Fefes Blog

Fragen? Antworten! Siehe auch: Alternativlos

Sun Feb 3 2019

• [l] Benutzt hier jemand Go? Also die Programmiersprache jetzt?

  Nehmt Go, sagten sie. Ist dann sicher, sagten sie.

Tue Apr 3 2018

• [l] Bug des Tages: beep(1) erlaubt die Systemübernahme auf Debian. (Danke, Miro)

Sat Mar 31 2018

• [l] Bug des Tages: pam-auth-update may create empty configuration file, disabling all authentication

  Brought to you by Debian! Money Quote:

  I performed a full-upgrade on a system with little space on the root filesystem. This failed part way through due to running out of space. A while after resolving this and completing the upgrade, I found that:

  1. The GNOME screensaver was no longer password locked
  2. sudo and su failed
  3. I could log in on a VT as any user without a password

  Ach komm, Platte voll kommt sooo selten vor, das müssen wir doch nicht prüfen! Damit konnte niemand rechnen!

  Beachtet auch den zeitlichen Unterschied zwischen der Meldung des Bugs und dem "Me Too"-Posting unten. Hey, wieso würde Debian so einen Bug fixen? Betrifft doch nur Leute, deren Platte voll ist!

Mon Nov 20 2017

• [l] Debian hat einen handfesten Zoophilie-Skandal am Bein! (Danke, Peter)

Sun Jun 25 2017

• [l] Benutzt hier jemand Intel Skylake oder Kaby Lake CPUs?

  Das Hyperthreading ist wohl subtil braun und kann zu spontanem Fehlverhalten führen.

Mon Apr 10 2017

• [l] Mal noch ne kleine Frage am Rande an die Maker-Community, oder wer auch immer das beantworten kann. Ich hatte mir mal zum Basteln einen Mini-ARM geholt, ähnlich dem Raspberry Pi, aber ein Konkurrenzprodukt. Ich habe mich dann ein bisschen heruminformiert, und mein Eindruck im Moment ist, dass man da, selbst wenn man wollte, gar keinen Standardkernel installieren kann. Das Userland ist üblicherweise ein Debian oder ein Derivat, aber der Kernel ist nicht von Debian sondern vom Hersteller, und häufig ein uraltes Gammelmodell mit bekannten Sicherheits- und Funktionalitätslöchern.

  Welche ARM- (oder von mir aus auch MIPS oder PowerPC) Kleingeräte gibt es für wenig Geld zu kaufen, bei denen man dann einen Standard-Kernel selber bauen kann, und der funktioniert auch?

  Das andere Gerät, bei dem ich in dieses Problem lief, ist ein Plasterouter, auf dem ich mal ein DD-WRT installieren wollte zum Testen, und da gab es nur eine Version von 2008 oder so, und neuere Kernel gehen nicht. Ja, äh, dann kann ich auch gleich Windows nehmen, wenn ich da keinen eigenen Kernel drauftun kann!

  Ich empfinde es als zutiefst unseriös, ein Gerät als "da läuft Linux drauf" zu bewerben, auf dem dann nur ein spezifischer Gammelkernel läuft.

  Auch auf Android-Smartphones scheint das ein massives Problem zu sein, wie ich aus zweiter Hand hörte. Sobald da mal was anbootet, ist das halt der Kernel für das Gerät und es wird nur noch das Userland außenrum geupdated, und vielleicht im krassen Notfall mal ein Security-Patch für den Kernel rückportiert.

  Das kann doch nicht wahr sein? Ist das wirklich so?!

  Update: Einsender empfehlen:

  1. Allwinner
  2. Armbian; "Entweder steht da nur ein Legacy-Kernel (nicht gut) oder auch ein Mainline-Kernel (gut)."
  3. archlinuxarm.org
  4. Beaglebone black
  5. Bei der Tabelle zweimal auf Linux klicken, dann hat man die guten zu oberst.
  6. Fedora hat auch offiziellen ARM-Supportvoidlinux und alpine können auch ARM (und laufen ohne systemd)

  Ein anderer Einsender meint zu Allwinner noch:

  ist dein RPI-Clone zufälligerweise ein Allwinner-Gerät? Das sind die beliebtesten China-SoCs. Sie sind ein wunderbares Beispiel für das Problem des "Code Vomittings". Die GPL zwingt Hersteller dazu, Code zu veröffentlichen? Wunderbar, erzeugen wir halt einen Code-Drop auf Github. Es gibt mit linux-sunxi.org eine Seite, auf der der Status für den Support im Upstream-Kernel sowie im eigenen "Fork" dokumentiert sein sollte. Die Situation ist nicht die beste, könnte aber schlimmer sein...

