Danke, Kristian)
Das ist jetzt offiziell durch.
We chose the PGP/GnuPG Web of Trust as demonstration of our chosen-prefix collision attack against SHA-1.Oh shoot!
Die sind jetzt eine US-Firma. Nachdem ein US-Investor fett Risikokapital reingepumpt hat.
Wire finally confirmed they had changed holding companies and would now be a US based company in a move they called “simple and pragmatic,” as they worked to expand their foothold in the enterprise market.Der Enterprise-Markt! HAHAHA! Ja nee, klar.Die Meldung ist schon von Anfang Dezember, aber ich hatte die bisher nicht wahrgenommen, (Danke, Peter)
We discovered an authentication-bypass vulnerability in OpenBSD's authentication system: this vulnerability is remotely exploitable in smtpd, ldapd, and radiusd, but its real-world impact should be studied on a case-by-case basis. For example, sshd is not exploitable thanks to its defense-in-depth mechanisms.Gute Lektion an der Stelle: Defense in Depth ist gut! Macht mehr Defense in Depth!
So, here's some further info on the US DoJ's investigation of me presumably for supporting Julian Assange and WikiLeaks.Oh it's "SEALED v. SEALED; Case is not available to the public."
Gut, dass wir das mal geklärt haben!Der beste Rechtsstaat, den man für Geld kaufen kann!
There is an integer overflow that leads to heap memory corruption in the handling of CONNECTION_STATE_HEADER.
Fortinet products, including FortiGate and Forticlient regularly send information to Fortinet servers (DNS: guard.fortinet.com) on - UDP ports 53, 8888 and - TCP port 80 (HTTP POST /fgdsvc) This cloud communication is used for the FortiGuard Web Filter feature (https://fortiguard.com/webfilter), FortiGuard AntiSpam feature (https://fortiguard.com/updates/antispam) and FortiGuard AntiVirus feature (https://fortiguard.com/updates/antivirus). The messages are encrypted using XOR "encryption" with a static key.
In our paper we demonstrate this effect, successfully using light to inject malicious commands into several voice controlled devices such as smart speakers, tablets, and phones across large distances and through glass windows.
The security expert and bug-hunter John “hyp3rlinx” Page discovered an arbitrary code execution vulnerability, tracked as CVE-2019-9491, in the Trend Micro Anti-Threat Toolkit.Hey, ich habe eine Idee. Wir installieren einfach noch eine zweite Packung Schlangenöl! Die schützt uns dann vielleicht vor den Lücken, die das erste Schlangenöl aufgerissen hat!Wie wäre es mit Avast! Oder Norton! Gut, Norton hat den Nachteil, dass dann mein Blog nicht mehr geht. Aber für die Sicherheit muss man manchmal halt Kompromisse eingehen!1!!
Und zur Abrundung was von Cisco!
Und wenn ihr ganz sicher gehen wollt, dann nehmt Kaspersky. Die laden das in ihre Cloud und prüfen dort noch manuell!
Die hatten offenbar einen Datenreichtum.
Mehrere kryptographische Schlüssel und Informationen über Konfigurationsdateien von NordVPN sind in einem Leak aufgetaucht. Einer der Schlüssel passt zu einem älteren Webseiten-Zertifikat von NordVPN.Das ist nicht gut.
Der Anbieter hat sich bisher noch nicht zu dem Vorfall geäußert.Das macht es noch viel schlimmer.
Ist euch aufgefallen, wie lahm das ist? Nicht? Dann habt ihr fettes Internet.
Denn leichtgewichtig ist die Site nicht :-)
Update: Siehe auch dieses Video oder in Textform.
Das hab ich jetzt davon, dass ich neulich rumscherzte, ping of death gelte als ausgestorben.
There is a logic error in Signal that can cause an incoming call to be answered even if the callee does not pick it up.
Bei der Signatur sieht es nicht viel besser aus. Da reicht es, wenn man das Signatur-Objekt im PDF kaputtmacht, und schon kann der Reader die Signatur nicht prüfen — aber viele Reader zeigen das offenbar nicht an. Schlimmer noch: PDF definiert einen Weg, hinter dem Content weiteren Content anzuhängen, bei Office nannte man das früher Fast Save. Adobe hat das gemacht, damit man Kommentare anfügen kann. Den konnten sie auch ausnutzen, und dann gibt es noch einen fummeligen Weg, in der Struktur des Dokumentes Dinge hin- und herzuschieben, damit die signierten Pointer noch auf etwas zeigen, aber das ist dann was anderes als zum Zeitpunkt der Signatur.
Nun fallen nicht alle Reader auf alle dieser Angriffe herein, aber echt viele Reader haben mindestens eines dieser Probleme.
Ich für meinen Teil habe die PDF-Krypto noch nie benutzt. Ich sehe keinen Anlass dafür. Wenn man das braucht, macht man GnuPG drum herum. Da hat man dann keines dieser Probleme.
A local or remote attacker can execute programs with root privileges.Das kommt von "wir passen schon auf" als Software-Architektur. Prinzip Hoffnung.
Maintainers of the RubyGems package repository have yanked 18 malicious versions of 11 Ruby libraries that contained a backdoor mechanism and were caught inserting code that launched hidden cryptocurrency mining operations inside other people's Ruby projects.Das ist natürlich nicht die Schuld von Ruby, sondern davon, dass Entwickler heutzutage Libraries aus dem Internet automatisiert runterladen, einbinden und ausliefern. Das ist einfach mal generell eine schlechte Idee, aber gepaart mit der monströsen Komplexitätsexplosion in Code heutzutage ist es ein selbstverstärkendes Problem.Die Leute meckern immer rum, dass C und C++ keine Paketmanager haben. Ich halte das für einen Vorteil. Nicht nur einen Vorteil. Den Hauptvorteil von C und C++ im Moment. Von der Funktionalität her können C und C++ nichts, was nicht auch Rust oder Go könnten, bei einer grob vergleichbaren Performance am Ende. Oder wenn man auf Performance scheißt, dann wie Ruby, Python oder Javascript.
Der Vorteil von C++ im Moment ist, dass es eine Schwelle für das Einbinden von Libraries gibt. Das ist mit Kosten verbunden. Daher gucken Leute eher hin.
Ist nicht alles toll mit dem Modell. Eines der Hauptprobleme von C++-Code in Produktivsystemen ist, dass der Code veraltet ist und veraltete 3rd-Party-Komponenten einsetzt. Da muss mal was geschehen, keine Frage.
Aber habt ihr schonmal von einem C oder C++-Programm mit einem Kryptominer oder einer Backdoorkomponente gehört, wo der Autor auch nur versucht hätte, sich mit Paketen aus dem Internet rauszureden? Oder ein kompromittiertes Github-Paket, das es dann auch tatsächlich in irgendwelche ausgelieferte C++-Software geschafft hat?
Ich beobachte die aktuellen Bemühungen bei C++20 mit größter Sorge, sich da in Richtung NPM zu bewegen, um mehr Hipster anzuziehen. Leute, die auf sowas stehen, sind genau die, die man nicht in seinem Projekt haben will, weil das am Ende Kryptominer drin haben wird und der Verantwortliche wird nicht mal verstehen, wieso das seine Verantwortung gewesen wäre.
Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie in Darmstadt haben in diesen VoIP-Telefonen insgesamt 40 teils gravierende Schwachstellen gefunden.Spoiler: Die Komplexität dieser Protokolle ist viel zu hoch.
Update: Einige Leser beklagen sich, dass die Lücken alle total triviale Anfängerfehler in deren Web-Komponenten sind. Niemand fand das ein schlechtes Zeichen, dass ein Telefon einen Webserver braucht.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
Aber das ist nicht alles:
The attackers also inserted code that allowed them to capture plaintext passwords as they were entered by users at the time.Und weil Slack so eine 1a Firma ist, die niemals ihre Kunden hinters Licht führen würde … erfahren wir da jetzt erst von. Und gleich noch mit einer Familienpackung Kleinreden der Größenordnung des Problems. Ach komm, Kunde, das war 2015, seit dem hast du doch sicher das Passwort mal gewechselt? Oder 2-Faktor aktiviert?!Wie damals die Autoindustrie, die die Schuld an den Toten im Straßenverkehr den Toten in die Schuhe geschoben hat. Wer immer schön sein Passwort geändert hat, ist von diesem Hack nicht betroffen. Und von den neuren Hacks erzählen wir euch dann auch 4 Jahre später, oder wie?
Boah diese Tech-Startups immer, die hab ich ja alle sowas von gefressen. Die großen Firmen sind auch widerlich und ekelhaft, aber die haben immerhin eine Compliance-Abteilung und Anwälte, die der Geschäftsführung rät, sich an Recht und Gesetz zu halten. Zumindest an den Buchstaben des Gesetzes.
Another source close to the program told us, “As far as I know, it is a problem of the PTF [Precise Timing Facility] in Italy – time has an impact on the whole constellation!”Ich hoffe das ist nicht wirklich so schlecht designed, wie es gerade aussieht.Da muss man ja fast froh sein, dass die Russen und Chinesen auch ein Satellitennavigationssystem bauen.
Das ist so eine Personal Firewall für OS X, falls das jemandem nichts sagt. Immerhin ist das wohl nur eine locale privilege escalation, nicht über Netz. (Danke, Maximilian)
Ich auch. :-( (Danke, Jan)
Das geht bald nur noch mit der Enterprise-Version.
In a response to the overwhelming negative feedback, Google is standing firm on Chrome’s ad blocking changes, sharing that current ad blocking capabilities will be restricted to enterprise users.Google ist halt wie die CDU. Zu sehr an ihren Erfolg gewöhnt. Kritik hören die gar nicht mehr. Wenn dann ist das bloß ein Missverständ nis. Die Kritiker haben bloß noch nicht klar genug erklärt bekommen, wie großartig wir sind, dsas wir die Guten sind. Wir sind so gut, wir können gar nichts böses tun!
Das ist irgendeine belanglose Messaging-Geschichte. Was diesen Fall auszeichnet, ist dass wir mal erfahren, wie lange die Angreifer Zugriff auf die Datenbank hatten, bevor es jemand gemerkt hat.
Einem offiziellen Statement von Flipboard zufolge hatte ein unbefugter Dritter im Zeitraum von Juni 2018 bis April 2019 Zugriff auf die Datenbank.Die Firma sagt jetzt: Naja, wir haben ja die Passwörter gehasht abgespeichert. Ist also nicht so schlimm.
Ich würde dem nicht zustimmen. Wenn es jemand bis zu eurer Datenbank geschafft hat, dann hing die entweder am Internet, in welchem Fall man nie wieder irgendwas aus eurem Hand vertrauen sollte, oder der Angreifer musste sich durch den Rest eurer Infrastruktur durchhacken. Es gibt wenig Grund für die Annahme, dass der dann nicht auch die Klartext-Passwörter abgeschnorchelt hat bei dne Logins in der Zeit. Das macht man zwar trotzdem und es ist gut so, aber sorry, wer Angreifer die Datenbank abschnorcheln lässt, und das ein Jahr lang nicht merkt, dem sollte man an der Stelle keinen Vertrauensspielraum mehr einräumen.
Und zukünftig auch nicht mehr.
Man muss sich auch fragen, wieso man denen überhaupt jemals getraut hat.