  Update: Ein anderer Einsender meint:

  the Allwinner ARM Chips do not belong on pole position. Too many critical missing features. A lot has changed in Kernel 4.11 but far from complete especially for the recent Allwinner ARM chips. too much red and WIP...

  RaspberryPi is better supported and now also with mainline 64bit Kernel on RPi3.
  https://michaelfranzl.com/2016/10/31/raspberry-pi-debian-stretch/
  https://github.com/michaelfranzl/rpi23-gen-image
  https://michaelfranzl.com/2017/03/21/zero-client-boot-kernel-root-filesystem-network-raspberry-pi2-pi3/

Tue Jan 31 2017

• [l] Benutzt hier jemand Debian Full Disk Crypto? Der setzt anscheinend immer das Passwort auf "p", egal was man eingegeben hat.

  Update: Das ist ein encfs-Wrapper, nicht Full Disk Crypto. Und wer encfs ohne dieses Cryptokeeper benutzt, ist nicht betroffen.

Fri Dec 16 2016

• [l] Benutzt hier jemand Debian?

  Ja? Echt? Warum denn bitte!? Wie krass müssen die denn noch verkacken? Hat das OpenSSL-Desaster nicht gereicht? Oder das xscreensaver-Debakel? Der letzte APT-Totalschaden?

  Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".

Fri May 27 2016

• [l] Bug des Tages: systemd killt beim Ausloggen Hintergrundprozesse. Das ist eine Option, deren Default jetzt umgestellt wurde, und prompt gehen Detach+Reattach bei screen und tmux nicht mehr richtig, wenn man sich in der Mitte ausgeloggt hat.

  Ihr werdet es euch schon gedacht haben: Ist gar kein Bug. Sowas geschieht nicht aus Versehen. Ist Absicht.

Wed Apr 13 2016

• [l] Bug des Tages: xscreensaver auf Debian warnt die User, dass Debian Scheiße ist.

  Und zwar nicht spezifisch, sondern hat einfach Code drin, der eine Warnung anzeigt, wenn der Benutzer eine grotesk lange veraltete Version fährt. Und das ist bei Debian halt so.

  Ich habe ja noch nie verstanden, wieso irgendjemand Debian einsetzt.

  Bis ich mir neulich RPM angeschaut habe.

  Das Tollste ist, wie sich bei dem Bug jetzt die Debian-Sprallos darüber unterhalten, wie man DIE WARNUNG AM BESTEN WEGPATCHT! Nicht etwa liefern sie lieber neuere Versionen aus, nein, diese impertinente Warnung wird weggepatcht!1!!

  Hier ist die jwz-Position dazu, hochamüsant wie immer (folgt unbedingt auch den ganzen Previously-Links!)

Thu Mar 10 2016

• [l] Microsoft bringt jetzt auch eine Linux-Distribution raus. Eine Nischenlösung für die Cloud, ein Debian-Derivat.

Wed Dec 30 2015

• [l] Der Debian-Gründer Ian Murdock ist tot. (Nachruf von Debian). Seine letzten Tweets lesen sich sehr beunruhigend. Der Twitter-Account ist inzwischen gelöscht. WTF? Ist dem der Account gehackt worden?

  Update: Tweet von The Register:

  SFPD says he was arrested on Sat night, taken to hospital, then detained a few hours again on Sun.

  Das würde zu seinen Tweets passen. Und Ars Technica hat mal die Akten eingesehen und bestätigt (Ctrl-F Update). (Danke, Bernd)

Wed Jul 15 2015

• [l] Hier hat mal jemand geguckt, welche HTTP-Anfragen ein Iceweasel (Non-Brand-Version von Firefox) auf einem frischen Profil so macht, bevor man die erste URL eingibt.

Fri Nov 28 2014

• [l] Bug des Tages: Buffer Overflow im FLAC-Decoder. Gefunden vom Google Security Team.

  Multimedia betrifft euch nicht auf eurer Textkonsole? Na gut: Buffer Overflow in Mutt, im Header-Parser. Gefunden von Michal Zalewskis neuem Fuzzer. Der scheint überhaupt ziemlich cool zu sein, der Fuzzer. Kommt mit Compiler-Integration zur Maximierung der Abdeckung. Oh, Michal Zalewski arbeitet übrigens auch im Google Security Team.