Ist ja nicht so als wäre da der Quellcode offen und man könnte selbst Server betreiben.
Update: Könnte sich um diesen Fall aus dem letzten Jahr handeln. Das wäre ja eher peinlich, wenn Whatsapp da nen Jahr drauf sitzt.
Zur Einordnung vielleicht: Wer Fremde SQL-Statements gegen seine Datenbank werfen lässt, hat eh verloren. Bei vielen Datenbanken gibt es sogar direkt SQL-Statements für "führe diese Kommandozeile aus".
Ist aber natürlich trotzdem schlecht, weil man damit das Permission-Schema der Datenbank umgehen kann. Die Funktion für Shell-Ausführen kann dem DB-User ja verboten worden sein. (Das war allgemein gesprochen, sqlite hat kein Rechtesystem) (Danke, Peter)
Remote Code Execution on most Dell computers
An unauthorized person gained access to a Docker Hub database that exposed sensitive information for approximately 190,000 users. This information included some usernames and hashed passwords, as well as tokens for GitHub and Bitbucket repositories.According to a security notice sent late Friday night, Docker became aware of unauthorized access to a Docker Hub database on April 25th, 2019.
After performing an investigation it was determined that the database contained information for approximately 190,000 users. This information included access tokens for GitHub and Bitbucket repositories used for Docker autobuilds as well usernames and passwords for a small percentage of users.
Na sowas! Also DAMIT konnte ja wohl NIEMAND rechnen!! Hätte uns doch nur jemand gewarnt!!1!
Mozilla has told BleepingComputer that they will be enabling the tracking feature called hyperlink auditing, or Pings, by default in Firefox. There is no timeline for when this feature will be enabled, but it will be done when their implementation is complete.Dass die Leute aber auch alle nie den Hals voll kriegen können! Wieso müsst ihr eigentlich wissen, auf welche Links ich klicke? Go fuck yourself!
Browsers such as Chrome, Edge, Safari, and Opera enable hyperlink auditing by default and most allow you to disable it. As we reported last weekend, future versions of these browsers will no longer allow users to disable hyperlink auditing at all.Das ist ja super, dieses Chrome!Oh, und falls ihr euch fragt, wieso Chrome das nicht abschaltbar machen will:
While not as common as JS and redirect tracking, this feature is used in the Google search results in order for Google to track clicks on their links.
Several devices manufactured by WAGO contain an undocumented account with administrative privileges. The password for this account is device dependet, but easily brute-forcable.Cisco leistet so viel, um für das Thema Hintertür-Admin-Accounts Awareness zu schaffen, und es finden sich IMMER noch welche! Unglaublich.
An attacker gained access to the servers hosting Matrix.org. The intruder had access to the production databases, potentially giving them access to unencrypted message data, password hashes and access tokens. As a precaution, if you're a matrix.org user you should change your password now.Das war wohl ein netter Hacker, der parallel schön Tickets aufgemacht hat.Der Bug war nicht in deren Matrix-Code, sondern in deren Drumherum-Scheiß, wo sie einen Jenkins hatten, der per SSH erreichbar war, und da lagen zu allem Überfluss dann auch noch die GPG-Keys herum, mit denen sie ihre Debian-Pakete signieren. Das lässt keine direkten Rückschlüsse auf die Codequalität zu, aber das ist ein weiterer Fall von "Projekt von seiner eigenen Devops-Komplexität erschlagen". Und wenn die da schon so schlampen, dann fragt man sich schon, ob man dem Rest trauen kann. Auf der Kiste, auf der er sich einloggen konnte, war gerade jemand anderes mit SSH Agent Forwarding eingelogt, der Root-Zugriff anderswo hatte. Ganz großes Kino.
We identify a security vulnerability in this TLS 1.3 path, by showing a new reflection attack that we call ``Selfie'. The Selfie attack breaks the mutual authentication. It leverages the fact that TLS does not mandate explicit authentication of the server and the client in every message.
A buffer overflow vulnerability was found in GNU Wget 1.20.1 and earlier. An attacker may be able to cause a denial-of-service (DoS) or may execute an arbitrary code.wget ist so eines der Tools, bei denen sowas eher unangenehm ist. (Danke, Alexander)
Im Netz kann jeder unter falscher Identität unterwegs sein. Künftig soll das auch die Polizei öfter tun. Sie soll die Online-Konten von Verdächtigen einsehen und übernehmen können. Wer sein Passwort verweigert, kann dafür sogar in Beugehaft kommen.Wo bleibt eigentlich die Revolution?
Hackers Hijacked ASUS Software Updates to Install Backdoors on Thousands of ComputersGroßartige Firma, dieses Asus. Da will man doch seine Hardware kaufen!
Security fixes found by an EU-funded bug bounty programme:- a remotely triggerable memory overwrite in RSA key exchange, which can occur before host key verification
- potential recycling of random numbers used in cryptography
- on Windows, hijacking by a malicious help file in the same directory as the executable
- on Unix, remotely triggerable buffer overflow in any kind of server-to-client forwarding
- multiple denial-of-service attacks that can be triggered by writing to the terminal
Other security enhancements: major rewrite of the crypto code to remove cache and timing side channels. Das ist mal so ziemlich ein Totalschaden.
ImpactNa dann ist ja alles in Butter. Boah du, ein Glück dass wir von Debian und diesem stinkenden APT weg sind!1!! Und diesem entsetzlichen RPM erst!!1!
======
A remote attacker in the position of man-in-the-middle or a malicious
server is able to execute arbitrary code as root when a user installs a
remote package via a specified URL.
Ja. SCHON WIEDER.
Ob das eine Strategie ist? Die Kunden so lange mit Sicherheitslücken bombardieren, bis sie das für normal halten? Scheint zu funktionieren!
Aber keine Sorge. Ist bloß Superuser-Zugriffe für Angreifer.
Keine der Lücken gilt als kritisch.Na dann ist ja nicht so schlimm, nicht wahr?
PS: Heise hat aus irgendwelchen Gründen diese Meldung nicht in ihrem Newsticker verlinkt. Ob sie sich für den oben zitierten Satz geschämt haben?
Nehmt Go, sagten sie. Ist dann sicher, sagten sie.
Dell Networking OS10 versions prior to 10.4.3.0 contain a vulnerability in the Phone Home feature which does not properly validate the server’s certificate authority during TLS handshake. Use of an invalid or malicious certificate could potentially allow an attacker to spoof a trusted entity by using a man-in-the-middle (MITM) attack.Certificate Checking is hard! Let's go shopping! (Danke, Benedikt)
you can call somebody via FaceTime and listen to their phone’s microphone regardless of whether the person you’re calling picks up.Das passiert wohl, wenn man während des Verbindungsaufbau auf Konferenz-Modus umschaltet.Klingt wie ein feuchter Traum der NSA, nicht wahr?
Merke: Nur weil jemand AES macht, heißt das nicht, dass es sicher ist.
Ich bin ja vor allem irritiert, dass der Autor die auf den Plattformen zur Verfügung stehenden APIs für Zufallszahlen nicht kannte. Die gibt es extra für genau diese Anwendung: CryptGenRandom unter Windows oder /dev/urandom unter Unix. Da gibt es echt nicht viel als Entschuldigung vorzubringen.
Update: Siehe auch.
Remote Code Execution in apt/apt-get
To the best of our knowledge, all systemd-based Linux distributions are vulnerable, but SUSE Linux Enterprise 15, openSUSE Leap 15.0, and Fedora 28 and 29 are not exploitable because their user space is compiled with GCC's -fstack-clash-protection.
Ein Bug in SQLite ist ziemlich apokalyptisch, das hat ähnliche Ausmaße wie zlib und libpng. Da sind einmal alle Browser von betroffen, und noch ein Haufen mehr. Ich wollte da nicht drauf linken, bis es mehr als Geraune gibt, und das gibt es jetzt.
Das interessante daran ist, dass SQLite eigentlich eine der Produktionen mit der größten Test-Suiten ist. Und trotzdem rutscht da sowas durch.
For approximately 100 million Quora users, the following information may have been compromised:- Account information, e.g. name, email address, encrypted (hashed) password, data imported from linked networks when authorized by users
- Public content and actions, e.g. questions, answers, comments, upvotes
- Non-public content and actions, e.g. answer requests, downvotes, direct messages (note that a low percentage of Quora users have sent or received such messages)
Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.
Und dann wundern sich die Leute, wieso ich keine Accounts bei ihnen aufmachen will.
a malicious user could use the Kubernetes API server to connect to a backend server to send arbitrary requests, authenticated by the API server's TLS credentials.The API server is the main management entity in Kubernetes. It talks to the distributed storage controller etcd and to kublets, the agents overseeing each node in a cluster of software containers.
Das ist ein Container-Ausbruch-Szenario. Kubernetes ist ja seit Tag 1 Opfer seiner eigenen unnötigen Komplexität. Die Prämisse ist ja eigentlich relativ einfach. Man beschreibt ein System aus mehreren Containern deklarativ und ein Tool baut das dann auf. Ein Tool, um einen Container zu starten, geht in deutlich unter 100k statisches Binary. Ein Tool, um aus einer Beschreibung ein Image zu bauen, und sich die Bestandteile aus dem Internet zu ziehen, ist sagen wir mal 2 MB, da ist dann auch ein fettes OpenSSL mit drin.Aber Kubernetes hat da noch eine monströse Management-Infrastruktur draufgepackt, und alles riesige Go-Binaries natürlich. Ich habe hier gerade mal das aktuelle Kubernetes mit dem aktuellen Go gebaut -- da fallen 1.8 GB Binaries raus. Ja, Gigabytes! Kein Typo! Das ist völlig absurd. Und natürlich geht ohne die Management-Infrastruktur der Rest nicht. Aus meiner Sicht ein Architektur-Fuckup sondergleichen. Auf der anderen Seite tickt Docker ja genau so. Da muss man auch die ganze Zeit einen Docker-Daemon laufen haben. Was die sich dabei wohl gedacht haben? Ich glaube: Der läuft da hauptsächlich aus Branding-Gründen. Damit die Leute den Eindruck haben, Container sei eine hochkomplexe Docker-Tech, keine vergleichsweise einfache Linux-Kernel-Tech.
Es ist ja schon viel und zu Recht gelacht worden über node und npm, aber das heißt ja nicht, dass jetzt genug ist.
Aktueller Fall: ein NPM-"Modul" mit 2 Millionen Downloads pro Woche. Der Maintainer hatte irgendwie keinen Bock mehr, sich um seinen Scheiß zu kümmern. Da kam dieser andere Typ gerade recht, der so meinte, hey, ich kann das ja übernehmen und so! Und daraufhin hat der dem Schreibrechte gegeben und der gute Samariter hat erstmal Malware injected.
Da weiß man, was man hat! Das ist doch DIE Plattform für eine web-basierte Enterprise-Software!!1!
Update: Money Quote:
he emailed me and said he wanted to maintain the module, so I gave it to him. I don't get any thing from maintaining this module, and I don't even use it anymore, and havn't for years.
Das ist ein Paper, nicht die bizarre angebliche Schutzgelderpressung neulich.
Aus dem Abstract:
We find that for the majority of ProtonMail users, no end-to-end encryption guarantees have ever been provided by the ProtonMail service and that the "Zero-Knowledge Password Proofs" are negated by the service itself.Oops. (Danke, Robert)
Ich bin ja fasziniert, dass wenn jemand von Project Zero Apple-Ingenieure fragt, ob sie mal kurz was ausprobieren mögen, dass die dann nicht alle NEIN!!!1! brüllen und wegrennen. Die haben echt immer noch Reste von Steve Jobs Reality Distortion Field am Laufen und halten sich für kompetente Programmierer. Unglaublich.
Update: Mir sei noch der Hinweis erlaubt, dass sie das mit RTP-Fuzzing gefunden haben. Erstmal ist es ausgesprochen peinlich, wenn überhaupt ein Bug mit Fuzzing gefunden wird. Peinlich, aber leider nicht unüblich in der Industrie, so beschissen ist ihr Zustand. Aber dass Apple einen mit Fuzzing findbaren Bug nicht selber gefunden hat, das ist echt unakzeptabel und unverzeihlich. Wenn Apple-Kunden mehr als eine Hirnzelle hätten, wäre Apple echt in Schwierigkeiten.
Meine Vermutung ist, dass die Hersteller noch nicht mitgekriegt haben, dass man ihre Firmware extrahieren und reverse engineeren kann.
Ich sage gleich mal voraus, dass die Firmware ab jetzt verschlüsselt kommt, damit sie kein Geld ausgeben müssen, um die Software in der Firmware ordentlich zu machen.
Update: Christian, der von Crypto mehr versteht als ich, erklärt:
Bitlocker macht OPAL, zumindest die Samsungs die ich seit eh und jeh empfehle, unterstützen DEK-Ranges. Das tun Sie auch hier. Damit ist die Sache safe. Im ATA-Security Modus das Master Passwort mit read-Recht so umzusetzen ist sehr ungünstig aber fixbar, wer OPAL nutzt ist davon aber auch nicht betroffen. [...]
Die DEKs liegen mit dem „Passwort“ (genauer in dem Fall TPM Key) verschlüsselt vor. Völlig normales Vorgehen, keine Hintertür, kein Incident. Fig. 8 hilft Dir weiter.
Das Paper ist in seiner Argumentation und Darstellung undurchsichtig und Verzeihung – unsauber.
Da jetzt pauschale Ableitungen wie am Beginn des Papers draus zu postulieren ist Blödsinn.
Zur Erläuterung: OPAL ist der Standard für SSD-Verschlüsselung. DEK ist der Schlüssel, mit dem die Daten verschlüsselt sind. Da nimmt man einen separaten Schlüssel und nicht einfach den Hash des Passworts, damit man das Passwort ändern kann, ohne alle Daten zu verlieren. Die Grundlagen erklärt das Arch-Linux Wiki, das m.E. zum Weltkulturerbe zählen sollte, soviel hilfreiche Dinge, wie da immer wieder drin stehen.
Update: Ich habe mich nochmal mit Kollegen unterhalten und die finden, dass doch das Paper Recht hatte und nicht Christian. Das Paper geht darum, dass jemand deine Platte klaut und du nicht kooperierst. Die Anforderung ist, dass das Laufwerk die Daten mit einem zufälligen Key verschlüsselt, der nicht auslesbar ist, und den sonst keiner kennt. Das lässt sich natürlich auch nicht prüfen, ob nicht alle Laufwerke von Baureihe XY statisch immer denselben Key verwenden oder so. Aber an sich haben die Laufwerke alle einen Zufallszahlengenerator (der auch häufig Müll ist, aber das ist ein anderes Thema). Man schließt die Platte jetzt mit einem Passwort auf. Die Platte kann aber nicht einfach den Schlüssel aus dem Passwort ableiten, weil man sonst das Passwort nicht ändern könnte, ohne alle Daten zu verlieren. Idealerweise will man daher aus dem Passwort einen Zwischenschlüssel ableiten, und mit dem den eigentlichen Schlüssel verschlüsselt haben. Das Paper hat jetzt rausgefunden, dass das bei den meisten Laufwerken nicht so ist, sondern dass die halt Code haben, der guckt, ob das Passwort stimmt, und dann den Key nehmen, der eh rumliegt. Dann kann ein Angreifer kommen und die Firmware manipulieren, dass der jedes Passwort reinlässt.
Ernsthaft? IMMER noch?!
Nicht dass die wieder eine Sicherheitsschwankung hatten?!
Update: Die nachfolgenden Tweets scheinen zu bestätigen, dass es da einen Security-Vorfall gab. Und mehrere Leute berichten, beim Login einen HTTP-500-Fehler zu kriegen.
While the check at (A) tries to ensure that the buffer has enough space left to store the IA option, it does not take the additional 4 bytes from the DHCP6Option header into account (B). Due to this the memcpy at (C) can go out-of-bound and *buflen can underflow in (D) giving an attacker a very powerful and largely controlled OOB heap write starting at (E). (Danke, Ilja)
Wie, fragt ihr, der Client hat doch gar keinen Port offen? Nein, aber er installiert einen Service, und der hat einen Port offen.
The summary is: when the WebEx client is installed, it also installs a Windows service called WebExService that can execute arbitrary commands at SYSTEM-level privilege. Due to poor ACLs, any local or domain user can start the process over Window's remote service interface (except on Windows 10, which requires an administrator login).Ja super! (Danke, Bernhard)
Geht in die Cloud, sagten sie! Klar ist das langsamer und unter jemand anderes Kontrolle, aber dafür ist es super verfügbar!1!!
Mit Klassikern wie "Root-Passwort im Plaintext im Filesystem abgelegt", "der Webserver kann dir die Datei mit dem Plaintext-Passwort geben" und "Shell Command Injection via Webserver".
Hey, D-Link? Was macht ihr eigentlich beruflich?
Update: Die wollten halt nicht das Feld Cisco überlassen.
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
libssh versions 0.6 and above have an authentication bypass vulnerability in the server code. By presenting the server an SSH2_MSG_USERAUTH_SUCCESS message in place of the SSH2_MSG_USERAUTH_REQUEST message which the server would expect to initiate authentication, the attacker could successfully authenticate without any credentials.
Das die immer noch ein "nach dem Update ist alles sicher" pullen und die Presse und ihre Kunden sie immer noch damit durchkommen lassen, ist mir echt unbegreiflich.
Nein, kein Scherz. Einige von euch benutzen Google+. Tut nicht so, als sei es nicht so!1!!
Nun, die hatten da einen Datenreichtum.
It said a bug in its software meant information that people believed was private had been accessible by third parties.Google said up to 500,000 users had been affected.
Also … alle? Jeder zweimal? :-)Google wusste das im März und hat nichts gesagt. Weil, äh,
The WSJ quoted an internal Google memo that said doing so would draw “immediate regulatory interest”.Und wo kämen wir da hin!Immerhin ziehen sie jetzt Konsequenzen und machen Google+ zu.
A vulnerability in Cisco Video Surveillance Manager (VSM) Software running on certain Cisco Connected Safety and Security Unified Computing System (UCS) platforms could allow an unauthenticated, remote attacker to log in to an affected system by using the root account, which has default, static user credentials.
Wie, echt jetzt? Immer noch?!?
Wie häufig muss Cisco euch eigentlich kaputte Produkte verkaufen, bis sie als Vendor durchgefallen sind?
Independent security researcher Bob Diachenko discovered the database on August 19 hosted on the Amazon Web Services (AWS) cloud platform. It was 142GB in size and it allowed access without the need to log in.The sizeable database included scanned documents of the sensitive kind: contracts, non-disclosure agreements, internal letters, and memos. Included were more than 200,000 files from Abbyy customers who scanned the data and kept it at the ready in the cloud.
Voll gute Idee, dieses Cloud Computing! Information wants to be free!!1!
if you entrust Travis with any secrets, this is bad news for you.
Update: Ich sollte vielleicht inhaltlich noch was dazu sagen. Die IP ist der Beschreibung nach Anycast. Wem das Netz gehört ist für die Datenschutzfragen zweitrangig. Wo der Server steht, ist die relevante Frage. Die einfachste Klärungsmethode ist ping oder traceroute. Wenn die Latenz größer 1ms ist, dann ist das nicht lokal.
Wohin die Telemetrie fließt, ist aus meiner Sicht zweitrangig. Da sollte gar keine Telemetrie erhoben werden, außer der Kunde hat sie manuell angeschaltet. Dass das Web-Zeug irgendwelche externe Scheiße einbindet, das ist heute leider üblich. Ich finde ja, Suchmaschinen sollten Sites runterraten, die das tun. Aber weil Google selbst einer der Haupttäter ist an der Stelle, wird das nicht passieren. Die iX hat aber Recht, wenn sie das anprangern. Insbesondere bei einem internen Admin-Panel. WTF, T-Systems!? (Danke, Ulrich)
Mein Gefühl dazu ist, dass IKE sich zu TLS verhält, wie S/MIME sich zu PGP verhält.
Insofern war ich ganz froh, dass jemand an was neuem arbeitet. Das ist im Moment ein Linux-Alleingang, dafür ist es AFAIK im Standardkernel angekommen. Ich habe damit noch nicht herumgespielt, aber beim oberflächlichen gucken her gingen da erstmal keine Alarmlampen an.
154 verschiedene All-in-One-Drucker von HP lassen sich per bösartigem Fax hijacken. Das Problem betrifft aber wahrscheinlich fast alle modernen Fax-Geräte.
Hey, Krypto-Währungen sind voll geil!!1! Da will man doch sein Geld investieren!
curl -H "Connection: AAAAAAAAAAAAAAAAAAAAAAAAAAAAA"Die machen sscanf in einen Puffer fester Länge. Und hinter dem Puffer liegt das "der User hat sich erfolgreich angemeldet"-Flag.
Ja, ist auch remote code execution. Aber das wäre ja mit Aufwand verbunden.
Diesmal war wirklich GnuPG Schuld.
Auf der einen Seite ist das natürlich schockierend, dass ext4 so einen Bug hat. Nach all den Jahren sollte man denken, dass die Filesystem-Leute verstanden haben, dass man Längen in Strukturen nicht einfach trauen kann. Besonders ext4, denn das ist im Wesentlichen der Grund, wieso die Leute (auch ich) ext4 verwenden: Dass die einen fsck haben, der auch verlässlich funktioniert und die Lage nicht schlimmer macht.
Auf der anderen Seite war die Reaktion der Linux-Kernel-Leute innerhalb 24h, den Bug öffentlich zu machen in ihrem Bugtracker. Die machen also kein Security-Geheimhaltungs-Brimborium. Das ist schonmal gut. Und wenn man nach dem Problem googelt, findet man heraus, dass dieses Codestück als stinkend bekannt ist und da schon drei-vier Patches durchiteriert wurden, um das zu fixen. Ich frage mich, wieso man das Feature dann nicht wieder rausgeschmissen hat, wenn klar war, dass der Code stinkt.
For the second time in less than a week, users of the popular end-to-end encrypted Signal messaging app have to update their desktop applications once again to patch another severe code injection vulnerability.Primärquelle hier.ACH KOMM! Das patchen wir, dann ist wieder gut! PGP hingegen ist voll tot und so!1!!
Update: Oder noch geiler: Bruce Schneier meint neulich so:
If you need to communicate securely, use Signal. If having Signal on your phone will arouse suspicion, use WhatsApp.