  Ich hatte mal angefangen, einen Artikel zu schreiben, der der Google-ist-böse-Hysterie ein paar Fakten entgegen stellt. Das fällt nämlich gar nicht so leicht, Googles Handeln von einer fiktiven Firma zu unterscheiden, die auf einem Goldesel sitzt und mit dem Geld tatsächlich Gutes tun will. Klar ist das Scheiße, dass der Goldesel darauf basiert, dass sie Daten einsammeln. Und klar ist das Scheiße, dass die Jurisdiktion mit den Daten die USA sind. Aber, mal unter uns, glaubt ihr wirklich, dass irgendeine andere Jurisdiktion anders wäre und da keine Begehrlichkeiten entwickeln würde?

  Ich persönlich glaube nicht an wohlwollende Diktatoren. Aber vom Verhalten her kann ich Google wirklich nicht viele konkrete Dinge vorwerfen. Was Microsoft für die Industrie getan hat in Sachen Security, das tut Google jetzt für Open Source. Ich erinnere nur mal an die 1000 Bugs in ffmpeg, die die dem Projekt eingereicht haben.

Wed Sep 24 2014

• [l] Bug des Tages: APT (der Paketmanager von Debian) hat einen Buffer Overflow im HTTP-Code.

Wed Sep 17 2014

• [l] Bug des Tages: APT (der Paketmanager von Debian) hat Validierungslücken.

Wed Apr 2 2014

• [l] Bug des Tages: Ein Debian-Paket baut nicht, wenn es der letzte Tag des Monats ist (Danke, Michael)

Fri Jan 24 2014

• [l] Wer gerade auf Debian-Updates oder -Pakete oder -Sicherheitspatches wartet, für den habe ich schlechte Nachrichten: Valve hat gerade Debian für ein paar Monate runtergefahren. Als Gegenleistung dafür, dass sie Debian als Grundlage für ihre Steam-PCs nehmen, geben sie der Community jetzt Keys für ihre Spiele. Nur die, die Valve selber entwickelt hat, aber das dürfte für ein paar Monate Debian-Einfrieren reichen. Was für ein hinterhältiger, niederträchtiger Denial of Service-Anschlag!1!!

Thu Aug 22 2013

• [l] Bug des Tages: Debians /bin/sh droppt keine Privilegien, wenn es von einem setuid aufgerufen wird. Bash tut es, das benutzen praktisch alle anderen Linux-Distributionen. Die, die nicht Bash benutzen, benutzen pdksh, das tut das auch. Aber Debian benutzt dash. Für dash gibt es auch einen Patch. Aber Debian spielt ihn nicht ein. Weil, festhalten: das offenbar UUCP kaputtgemacht hat.

  Money Quote:

  P.S. If you don't know what uucp is, you can read more about it on fidonet or at my gopher site.

  Muhahahahaha

Thu Jun 27 2013

• [l] Bug des Tages: "Hey Debian, unsere Software hat 1.2k exploitbare Sicherheitslücken in eurem Kram gefunden, wie filen wir die am besten?" o_O

Thu May 24 2012

• [l] Weil mir hier gerade vermehrt gemailt wird, die Geheimdienste könnten PGP entschlüsseln: nein, können sie nicht. Was sie tun können ist Passwörter durchprobieren. Die sind direkt gefragt worden, ob sie PGP entschlüsseln können, und die Antwort war "im Prinzip haben wir die nötige Software dafür". Die nötige Software kann man kaufen, die probiert Passwörter durch. Bessere Angriffe auf PGP sind nicht bekannt. Insofern haltet mal bitte alle die Füße still. Solange ihr eine ordentliche Passphrase verwendet und der Schlüssel schön lang ist und ihr nicht einen debianisierten Zufallszahlengenerator beim Keyauswürfeln hattet, seid ihr heute genau so sicher wie letzte Woche.

Sat Apr 28 2012

• [l] Debian stolpert mal wieder über einen schlechten Zufallszahlengenerator.