JA KLAR! Whatsapp!!1! Das will man internationalen Dissidenten doch empfehlen! Pumpt eure Daten bei Facebook vorbei! Vertraut Facebook, die würden nie eure Daten missbrauchen!1!!
Unter www.zywall.de waren mehrere Tausend aufgezeichnete Telefongespräche von Zyxel Deutschland öffentlich zugänglich.Wie, watt, Moment, die haben Telefonate aufgezeichnet!?
Also ich weiß ja nicht, wie euch das geht, aber ich bin bisher ein Fan der DSGVO. Der Guardian spammt mich gerade auf allen Kanälen voll, ich soll doch bitte zustimmen, dass sie mich weiter vollspammen dürfen (dem ich selbstredend nie zugestimmt habe). Die New York Times hat jetzt plötzlich einen Knopf, mit dem man für "non-essential cookies" einen Opt-Out machen kann. Und für Firmen wie Zyxel können solche Verkacker jetzt richtig teuer werden. Dabei ist die Lösung so einfach. Hört einfach auf, über andere Leute Daten zu erheben.
Ich bin ja übrigens auch noch auf der Suche nach einem Datenschutzbeauftragten, der genug Arsch in der Hose hat, mal gezielt und systematisch die ganzen Hotel-Datensammlungen abzuschalten. Häufig sind das Vorschriften der Kommunen, dass die Hotels die Daten sammeln müssen. Das ist offensichtlich nicht nötig und die Kommunen geht meine Anschrift und mein Geburtsdatum mal überhaupt rein gar nichts an. Da bräuchte es mal einen geschickten Anwalt, der da mal diese Regelungen per orbitaler Bombardierung zu einem Parkplatz macht.
Update: Oh ach gucke mal, das scheint ja sogar Bundesrecht zu sein! Na, liebe Anwälte? Viel Feind, viel Ehr?
Ich finde es gut, dass Firmen sowas jetzt ihren Kunden mitteilen. Aber es zeigt eben auch, dass Passwort-Hashing nur das halbe Problem löst. Das Passwort geht immer noch im Klartext über die Leitung und kann dann dort in irgendwelche Logs geschrieben werden. Eigentlich gibt es seit vielen Jahren Ansätze, das anders zu machen — TLS Client Certs zum Beispiel. Aber niemand traut sich, das auch nur optional zusätzlich zu Passwörtern anzubieten. Warum eigentlich nicht?
Weil er gut 7.000 öffentlich zugängliche Dokumente der Reihe nach heruntergeladen hat, drohen einem 19-jährigen Kanadier zehn Jahre Haft. Der Treppenwitz: Die Dokumente stammen allesamt vom Informationsfreiheitsportal der Provinz Neuschottland und standen jedermann frei zur Verfügung. Der Teenager hatte einfach zu der URL jeweils 1 hinzugezählt, um das nächste Dokument zu erhalten. Schema: http://foo.bar/document0001.pdf, http://foo.bar/document0002.pdf, etc.
Update: Verfahren eingestellt.
A Dutch cyber-security firm has discovered that in-vehicle infotainment (IVI) systems deployed with some car models from the Volkswagen Group are vulnerable to remote hacking.Dazu sollte man sagen, dass das das offensichtlichste Einfallstor ist. Das ist das, wo man als Security-Forscher losforschen würde. Es ist mir unbegreiflich, dass Autobauer diesen Scheiß nicht ordentlich wegisolieren vom Rest des Systems. Das ist als würde man den Benzintank oben offen lassen, weil, äh, was kann da schon passieren!1!!
Stellt sich raus: patch kann ed-style diffs. Indem er sie nach ed piped. Oh und ed hat einen Shell-Escape-Mechanismus.
Update: FreeBSD hat das in ihrem patch(1) schon 2015 gefixt. (Danke, Kris)
Due to a lack of strict checking, an attacker from a trusted host can
send a specially constructed IP packet that may lead to a system crash.
Stellt sich raus, dass die im Kernel das fsync-Verhalten verkackt haben, und Postgres daher Daten verlieren kann, wenn fsync fehlschlägt. Wenn man fsync aufruft, und das failed, und dann ruft man es später nochmal auf, dann erwartet der Kernel anscheinend von einem, dass man die writes dazwischen auch nochmal gemacht hat. Das ist völlig unerwartet und Postgres tut es nicht.
A remote code execution vulnerability exists within multiple subsystems of Drupal 7.x and 8.x. This potentially allows attackers to exploit multiple attack vectors on a Drupal site, which could result in the site being completely compromised.
Under the new rules, Slack customers who pay for certain premium services will be able to download all the data from their workspace–both public and private–apparently without informing members of the community. Which is to say: Information from both private messages and room chats are fair game if the owner of the Slack wants it.
One engineer told The Register that when he tried to run identical simulations of an interaction between a protein and enzyme on Nvidia’s Titan V cards, the results varied. After repeated tests on four of the top-of-the-line GPUs, he found two gave numerical errors about 10 per cent of the time.Ich finde ja, die sehen das viel zu negativ. Die Karte hat auch einen Hardware-Zufallszahlengenerator!Update: Ein Einsender hat eine Alternativerklärung:
Erstmal klingt es nur nach jemanden dessen Code auf der neuesten GPU nicht mehr richtig funktioniert.
Das kann bei GPUs sehr leicht passieren, weil sie massiv parallel auf den gleichen Problemen arbeiten, das Programmiermodell sehr wenige Garantien darüber gibt, in welcher Reihenfolge der Code abgearbeitet wird und oftmals schlampig synchronisiert wird. Man findet sehr häufig Sachen im Code, die laut Programmiermodell eigentlich unsafe sind, aber auf bestehender Hardware eben funktionieren, weil dort noch zusätzliche Randbedingungen bezüglich Ausführungsreihenfolge eingehalten werden. Da wird dann gerne Code geschrieben, der etwas schneller ist, weil er sich Synchronisierungen spart. Bei der Titan V hat NVidia wohl die Verarbeitung von Sprüngen verbessert, was aber gleichzeitig dafür sorgen dürfte, das jetzt plötzlich Sachen gleichzeitig passieren können, die früher immer in definierter Reihenfolge ausgeführt wurden. Zusätzlich hat die Titan V mehr Kerne als ältere GPUs, was ebenfalls dazu führt, das mehr Sachen gleichzeitig ausgeführt werden, die es früher nie wurden. Ich sehe da eine hohe Wahrscheinlichkeit, das es sich einfach um kaputten Code handelt, dessen Bugs vorher nicht aufgefallen sind, weil die Eigenschaften der alten Hardware dazu geführt haben, das die Bugs nie getriggert wurden.
(Danke, Lothar)
Angemeldete Nutzer können die Passwörter anderer Nutzer einschließlich des Admins ändern.
libsodium nimmt man, weil das API so brutal einfach ist. Da kann man nicht viel falsch machen.
Du willst einen Buffer signieren?
crypto_sign(signed_message, &signed_message_len, MESSAGE, MESSAGE_LEN, secret_key);Der tut unter der Haube, was man erwarten würde: SHA512 über den Buffer, dann Ed25519 über den Hash. Dann gibt er einem im Zielbuffer die Signatur und dahinter die signierten Daten.
Du willst einen Buffer signieren, aber nur die Signatur haben?
crypto_sign_detached(sig, &sig_len, MESSAGE, MESSAGE_LEN, secret_key);Die Nachricht passt nicht in den Speicher, du willst die stückweise signieren? Kein Problem!
crypto_sign_init(&state);Das ideale API, um es Leuten in die Hand zu drücken, und "mach mal" zu sagen.
crypto_sign_update(&state, MESSAGE_PART1, MESSAGE_PART1_LEN);
crypto_sign_update(&state, MESSAGE_PART2, MESSAGE_PART2_LEN);
crypto_sign_final_create(&state, sig, &sig_len, secret_key);
Bis … ja bis die Leute dann eine Signatur mit crypto_sign_detached erzeugen und dann auf der Gegenseite mit der Multi-Chunk-Validierungsfunktion prüfen wollen. Denn dann failed die Validierung.
Ich hab also mal ein bisschen in den Quelle von libsodium herumgepopelt. Alle drei Funktionen machen SHA512 über den Buffer und dann Ed25519 über das Ergebnis davon. Aber das Multi-Chunk-API hasht vor dem Buffer noch einen konstanten String:
static const unsigned char DOM2PREFIX[32 + 2] = {
'S', 'i', 'g', 'E', 'd', '2', '5', '5', '1', '9', ' ',
'n', 'o', ' ',
'E', 'd', '2', '5', '5', '1', '9', ' ',
'c', 'o', 'l', 'l', 'i', 's', 'i', 'o', 'n', 's', 1, 0
};Nun bin ich kein Kryptologe, aber aus meiner Sicht ergibt das überhaupt gar keinen Sinn. Hash-APIs gibt es seit vielen Jahren, und da hat es noch nie eine Rolle gespielt, ob man die Daten in einer oder in 15 Raten einzahlt.Tja, libsodium. Damit habt ihr den Hauptgrund weggeschossen, wieso ich euch immer empfohlen habe. Weil eure APIs einfach und unüberraschend aussahen. Das ist übrigens absichtlich so. Die libsodium-Doku sagt dazu:
Note: Ed25519ph(m) is intentionally not equivalent to Ed25519(SHA512(m)).Oh ach so. Na DANN ist ja alles gut.m(
Update: Der Autor von libsodium erklärt:
The prefix is mandated by the specification: https://tools.ietf.org/html/rfc8032#section-5.1.
Ja, schon, aber dann nenne das API halt anders, wenn das eine andere Sache tut als was der Name impliziert.
Update: Ich habe den DOM2PREFIX da explizit gepasted, weil man das viel besser machen kann. Ein Leser weist mich jetzt darauf hin, dass das vielleicht nicht alle wissen. Hier:
static const unsigned char DOM2PREFIX[] = {
"SigEd25519 "
"no "
"Ed25519 "
"collisions\x01"
};Oder halt in einer Zeile.
Update: Der technische Hintergrund ist übrigens, dass crypto_sign_detached die Nachricht zweimal hashen will. Beim ersten Mal fällt eine Nonce raus, mit der macht man eine Berechnung und die hasht man dann und dahinter nochmal die Nachricht. Da lässt sich Chunking nicht mal eben einbauen. Daher macht das Chunking-API was anderes: Einmal die Nachricht hashen und dann crypto_sign_detached auf den Hash der Nachricht. Und so haben wir eine Situation, in der eine syntaktische Änderung (ich möchte das mal mit "Leerzeile in Code einfügen" oder "Kommentar editieren") überraschend die Semantik ändert. Und das kann man nur fixen, indem man die Semantik von crypto_hash ändert, dass es auch diese Indirektion macht. Der Autor von libsodium schrieb mir, dass er das in seiner anderen Crypto-Lib, libhydrogen, auch so macht. Schön, aber zu spät für libsodium.
Deren CSV-Kontoauszug stimmt anscheinend nicht mit deren PDF-Kontoauszug überein.
Liebe Kontoauszugsabteilung bei N26? You had ONE Job!
Leute, die HTML-basierte Editoren verwenden, können sich ruhig mit angesprochen fühlen. Atom? Visual Studio Code, srsly?!