Thu Sep 16 2010

• [l] Bug des Tages: Epiphany checkt keine SSL-Zertifikate (inzwischen angeblich gefixt). Hier gibt es einen Screenshot, wie das dann aussieht. Achtet auf die Ecke unten links. (Danke, Thomas)

Sun Feb 28 2010

• [l] Erinnert ihr euch an das Debian OpenSSL Debakel? Oops, we did it again: Debian-Patch deaktiviert Security des hardened PHP von Stefan Esser. Gran-di-os! Hervorragende Arbeit, Jungs. Wieso lasst ihr das nicht jemanden machen, der sich mit sowas auskennt?

Thu May 15 2008

• [l] Die Debian-Sache ist echt ein toller Selbstläufer. Jetzt sind wir gerade in der "ICH WAR'S NICHT" Phase. Die Debianisten führen zu ihrer Verteidigung an, dass sie auf openssl-dev gefragt haben, ob ihr Patch OK ist. Das war natürlich ein super-grober Fuckup von Ulf, dass er da schrieb, das sei schon in Ordnung, die Zeilen rauszunehmen. Das ist jetzt natürlich dem OpenSSL-Team peinlich, und daher kommt jetzt Ben Laurie mit der haarsträubenden Ansage, openssl-dev sei für User von OpenSSL, nicht für OpenSSL-Entwicklung selbst, was zu grandiosen Replik der Debian-Leute führt, die ihr euch unbedingt durchlesen müsst. Die Mailadresse, die Ben Laurie da meldet, wird nirgendwo erwähnt, auf der Webseite nicht und im Source Code Paket von OpenSSL nicht :-)

  Hey, but you stand vindicated, because you shouted the correct contact address to the whole world in the 38th comment to the 327th post on your blog (which must surely compare favorably to being posted on the bottom of a locked filing cabinet stuck in a disused lavatory with a sign on the door saying 'Beware of the Leopard'.).

  Sehr spaßig.

  Währenddessen gibt es wachsende Spannungen wegen der Tatsache, dass Debian den Fix 5 Tage vor dem Advisory eingepflegt hat. Die Terroristen (oder Debian-Insider, die der Versuchung auf Botnet-Expansion nicht widerstehen konnten) hatten also 5 Tage Zeit, einen Exploit zu entwickeln und damit Rechner zu übernehmen. Wenn man mal bei denyhosts.net guckt, gibt es da auch einen deutlichen Spike [lokale Kopie der Grafik].

  Oh übrigens, Spaß mit URL-Redirects: debian.wideopenssl.org :-]

Wed May 14 2008

• [l] HD Moore (Metasploit) hat mal ein Debian-OpenSSL-Angriffstool gebastelt. Das ging ja schnell. Stellt sich raus, dass die generierten Schlüssel nur von der PID abhängig waren. Das heißt: es gibt 32k Schlüssel pro Schlüsselgröße. Und die hat HD mal alle ausgewürfelt.

Tue May 13 2008

• [l] Lacher des Tages: Debilian hat die Sicherheit weggepatcht. Die haben 2006 an ihrem OpenSSL herumgepatcht und seit dem sind die generierten Schlüssel (auch für OpenSSH!) vorhersagbar.

  Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Keys generated with GnuPG or GNUTLS are not affected, though.

  Den Fehler haben sie am 17. September 2006 eingebaut. Juchee für die Sicherheit!

  Update: falls das jemandem nicht klar ist: Ubuntu == Debian. Auch alle Ubuntu-User sind betroffen.

Thu Apr 24 2008

• [l] Warum Open Source dem Untergang geweiht ist. (Danke, Hannes)

Mon Dec 11 2006

• [l] Ihr kennt mich ja, ich würde NIE über Debian meckern, außer sie haben es wirklich verdient. Der Debian Paketserver zeigt freundlicherweise unten zu den Paketen die MD5-Checksumme an. Nun ist MD5 an sich schon nicht mehr vertrauenswürdig, aber es kommt besser: die angezeigte MD5-Summe ist Teil der URL! Fast wie Cross Site Scripting, nur ohne Script :-)

  Dieser Link veranschaulicht das Problem.

  Nun fragt sich vielleicht jemand, was daran so schlimm ist. Nehmen wir an, jemand hackt einen der Debian Mirrors und uploaded da ein bösartiges .deb-File, dann kann der so eine geänderte URL mit der MD5-Checksumme seines bösen Files verbreiten, und paranoide User werden dann nur das kompromittierte nehmen, weil bei den anderen die Checksumme ja nicht überein stimmt.