Warum eigentlich? Was müssen die NOCH verkacken, damit die Leute aufhören, bei denen zu kaufen? Aktuell geht es um hard-coded passwords.
The reasons are that an attacker can infect another device on the same network and use it as a proxy for his SSH connection to the vulnerable Cisco PCP instance, allowing for remote, over-the-Internet exploitation.Wurmbar!
Wenn ihr Linux benutzt, dann ist die Antwort wahrscheinlich: Ja. Firefox und Chrome basieren darauf.
Cairo ist anscheinend in keinem guten Zustand. Money Quote:
My immediate problem with Cairo is that it explodes when called with floating-point coordinates that fall outside the range that its internal fixed-point numbers can represent. There is no validation of incoming data, so the polygon intersector ends up with data that makes no sense, and it crashes.Das ist immer voll super, wenn man mit ungültigen Eingaben crasht. Das ist gute Alzheimer-Vorbeugung. Man muss die Leute in Bewegung halten.Money Quote 2:
Cairo has a very thorough test suite… that doesn't pass.Ja prima!
To estimate the severity of this bug, we developed an exploit targeting SMTP daemon of exim. The exploitation mechanism used to achieve pre-auth remote code execution is described in the following paragraphs.Exim hat anscheinend von Anfang an einen off-by-one in ihrem Base64-Dekoder.
Das ist ein wunderschönes Social Engineering-Szenario, in dem man ein Unicode-Sonderzeichen im Dateinamen von einem Attachment schickt. Danach schickt man "gnp.js". Das Unicode-Sonderzeichen schaltet um von links-nach-rechts auf rechts-nach-links Rendering von Zeichen (ist gedacht für Hebräisch oder so). Der angezeigte Dateiname sieht dann aus, als ende er auf .png, wenn er tatsächlich auf .js endet.
Und DAS ist mal ECHT ein peinlicher Bug. Das ist so der Anfänger-Fehler unter Windows. Microsoft selbst hat Tutorials online, wie man das besser macht. Aber sie selbst kriegen es nicht hin. Weia.
arbitrary code execution during “go get”
Wenn ja, dann: Respekt! :-)
Money Quote:
Sensitive data stored by Lenovo Fingerprint Manager Pro, including users’ Windows logon credentials and fingerprint data, is encrypted using a weak algorithm, contains a hard-coded password, and is accessible to all users with local non-administrative access to the system it is installed in.Hattrick! Mu-mu-mu-mu-multikill! Bingo! (Danke, Matthias)
Aber nicht doch, Fefe! Antiviren erhöhen nicht die Angriffsoberfläche!1!!
This bug has existed since before curl 6.0. It existed in the first commit we have recorded in the project. (Danke, Rene)
Can (a ==1 && a== 2 && a==3) ever evaluate to true? (Danke, Andreas)
An older version of PHP in the vulnerable varieties had a use-after-free bug that opens a remote code execution vector. (Danke, Richard)
Update: Der Artikel ist von letztem Jahr. Und der wichtige Teil war der hier:
Betroffen von der BKA-Maßnahme sind allerdings nur unverschlüsselte Chats – gegen die Ende-zu-Ende-Verschlüsselung haben die Beamten um Michael K. keine Chance, wie sie selbst in einem Schreiben eingestehen.
Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten.Aber nein, Fefe, das kann man so nicht sagen, dass Schlangenöl eine Angriffsoberfläche darstellt!1!! Ist alles voll harmlos! Das sind Profis, die wissen, was sie tun!
Und das krasse ist ja: Das sind echt die Profis bei Microsoft. Von den Schlangenölherstellern da draußen sind das die mit Abstand am wenigsten schlimmen.
Ein Angreifer könnte in Verbindungen eingreifen und Sessions übernehmen. Davor warnt ein Sicherheitsforscher, der bereits Proof-of-Concept-Code auf Github veröffentlicht hat.Yo dawg! We put a Fernwartung in your Fernwartung so you can be fernwarted while you fernwart!
Money Quote:
Bug in early-loaded module, so ME "disabling" by HAP is not a cureDie NSA ist auch betroffen! MWAHAHAHAHA (Danke, Mathias)
Nein, wirklich! SCHON WIEDER ein Fall von einer Tastatur-Software für Touchscreens, die die Daten in die Cloud hochlädt. Und natürlich gibt es dann einen Datenreichtum. Völlig überraschend. Ich weiß, ich weiß.
Der Dirty-Cow-Patch hat einen Nachfolger-Bug ausgeliefert.
On November 23, Imgur was notified of a potential security breach that occurred in 2014 that affected the email addresses and passwords of 1.7 million user accounts.
With a little bit of work, I was able to chain multiple vulnerabilities in Atom into an actual Remote Code Execution.Dank Electron haben wir jetzt endlich auch Cross Site Scripting in Desktop-Anwendungen!Den Fortschritt in seinem Lauf hält halt weder Ochs noch Esel auf. (Danke, Maik)
Ich habe ja noch nie was positives von deren Produkten gehört. Ist mir ein Rätsel, wieso Leute sowas kaufen. Man googelt doch vorher ein bisschen, bevor man soviel Geld in die Hand nimmt?
Oder vielleicht liegt das ja auch an mir und F5 ist total super. Außer dass man gerade ihren SSL-Traffic entschlüsseln kann. Aber sonst voll super!
This includes scenarios where a successful attacker could:Impersonate the ME/SPS/TXE, thereby impacting local security feature attestation validity.
Load and execute arbitrary code outside the visibility of the user and operating system.
TXE ist die Trusted Execution Engine. Intel hatte einen Job. Einen. Und den haben sie so massiv verkackt, dass ich insgeheim ein bisschen hoffe, dass dieser ganze unvertrauenswürdige Rotz in Zukunft optional sein wird. Ich sehe jedenfalls nicht ein, die Komponente zu bezahlen, über die mich die NSA ownt.
In short, I found out that when using autocompletion on a directory with files that have escape sequences in their name, the escape sequences would not be sanitized by the shell.Der meint nicht das Globbing oder die Übergabe auf der Kommandozeile, sondern wenn man f[Tab] drückt und eine der Dateien ANSI-Sequenzen im Dateinamen hat, und die Shell von busybox einem die Liste der matchenden Dateien ausgibt.
Ein Einsender meint, ihm habe das das Filesystem zersägt (er hatte ein Backup von direkt vor dem Kernelupdate). Also Vorsicht!
Remote Code Execution in CouchDB (and Privilege Escalation in the npm Registry)Voll überzeugend, diese Hipster-Infrastruktur immer!
Das USB-Subsystem scheint in beklagenswertem Zustand zu sein. Hier sind die Bugs, die das Tool gefunden hat. Ja, das ist ein Fuzzer. Ja, der Code ist so beschissen, dass man mit einem Fuzzer Bugs findet.
Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones
Mir ist gerade nicht klar, wieso sie einen Buffer Overflow im Protokollhandling als Important und nicht als Critical bewerten. Wenn du einen Webdienst hast, wo man eine URL angibt, und du machst dann wget darauf, dann ist das ein Critical.
Und ich dachte, ich hätte schon alles gehört über MySQL…
Der Bug ist so blöde, das kannste dir gar nicht ausdenken. Setzt euch mal stabil hin:
“The problem is, the RSA private key that belongs to the public pair that was used for the signature checking, could be found on the internet as part of an example application of a software library,” according to his research.Das ist ja NOCH geiler als seinen Private Key bei Github hochladen! Jemand anderes Private Key von Github nehmen! Hey, bei so einem Hersteller will man doch seine Infrastruktur einkaufen!1!!Übrigens, mal am Rande:
Rad said the vulnerabilities were discovered on May 10 and initial disclosure of the bugs to Lenovo was May 14. Ten days later Lenovo confirmed the vulnerabilities with coordinated public disclosure occurring on Oct. 5.Die haben ernsthaft seit Mai auf dem Problem gesessen. Wenn die Lösung war, einen neuen Key zu erzeugen und auszurollen. SEIT MAI.Oh und die Auswirkung? Remote Code Execution natürlich!
The impact of exploiting these vulnerabilities includes decryption, packet replay, TCP connection hijacking, HTTP content injection, and others. Note that as protocol-level issues, most or all correct implementations of the standard will be affected.Und die Leute wundern sich immer, wenn ich lieber ein Ethernet-Kabel anschließe.Update: Das hier scheint das Paper dazu zu sein. Money Quote:
against AES-CCMP an adversary can replay and decrypt (but not forge) packets. This makes it possible to hijack TCP streams and inject malicious data into them. Against WPA- TKIP and GCMP the impact is catastrophic: packets can be replayed, decrypted, and forged. Because GCMP uses the same authentication key in both communication directions, it is especially affected.
Finally, we confirmed our findings in practice, and found that every Wi-Fi device is vulnerable to some variant of our attacks. Notably, our attack is exceptionally devastating against Android 6.0: it forces the client into using a predictable all-zero encryption key.
Update: Ich bin ja mal sehr auf die Erklärung von Google gespannt, wieso sie ein sichereres wpa_supplicant forken und ihre Version dann 00000000 als Key vergibt, wenn der Upstream das nicht tut. Wenn Microsoft früher bei sowas erwischt worden wäre, hätten alle laut NSA-Backdoor gebrüllt. Sorry, das war Blödsinn. Der Upstream-Code hat denselben Bug.
Update: Die Webseite dazu ist online. Und ja, sie haben ein Logo!
Fehlerhafte Update-Pakete für Windows 10 und Windows Server 2016, die Microsoft am jüngsten Patchday veröffentlicht hat, legten in den vergangenen Tagen Rechner in Unternehmensnetzwerken lahm. Betroffen waren nur Umgebungen mit WSUS und SCCM.You had ONE Job!
Court documents reveal that logs, obtained by the FBI from privacy service PureVPN, helped the prosecution. Until now, PureVPN had always maintained it carried no logs - almost.Es geht hier um einen Cyber-Stalker, also niemanden, mit dem man jetzt groß Mitleid haben müsste. Aber wenn die für den Logfiles haben, dann ja vermutlich auch für alle anderen.
Das Video demonstriert Apple-Qualitätsstandards. Also ich weiß ja nicht, wie es euch geht, aber mich überzeugt das auf Anhieb!1!!
Wenn ihr jetzt "nein" antworten wolltet, dann irrt ihr wahrscheinlich. Das ist in einer Menge Plasterouter verbaut. Drei davon sind Remote Code Execution.
Update: Und in WLAN-APs, UMTS-Sticks und Android.
It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.Und sie sagen, dass auf der IME ein angepasstes MINIX läuft. Das finde ich ja nun echt ultra-gruselig. Die haben meiner Erfahrung nach Security noch nicht wirklich auf dem Radar.
Das kann wohl sein, dass der den Inhalt eures Terminals per DNS ins Internet rausgeleakt hat. (Danke, Sven)
Die Liste der Probleme ist einmal alles:
Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügendJa super! Von so einer Qualitätsfirma will man doch Qualitätsprodukte kaufen!1!!
Der BND hat ein System zur Überwachung des Tor-Netzwerks entwickelt und Bundesbehörden gewarnt, dass dessen Anonymisierung „unwirksam“ ist. Das geht aus einer Reihe geheimer Dokumente hervor, die wir veröffentlichen. Der Geheimdienst gab einen Prototyp dieser Technik an die NSA, in Erwartung einer Gegenleistung.Es sieht so aus, als sei der Ansatz eine Traffic-Korrelation. Das ist schon von Anfang an bekannt, dass man damit Tor angreifen kann, und steht auch im Tor-Design-Dokument.
Money Quote:
The attack does not require the targeted device to be paired to the attacker’s device, or even to be set on discoverable mode.Wir reden hier von Remote Code Execution.
Der Typ, der mruby anbietet, hat gerade eine Bug-Lavine von biblischen Ausmaßen abgekriegt, nachdem eine Firma eine Bug Bounty für eine auf mruby basierende Webplattform gemacht hat. Die Firma dachte sich, sie legt man $20k zurück. Am Ende waren es eher so $500k, die sie auszahlen mussten.
Und der Maintainer sagt dazu was? Na klar!
Ruby is a complicated language which makes every Ruby implementation complex and likely to contain bugs. As a matter of fact I notice at least one of the bugs which was found in mruby to be also applicable to standard C Ruby (MRI). […] C sucks as a language to write stable code in a simple manner.Ist halt schwierig! Und im Übrigen ist C Schuld! Nicht etwa ich, nein mein Herr! Ich bin hier das Opfer!1!! (Danke, Daniel)
habe vorgestern einen Kunden-Newsletter von Vodafone Kabel bekommen - "beantworten Sie eine Frage und gewinnen Sie eine Playstation 4"! Na klar. Aber das schöne daran waren die Checkboxen die man abnicken soll. Eine enthält einen wirklichen Knaller:In der Tat, das setzt Maßstäbe.Vodafone möchte *alle* Nutzungs- und Verkehrsdaten (!) des Anschlusses für 6 Monate speichern und zu Werbezwecken nutzen dürfen.
Das ist doch wirklich eine riesige Frechheit.
Update: Ein Leser hat den Link gefunden. Sie wollen "nur" alle Metadaten. Allerdings macht es das nicht viel besser.
Sonos has confirmed that existing customers will not be given an option to opt out of its new privacy policy, leaving customers with sound systems that may eventually "cease to function".Ja bei denen will man doch seine Lautsprecher kaufen!1!!
Unter bestimmten Umständen können sich Angreifer an den Servern ohne Eingabe eines Passwortes anmelden, warnen die Entwickler.o_O
YOU HAD ONE JOB!
Nehmt Virtualisierung, sagten sie! Für die Sicherheit!
Xen ist das neue Flash, wenn ihr mich fragt.
A malicious third-party can give a crafted "ssh://…" URL to an unsuspecting victim, and an attempt to visit the URL can result in any program that exists on the victim's machine being executed. Such a URL could be placed in the .gitmodules file of a malicious project, and an unsuspecting victim could be tricked into running "git clone --recurse-submodules" to trigger the vulnerability.Und ähnliche Probleme hatten dann auch Subversion und Mercurial, als sie mal dort nachguckten.Herzlichen Dank an der Stelle an die Kollegen von Recurity Labs, die das gefunden haben. Das ist mal echt ein Kahlschlag durch die Versionsverwaltungssoftwareszene.
a group of researchers from the University of Washington has shown for the first time that it’s possible to encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer.Und früher lachten wir noch, wenn Leute Computerviren und biologische Viren verwechselt haben.
On Ryzen there is some sort of interaction between code running at the top of user memory address space and interrupts that can cause FreeBSD to either hang or silently reset.Update: Und unter Linux hat Ryzen wohl unter Last zufällige Segfaults.
I stupidly fell for a phishing attack on my Google accountDie Witze über die Kompetenz von Web-Entwicklern könnt ihr euch ja selber dazudenken. (Danke, Patrick)
Die haben ernsthaft die about:addons-Seite extern gehostet, ohne den Usern das zu sagen, und dann ist da auch noch ein Google Analytics drauf. Und weil es nicht wie http: oder https: aussieht, verhindert PrivacyBadger das nicht.
Wie, sagt euch gar nichts?
Online Services Computer Interface (OSCI) ist eine Sammlung von Netzwerkprotokollen für die deutsche öffentliche Verwaltung, deren gemeinsames Merkmal die besondere Eignung für das E-Government ist:Da sieht man mal wieder, was passiert, wenn man Security dem Staat überlässt.
- OSCI-Transport für die sichere, vertrauliche und rechtsverbindliche Übertragung digitaler Daten über das Internet sowie
- eine Reihe verschiedener Protokolle (OSCI-XÖV-Standards) für den Austausch fachlicher Inhaltsdaten auf XML-Basis zwischen Kunden und Behörden bzw. Behörden untereinander.
Ich finde gerade auf die Schnelle keine Quelle für die Behauptung, Usernamen unter Unix dürften nicht mit Ziffern beginnen. Ich halte das für eine Schutzbehauptung. Möglicherweise weil die shadow-utils den Bug auch haben.
When I previously tried to
report bugs in exiv2 found via fuzzing the upstream author made it
clear to me that he has little interest in fixing those issues and
doesn't consider his software suitable to parse defect files (which
basically means it's unsuitable for untrusted input).Weil Das Bugtracking-System so schnarchlahm ist, hier ein paar Money Quotes:Returning to Hanno's request that we say that Exiv2 is "not suitable for untrusted input". I will not do that. The default (for all open source software) is that the user must determine suitability for his/her purposes. We do not claim that Exiv2 is safe for all files. I doubt if we could ever make such a claim even if we pepper our code with checks for malicious images. I don't believe in 2016 that it is possible to guarantee the safety and reliability of any software.UndI know nothing about hacking and exploiting buffer overflows. Perhaps we need more caution about them. This is a mind-boggling issue. The code to defend our image read/write code could be larger than the current library.Wie schlimm ist es? So schlimm:Are you aware of the term "fuzzing"? I believe this is the art of creating illegal files to put software under stress. I am aware that libexiv2 can be exploited in this way, however I have never had time to work on this topic.
An out-of-bounds write was discovered in systemd-resolved when handling
specially crafted DNS responses. A remote attacker could potentially
exploit this to cause a denial of service (daemon crash) or execute
arbitrary code. (CVE-2017-9445)Ach komm, was ist schon ein bisschen remote code execution unter Freunden!War systemd-resolved nicht auch das Tool, das, wenn kein DNS konfiguriert ist, einfach den öffentlichen DNS-Server von Google nimmt? Datenschutz, Schmatenschutz! Weil "der User ist doof" schonfür Windows so toll funktioniert hat!
Das Hyperthreading ist wohl subtil braun und kann zu spontanem Fehlverhalten führen.
Given the wide prevalence of the unrar source code in third-party software, quite a few
downstream parties will be affected. The source code with the fixes can be found
under http://www.rarlab.com/rar/unrarsrc-5.5.5.tar.gz - downstream parties are
encouraged to quickly update and ship fixes.Oh gut, das betrifft bestimmt so gut wie niemanden!1!! Ja gut, ausgenommen 7-zip und so, und natürlich die ganzen Antiviren. Dort war der Bug übrigens zum ersten Mal aufgefallen.It appears that the VMSF_DELTA memory corruption that was reported to Sophos AV in 2012 (and fixed there) was actually inherited from upstream unrar. For unknown reasons the information did not reach upstream rar or was otherwise lost, and the bug seems to have persisted there to this day.
Ja warum würde man auch upstream Bescheid sagen! Da hat man ja einen wettbewerblichen Nachteil von als Schlangenöl, wenn die anderen Schlangenöler informiert werden, und wenn die Software insgesamt sicherer wird!1!!
Jaja. Ich weiß. Ich auch.
Stellt sich raus: Slashes in URLs are hard. Let's go shopping!
Stellt sich raus, dass die anscheinend ihren Datenreichtum mit der Welt teilen, indem sie einen öffentlichen API-Call haben, der einem Metadaten zu einer Telefonnummer meldet, ob man mit der schon Kontakt hatte oder nicht. (Danke, Roman)
Ich persönlich rante ja seit gefühlt 10 Jahren über dbus, aber auf mich hört ja nie jemand, wenn noch Zeit ist, was nicht zu machen. Tja. Told you so.
Das ist eine lokale Privilege Escalation von root zu Kernel, d.h. in den meisten Fällen eher akademisch. Allerdings ist das möglicherweise durch Namespaces mancherorts trotzdem auch für Nicht-root zugreifbar? Bin ich mir gerade nicht sicher.
Mir ist bei dem Bug jedenfalls wichtig, dass er in vergleichsweise neuem Code ist. Häufig heißt es, der alte Code ist grausam und gruselig und höllisch, aber dem neuen Code vertrauen wird. Vertraut dem neuen Code nicht!
Gut, "neu" ist relativ. Der Bug ist ursprünglich von 2011, auch nicht sooo neu. Aber ihr wisst schon, was ich meine.
Update: Ein Einsender bestätigt, dass das per Namespaces auch für Nicht-Root zugänglich ist.
Der Einsender berichtet, ihm sei ein Fall bekannt, wo eine Firma Firmengeheimnisse über den Filesharing-Dienst von Hipchat geteilt habe.
Hätte uns doch nur jemand gewarnt, dass es ein Sicherheitsrisiko sein könnte, wenn wir unsere Geheimnisse in eine ausländische Cloud laden!1!!
Update: Die Malware wurde übrigens von keinem Schlangenöl gefunden.
Wenn Tavis Ormandy sich Freitag abend äußert, dann hat jemand in der Industrie ein schlechtes Wochenende vor sich :-)
Echt? Da gibt es doch seit Jahren schon keine Entschuldigung mehr für…!?
LibreSSL 2.5.1 to 2.5.3 lacks TLS certificate verification if
SSL_get_verify_result is relied upon for a later check of a
verification result, in a use case where a user-provided verification
callback returns 1, as demonstrated by acceptance of invalid
certificates by nginx.OMFG
There is an escalation of privilege vulnerability in Intel® Active Management Technology (AMT), Intel® Standard Manageability (ISM), and Intel® Small Business Technology versions firmware versions 6.x, 7.x, 8.x 9.x, 10.x, 11.0, 11.5, and 11.6 that can allow an unprivileged attacker to gain control of the manageability features provided by these products. This vulnerability does not exist on Intel-based consumer PCs.Oh gut, dann haben wir ja nochmal Glück gehabt. Betrifft so gut wie niemanden!1!!
Der Fix ist hier.
Und DAS erwischt mich ja jetzt schon hart, denn das ist seit 2006 bekannt. Ich hielt es damals für einen Compiler-Bug, aber es stellte sich dann als pure, bösartige Absicht heraus. gcc fand damals, dass wenn der Standard sagt, dass es bei Pointer-Arithmetik in wohlgeformtem Code keinen Überlauf geben darf, dass man dann auch Code, der gucken will, ob ein Überlauf stattgefunden hat — um das Programm wohlgeformt zu halten! —, wegoptimiert werden kann. Weil nicht sein kann, was nicht sein darf. Wissenschon.
Das hat ihnen damals eine Tonne Probleme beschafft und inzwischen hat gcc diese Optimierung zumindest für Zeiger zurückgenommen. Unter anderem hatten sich auch Teile von gcc selbst darauf verlassen, dass das nicht wegoptimiert wird. Das war echt ein Brüller.