  Update: Debian hat das Problem jetzt gefixt, indem sie … (haltet euch fest) die LÄNGE auf 16 festschreiben. Der alte Link geht jetzt nicht mehr, aber der hier geht noch. Inbesondere gehen noch falsche MD5-Checksummen! (Danke, Jan)

Wed Jul 12 2006

• [l] Debilian wurde mal wieder zerhackt, und ihre Reaktion ist, daß sie… den gleichen Scheiß, der schon mal gehackt wurde, reinstallieren. Sie gehen offenbar davon aus, per ssh geöffnet worden zu sein, und schränken jetzt auf DSA ein. Na ich bin ja mal gespannt. Das haben sie von ihrem Backport-Blödsinn, so kriegen sie die ganzen Bugs nicht mit, von denen ssh nicht ins Log schreibt, daß sie Security-Relevanz haben.

  Update: "DSA" kann auch für "Debian Security Administration" stehen. Nichts genaues weiß man nicht.

Mon Jun 19 2006

• [l] Da haben sich ja Technologie und Experte getroffen: Sun macht jetzt in AJAX. Web 2.0, from the people who brought you NFS, ELF and Locale. *buzz* Aber nicht, daß das jetzt jemand als Sun-Bashing fehlinterpretiert, jegliche Vorbehalte gegenüber Sun-Technologie sind völlig unbegründet. Das habe ich neulich erst beobachten können, als ich gatling auf dem aktuellen Schillix (Opensolaris) gestartet habe, und der Kernel sofort in einen Deadlock lief. Aber das war sicher nicht Suns Schuld, sondern Schuld von Jörg Schilling, dessen Software auch ansonsten eher unter- als überzeugt, von seinem Gebaren mal ganz abgesehen.

Tue Apr 25 2006

• [l] Heute ist ein guter Tag für eine Runde glibc-Bashing, obwohl man es auch als GNU-Extension-Bashing verstehen kann. Wer ein Linux-System am Start hat, möge sich bitte mal kurz die Man Pages zu strfry und memfrob angucken. Aber bitte setzt euch dabei hin, damit ihr nicht weit fallt, wenn euch der Schlag trifft.

  But wait, there's more! zu strfry gibt es auch noch ein Security Advisory (das ich allerdings für hirnrissig halte, das könnte man genau so gut bei strlen bemängeln), und der absolute Oberhammer ist dieser Debilian Bugreport. Un-fucking-believable. Wenn es ein Code-Killfile gäbe, Ulrich Drepper wäre drin.

  Oh, und wo wir gerade beim glibc-Bashing sind: man kann bei der glibc Callbacks definieren, um bei printf neue Format-Zeichen zu definieren. Und nun ratet mal, welche Qualitätssoftware dieses großartige Feature benutzt: richtig, reiserfsprogs. Die definieren damit z.B. einen Callback, um ein Tupel von zwei Zahlen auszugeben IIRC. Unfaßbar. Aber hey, reiserfs benutzt ja eh niemand, oder? Oder?!

  Vielleicht sollte ich echt mal eine Webseite aufmachen, und dort ein Coder-Killfile unterhalten. Drepper, die Reiserfs-Jungs, Schilling, … da kämen aber nur die besonders harten Fälle hin. Ich will ja auch noch zu anderen Sachen kommen.

Sun Mar 19 2006

• [l] Onlinehändler verweigert Reparatur von Platte, weil der Kunde Linux einsetzte.

  ….supported unsere Hardware ausschließlich nur FAT und NTFS. Andere Dateisysteme wie die von Linux oder Unix bedürfen aufgrund ihrer aggressiven Schreibtechnik spezieller Festplatten. Das weiß aber heutzutage inzwischen jedes Kind. Aus diesem Grunde kann davon ausgegangen werden, dass die Verwendung eines von uns nicht zerifizierten Betriebssystems zum beschriebenen Schaden geführt hat. Ein Garantieanspruch ist damit leider erloschen

  aus diesem Grunde würden wir Ihnen dringlichst anraten, das für dieses spezielle Gerät besonders angepasste Betriebssystem Windows XP Home fortan alleinig zu verwenden. Damit erhöht sich die Nutzungsdauer ihres Gerätes dramatisch

  (Gefunden bei Su-Shee)

Mon Sep 26 2005

• [l] Für billige Tritte in Richtung Debian bin ich mir ja nie zu schade: How to shoot yourself in the foot, the Debian way. Sie haben da einige größere X-Updates veröffentlicht, und überraschenderweise ziehen sich das jetzt alle Leute und ihre Leitung ist dicht.