Aber leider ist es formaljuristisch korrekt, was gcc macht, daher darf man diese Art von Check nicht mehr machen, sondern muss die Pointer vorher zu uintptr_t casten. Vorsicht: nicht intptr_t! Integer mit Vorzeichen haben das selbe Problem.
Was mich jetzt irritiert, ist dass diese Art von Fehler in einer Library wie Cap'n Proto passieren kann. Das ist immerhin das Nachfolgeprojekt (von dem selben Typen) von Protocol Buffers, das Google und die halbe Welt benutzt. Der Typ macht das seit vielen Jahren. Ich hätte getippt, dass der das weiß.
Aber da seht ihr mal: Der Teufel liegt im Detail. Nicht auf Libraries von irgendwelchen Quellen vertrauen, alles nochmal selber auditieren.
Oh und: Mir fiel dieser Fehler damals auf, weil ich eine Testsuite hatte, die auch Fehlerfälle geprüft hat, ob die korrekt abgefangen wurden. Wer das für Code mit Sicherheits-Implikationen (wie Parser, Bounds-Checking-Code) nicht tut, handelt fahrlässig.
udp.c in the Linux kernel before 4.5 allows remote attackers to execute arbitrary code via UDP traffic that triggers an unsafe second checksum calculation during execution of a recv system call with the MSG_PEEK flag.Das klingt jetzt schlimmer als es ist, denn MSG_PEEK wird selten benutzt, UDP wird selten benutzt, und MSG_PEEK bei UDP wird noch seltener benutzt. Mir ist persönlich kein Fall bekannt.Ich habe dieses Flag in meiner Laufbahn 1-2 Mal benutzt. Man nimmt es, wenn man von einem Socket ein paar Bytes lesen will, ohne die zu lesen (d.h. wenn man danach nochmal read aufruft, kriegt man die Bytes wieder). Ich benutze das in gatling, um zu sehen, ob Daten auf einer SSL-Verbindung wirklich wie ein SSL-Handshake aussehen — allerdings auf einem TCP-Socket.
Kurz gesagt: Ich mache mir da jetzt keine großen Sorgen. Die DNS-Implementationen von glibc, dietlibc und djb benutzen jedenfalls nicht MSG_PEEK, und wenn es um UDP geht, ist DNS der übliche Verdächtige.
Ich will das nicht kleinreden, das ist ein ganz übler Bug und die sollten sich was schämen. Aber es ist kein "OMG die NSA hat mich gehackt, ich reinstalliere und mache alle Keys neu"-Bug. Außer ihr fahrt auf eurem Server irgendwelche UDP-basierten Protokolle.
Update: Im OpenVPN-Code findet grep auch kein MSG_PEEK. VPN und VoIP wären die anderen in Frage kommenden Codebasen.
Update: Ein paar Leser haben bei Debian und Gentoo mal ein bisschen rumgesucht und fanden als potentiell verwundbare Pakete dnsmasq und VNC-Implementationen. dnsmasq läuft praktische allen Plasteroutern. Das wäre in der Tat potentiell katastrophal.
Update: Einsender weisen darauf hin, dass systemd angeblich MSG_PEEK benutzt, und dass möglicherweise noch Chrome in Frage kommt als Angriffspunkt, wegen QUIC.
If you are using go-jose, node-jose, jose2go, Nimbus JOSE+JWT or jose4 with ECDH-ES please update to the latest version. RFC 7516 aka JSON Web Encryption (JWE) Invalid Curve Attack. This can allow an attacker to recover the secret key of a party using JWE with Key Agreement with Elliptic Curve Diffie-Hellman Ephemeral Static (ECDH-ES), where the sender could extract receiver’s private key.Bonus: Der Angriff wurde auf dem 31c3 im Vortrag von Dan Bernstein und Tanja Lange erklärt :-) (Danke, Gregor)
Tolle Zeiten, in denen wir leben, wo es einen Directory Traversal Bug im Geschirrspüler gibt.
Hier sind die Details. "Cloudbleed" :-)
Update: Das Security-Blog von Google dazu. Und hier ist ihre Demo-Seite.
Update: Die bekanntesten Benutzer von SHA1 (neben Gammel-X.509-CAs) sind Bitcoin und git, und Bitcoin ist schon vor Jahren wegmigriert. Das wird sicher kompatibilitätstechnisch sehr schmerzhaft, aus git SHA1 rauszuoperieren.
Update: Bittorrent basiert auch auf SHA1. Und die Abmahnungen der Abmahnindustrie basieren auch auf SHA1. Das könnte jetzt also vor Gericht spannend werden.
Gut gemacht! Schön weiter nach vorne beugen, Apple ist noch nicht fertig.
Google hat eine Windows-Lücke offengelegt, für die Microsoft keinen Patch hat.Laut Google-Police hatte Microsoft 90 Tage Zeit. Drei Monate. DREI MONATE!
Betrifft nur OpenSSL 1.1, d.h. wurde nach Verkünden des neuen Security-Fokus von OpenSSL eingebaut.
Einmal mit Profis arbeiten!1!!
Ich habe das in den letzten Jahren nicht mehr verfolgt, aber früher konnte man das zum Beispiel von einer Webseite aus auslösen. Ich vermute fast, dass das immer noch so ist.
Das ist ein echt peinlicher Bug. Ich vermute mal, dass da Köpfe für rollen werden. Vor allem ist das an einer Stelle, an der Microsoft enorm Ressourcen draufgekippt hat, inklusive externer Consultants (ich habe zwar bei Microsoft Code auditiert, aber glücklicherweise nicht SMB2 — das wäre jetzt echt peinlich). Das wird sicher ein spannendes Post-Mortem.
Gut, dass man bei Cisco immer den Wartungsvertrag mitkauft, gell? *nudge* *nudge*
Lasst euch das eine Lehre sein und testet bei allen Backups immer, ob sie auch wieder einspielbar sind.
Es klaffen mehrere Schwachstellen in unterschiedlichen Parsern – insgesamt sind den Lücken 42 CVE-Nummern zugeteilt.
Update: Das Git-Repository von tcpdump hat noch keine Fixes. m(
Update: Das ist ein encfs-Wrapper, nicht Full Disk Crypto. Und wer encfs ohne dieses Cryptokeeper benutzt, ist nicht betroffen.
*fluch* *schimpf* *mecker*
Gute Nachrichten: Ihr braucht keine Fernwartungssoftware mehr!
Das Problem in Mediaserver, das sie da herausheben, der Einzeiler-Patch (das ist übrigens nicht ungewöhnlich) ist im libopus-Repository seit einem halben Jahr gefixt. Wieso hat Google so lange gebraucht?
Der Einsender meint, er habe mal bei Firefox geguckt, und da ist das auch noch ungefixt im aktuellen 51er-Prerelease. Wieso braucht Firefox eigentlich so lange?
Wieso liefern diese ganzen Idioten eigentlich überhaupt eigene Kopien von Upstream-Repositories aus?! Das ist ein völlig sinnloser Angriffsvektor.
Zu ihrer Verteidigung muss man allerdings auch vorbringen, dass Opus das nicht als Security-Fix gekennzeichnet hatte, und mit dem nächsten Release bis vor ein paar Tagen gewartet haben.
And this is why we cannot have nice things.
Update: Man muss auch dazusagen, dass dieser Patch jetzt nicht so dramatisch aussieht. Das eigentliche Problem ist also vermutlich ein Folgefehler von dieser Zeile. (Danke, Michael)
Ich wollte das ja erst nicht glauben, aber scheint zu stimmen.
In Soviet Russia, Ansible automates YOU! :-)
Ja? Echt? Warum denn bitte!? Wie krass müssen die denn noch verkacken? Hat das OpenSSL-Desaster nicht gereicht? Oder das xscreensaver-Debakel? Der letzte APT-Totalschaden?
Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".
A HPE storage network that crashed on Monday caused the loss of 1 petabyte of data and the downing of the Australian Tax Office’s online services.Immer schön Backups machen!
Money Quote:
The default in Guile has been to expose a port over localhost to which code may be passed. The assumption for this is that only a local user may write to localhost, so it should be safe.Ja was kann DA schon groß passieren!1!!
Update: Chrome hat ähnliche Probleme (24GB/Tag).
Der Krieg der Tech-Giganten wird echt mit harten Bandagen geführt.
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Update: Im Pastebin-Original steht sogar noch das hier:
Q: Why not do coordinated disclosure?
A: The Teamspeak developers censor their forums and sweep vulnerabilities
under the rug as "crashes". I am not comfortable with that. Furthermore I
fear legal action from them.
Das ist wohl keine gute Idee. Lieber auf Blockdevice-Ebene RAID machen und dann normal btrfs drüber. Oder lieber gar kein btrfs und lieber ext4; da weiß man wenigstens, dass das gut abgehangen ist :-)
ISSUE DESCRIPTIONAber macht euch keine Sorgen, denn das betrifft bloß Paravirtualisierung auf x86!1!!
=================The PV pagetable code has fast-paths for making updates to pre-existing pagetable entries, to skip expensive re-validation in safe cases (e.g. clearing only Access/Dirty bits). The bits considered safe were too broad, and not actually safe. IMPACT ====== A malicous PV guest administrator can escalate their privilege to that of the host.
Benutzt Passwort-Manager, sagten sie! Dann ist das sicher, sagten sie! :-)
Hier ist, was der CEO neulich sagte:
BLACKBERRY CEO John Chen has said he is "disturbed" by Apple's tough approach to encryption and user privacy, warning that the firm's attitude is harmful to society.[…]
Chen remarked: "We are indeed in a dark place when companies put their reputations above the greater good."
Heilige Angriffsoberfläche, Batman! Fehlt ja nur noch eingebettetes Flash!
There is yet another hack for users of popular social media sites to worry about. Hackers may have used malware to collect more than 32 million Twitter login credentials that are now being sold on the dark web. Twitter says that its systems have not been breached.
Die ziehen BIOS- und andere Updates unsigniert per unverschlüsseltem HTTP.
Warum?
Macht Cloud Computing, haben sie gesagt! Ist voll sicher, haben sie gesagt! :-)
Schnell updaten!
Die Original-Meldung sieht allerdings deutlich weniger schlimm aus, sie betrifft exotische Imageformate wie UDF und HFS+ mit zlib-komprimierten Dateien drin. Reguläre .7z-Dateien scheinen nicht betroffen zu sein. Trotzdem natürlich sofort updaten.
echo "rootmydevice" > /proc/sunxi_debug/sunxi_debugDer github-Link zeigt allerdings inzwischen ins Leere.
Das war schon immer eine schlechte Idee, das ist einfach viel zu viel Code aus viel zu vielen Quellen. Diesen ganzen gammeligen Codecs zu trauen ist schon schwierig genug, aber typische ImageMagick-Installationen haben Dutzende von Codecs drinnen. Nur weil die Datei .jpg heißt und libjpeg aktuell OK aussieht, heißt das nochnicht, dass ImageMagick nicht beim Öffnen feststellt, dass das ein anderes Format ist und freundlicherweise den anderen Codec verwendet.
Leute, die in ihrem Web-Setup irgendwo ImageMagick (oder einen anderen Koloss vergleichbaren Umfangs) im Backend verwenden, sollten das unabhängig von diesem akuten Problem mal kritisch überdenken.
Bisschen Kontext. Money Quote:
Special thanks to Mr. D. J. Bernstein for refinements to the algorithm that allowed us to reduce the required workload considerablyDas sind übrigens die selben Leute, die auch hinter der Meldung hier standen. Damals war die Aufklärung, dass das Bitflipper waren, die dann auch keine gültige Signatur hatten, die man also auch gar nicht versehentlich verwenden könnte.
Die gute Nachricht ist, dass euch euer schlechtes Internet in der Praxis schützen wird:
In order to successfully trigger the vulnerability, an attacker must be able to send a data message of more than 5.5 gigabytes to a victimUpdate: Die Entdecker von dem Problem weisen auf folgendes Detail hin:
nur kurz: Da OTR netterweise fragmentierte Pakete unterstützt, und libotr diese Fragmente niemals wegwirft (solange der Prozess läuft zumindest), kann man jemandem theoretisch über ein paar Tage lang langsamer ein paar Pakete schicken. Erst wenn das letzte kommt, werden die assembled und die Schwachstelle getriggert. In der GUI siehst Du beim Pidgin nix.
Wie überaus zuvorkommend!
Update: Dieser Kommentar kam dazu per E-Mail rein:
Ganz oben wird da im verlinkten Artikel von Kryo geredet. Wenn man will, deserialisiert Kryo nur registrierte Typen, ganz anders als der böse Standard-Java-ObjectInputStream.
Ich bin mir ziemlich sicher, dass der Artikelschreiber das auch weiß und nur einen auf großen Zampano machen will:
Er erklärt wie toll man generische Container-Klassen dazu benutzen kann unerwartete Objekte in den Deserialisierungsvorgang reinzuschmuggeln.
Dafür schreibt er einen Unittest, der das mit basalen Datentypen macht, die bei Kryo per Default registriert werden. So zeigt der Test zwar, dass man generische Container-Objekte kompromittieren kann, aber eben nur mit registrierten Datentypen, was natürlich verschwiegen wird.
In folgenden Tests registriert er dann bei Kryo problematische Klassen zum Serialisieren/Deserialisieren und stellt es dann als überraschend hin, was man damit alles böses anstellen kann. Dass man diese Klassen gar nicht Deserialisieren kann (sofern sie nicht registriert sind), auch nicht mir generischen Container-Klassen, wird geflissentlich verschwiegen und auch nicht in den Tests abgeprüft.
Der Autor scheint mir daher ein ziemlicher Schaumschläger zu sein! Ich würde die Artikel dieses Blogs mit äußerster Skepsis betrachten.
We've encountered an issue on the Mac where Adobe Creative Cloud appears to be removing the contents of the first hidden folder at the root of the drive, in alphabetic order.Wait, what?! (Danke, Frank)
Die alte Privacy Policy, die neue Privacy Policy. In der alten steht "Your Private Information Is Never for Sale". In der neuen nicht. Dafür steht da was von Werbenetzwerken.
Die Dienste benutzen euer Iphone jetzt auch.
Sony hat wohl bei etlichen Modellreihen bei der Umsetzung von Spezifikationen gepennt. Jedenfalls hat diese Woche Kabel Deutschland etwas an seiner Frequenz- und Senderbelegung rumgespielt und seitdem können viele Leute (kabel Deutschland Kunden) ihren Sony-Fernseher nicht mehr benutzen (die Geräte frieren praktisch auf einem digitalen Sender ein). Insgesamt sind immerhin 180 (!) Sony Modelle betroffenhttp://www.sony.de/support/de/content/cnt-hn/prd-tvhc/Kabeldeutschland-DVB-C-Tuning
Das von Sony beschriebene Zurücksetzen auf die Werkseinstellungen ist übrigens auch reine Augenwischerei (beschäftigt aber den Kunden zumindest eine zeitlang) - beim dann fälligen nächsten Sendersuchlauf frieren dann nämlich, wie in diversen Foren nachzulesen ist, alle Geräte bei 8% bzw. 44 gefundenen Sendern ein.
Update:
Ich arbeite in einem Elektro-Fachhandel und wir haben seit einigen Tagen mit jeder Menge Sony-Fernsehern zu tun. Das mit dem Sendersuchlauf funktioniert in der Tat nur, wenn man die Netzwerk-ID von Automatisch auf 00000 stellt. Dann friert der Fernseher nicht ein, und es werden alle Sender gefunden.
QEMU heap overflow flaw while processing certain ATAPI commands.
Und und übrigens Hat der Shodan-Typ mal nach MongoDB gescannt und ein paar Terabyte Daten gefunden.
The vast majority of public MongoDB instances are operating in a cloud: Digital Ocean, Amazon, Linode and OVH round out the most popular destinations for hosting MongoDB without authorization enabled.Ist ja auch irgendwie klar. Der perfekte Sturm an inkompetentem Hipster-Computing. NoSQL in der Cloud.There's a total of 595.2 TB of data exposed on the Internet via publicly accessible MongoDB instances that don't have any form of authentication.Herzlichen Glückwunsch, liebe "Apple-Programmierer". (Danke, Andreas)
Das ist dann wohl eine Copyright-Verletzung.
Nein, wirklich! Die Linux Distros könnten da rumzicken. Hat wohl bisher noch keine gemacht, aber nunja. Wer dachte, hey, freie Software ist freie Software, und gerade die GPL sollte doch dafür sorgen, dass von der Front kein Stress kommt, … Die Free Software Foundation hat da zwei Jahre rumverhandelt. Unglaublich.
Update:
Hi Felix,
ich habe hier Feedback zu deinem MS Office-Link auf FD.
Das wird in der Tat bereits aktiv ausgenutzt um Malware zu versenden.Eines unsrer beiden Gatways hat just während ich das Posting las mehrere *.rtf mit eingebundener Malware gefunden:
- The SFX Header* 0.2.1.0* extracted from the attachment *Rechnung.rtf*
- The item *UnRAR.exe* extracted from the attachment *Rechnung.rtf*
Klingt ja auch wie eine gute Idee, bis man sich mal die juristischen Implikationen in einem vom Landgericht Hamburg ins Störerhaftungs-Pleistozän zurückgebombte Deutschland überlegt.
Microsoft enables Windows 10's Wi-Fi Sense by default, and access to password-protected networks are shared with contacts unless the user remembers to uncheck a box when they first connect.
Aber hey, ich bin mir sicher, die Fachpresse macht bald wieder einen Schlangenöl-Vergleichstest. Damit ihr nur das kauft, das am schönsten schlängelt!
Ich benutze ja für PDF dieser Tage hauptsächlich mupdf (unter Windows in Form von SumatraPDF). Habe ich nicht auditiert, insofern kann das auch ganz übel sein. Aber die Engine ist klein und schnell rendert ordentlich und ist GPL. Und nicht von Adobe. Gibt es auch für Android. Oh ich sehe gerade, dass die auch einen nativen Windows-Viewer haben inzwischen, muss man nicht mehr SumatraPDF nehmen.
Das scheint ein Tool zu sein, das genau das tut, was der Name andeutet, und mit "SW Update" von Samsung kommt.
SW Update is your typical OEM updating software that will update your Samsung drivers, the bloatware that came on your Samsung machine, etc. The only difference between other OEM updating software is, Samsung's disables WU.Ja super! Windows-Updates zeitnah einspielen ist eh total überbewertet!1!! Wir haben hier Schlangenöl ausgerollt, wir brauchen keine Updates. (Danke, Torsten)
Ich fand das ja schon die ganze Zeit auffallend, dass der Snowden per Cloud-Dienst mit der Welt sprach. Nicht dass Skype besser wäre, aber Cloud ist Cloud. Man kann genau niemandem vertrauen von diesen Cloud-Fuzzies. Jeder Anbieter unterliegt irgendwo irgendeiner Fascho-Regierung mit Orwellschen WIR MÜSSEN ALLES ENTSCHLÜSSELN KÖNNEN!!1! Ideen.
Der einzige Weg, wie man ordentliche Krypto hinkriegt, ist wenn man die Infrastruktur selber betreibt.
Ist die Krypto in WebRTC eigentlich Ende-zu-Ende? Ich glaube ja.
Warum sollte das bei Video auch anders sein als bei Email und Instant Messaging. Wenn man da irgendein Walled-Garden-System und intransparente kommerzielle Client-Software hat, dann hängt man von dem ab, was die einem vorsetzen. Vertrauenswürdigkeit ist was anderes.
Update: Hups, Link vergessen.
Update: WebRTC ist zwar Ende-zu-Ende-verschlüsselt, aber mit einem self signed Cert, d.h. hilft nur gegen Angreifer, die den Inhalt des Überseekabels komplett abgreifen, nicht gegen aktive Angreifer, die sich in die Mitte setzen und beiden Seiten gegenüber so tun, als seien sie die Gegenseite.
any user who is part of the docker group should also be considered rootBonus: Das Docker-Team antwortet:This is by designJa spitze! (Danke, Fabian)
Das Problem bei Windows war, dass man da einen AcceptEx-Call mit overlapped I/O losgetreten hat, und der eine Call nahm dann halt eine Verbindung an, und signalisierte erst, wenn der was schickte. Wenn jetzt aber jemand eine Verbindung aufbaute und nichts schickte, dann nahm der Server gar keine Sockets mehr an. Kurz gesagt: ein dummes Denial of Service.
Nun, Linux hat auch sowas:
int one=1;Das habe ich irgendwann gesehen, in libowfat abstrahiert, und dann in gatling eingebaut. Und jetzt stelle ich gerade fest, dass die Linux-Implementation ein sehr ähnliches Problem hat. Nur halt dass nicht ein Socket für das DoS ausreicht.
setsockopt(sockfd,IPPROTO_TCP,TCP_DEFER_ACCEPT,&one,sizeof(one));
Ich habe da gerade eine Stunde rum debuggt (weil ich auch in meinem libowfat-Code gerade herum experimentiere und erst dachte, ich hab dabei was kaputt gemacht), bis ich beim Blick auf netstat gesehen habe, dass da 16 Verbindungen im SYN_SENT bzw SYN_RECV Stadium waren (SYN_SENT beim Client und SYN_RECV beim Server, liefen auf der selben Kiste hier), und ein Socket im SYN_SENT ohne dazu gehöriges SYN_RECV. 16 ist genau das Limit, das ich bei listen() als Backlog übergeben hatte. Die Verbindungen zählen also als "halbe Verbindungen", die man aber nicht annehmen kann; vom Problem her mit einer Syn Flood verwandt.
Und da fiel es mir wie Schuppen von den Augen. Das Linux-API ist gut gemeint aber ist in Wirklichkeit ein DoS gegen sich selbst, zumindest in der aktuellen Implementation in 2.6.27. Zu allem Überfluss wird das DoS auch noch von meinem eigenen bei gatling beiliegenden Benchmark-Tool getriggert. Ich hatte gedacht, dass mal bei früheren Versionen getestet zu haben, aber habe keine Aufzeichnungen und bin mir auch gerade nicht mehr sicher. Im Moment ist jedenfalls klar: vor dieser Funktionalität kann ich nur warnen. Benutzt das nicht in eurer Software!
Danke an Johannes, der mich überhaupt erst auf das Problem hingewiesen hat.