Fragen? Antworten! Siehe auch: Alternativlos
Nehmt Go, sagten sie. Ist dann sicher, sagten sie.
Brought to you by Debian! Money Quote:
I performed a full-upgrade on a system with little space on the root filesystem. This failed part way through due to running out of space. A while after resolving this and completing the upgrade, I found that: 1. The GNOME screensaver was no longer password locked
2. sudo and su failed
3. I could log in on a VT as any user without a password
Ach komm, Platte voll kommt sooo selten vor, das müssen wir doch nicht prüfen! Damit konnte niemand rechnen!Beachtet auch den zeitlichen Unterschied zwischen der Meldung des Bugs und dem "Me Too"-Posting unten. Hey, wieso würde Debian so einen Bug fixen? Betrifft doch nur Leute, deren Platte voll ist!
Das Hyperthreading ist wohl subtil braun und kann zu spontanem Fehlverhalten führen.
Welche ARM- (oder von mir aus auch MIPS oder PowerPC) Kleingeräte gibt es für wenig Geld zu kaufen, bei denen man dann einen Standard-Kernel selber bauen kann, und der funktioniert auch?
Das andere Gerät, bei dem ich in dieses Problem lief, ist ein Plasterouter, auf dem ich mal ein DD-WRT installieren wollte zum Testen, und da gab es nur eine Version von 2008 oder so, und neuere Kernel gehen nicht. Ja, äh, dann kann ich auch gleich Windows nehmen, wenn ich da keinen eigenen Kernel drauftun kann!
Ich empfinde es als zutiefst unseriös, ein Gerät als "da läuft Linux drauf" zu bewerben, auf dem dann nur ein spezifischer Gammelkernel läuft.
Auch auf Android-Smartphones scheint das ein massives Problem zu sein, wie ich aus zweiter Hand hörte. Sobald da mal was anbootet, ist das halt der Kernel für das Gerät und es wird nur noch das Userland außenrum geupdated, und vielleicht im krassen Notfall mal ein Security-Patch für den Kernel rückportiert.
Das kann doch nicht wahr sein? Ist das wirklich so?!
Update: Einsender empfehlen:
Ein anderer Einsender meint zu Allwinner noch:
ist dein RPI-Clone zufälligerweise ein Allwinner-Gerät? Das sind die beliebtesten China-SoCs. Sie sind ein wunderbares Beispiel für das Problem des "Code Vomittings". Die GPL zwingt Hersteller dazu, Code zu veröffentlichen? Wunderbar, erzeugen wir halt einen Code-Drop auf Github. Es gibt mit linux-sunxi.org eine Seite, auf der der Status für den Support im Upstream-Kernel sowie im eigenen "Fork" dokumentiert sein sollte. Die Situation ist nicht die beste, könnte aber schlimmer sein...
Update: Ein anderer Einsender meint:
the Allwinner ARM Chips do not belong on pole position. Too many critical missing features. A lot has changed in Kernel 4.11 but far from complete especially for the recent Allwinner ARM chips. too much red and WIP...
RaspberryPi is better supported and now also with mainline 64bit Kernel on RPi3.
https://michaelfranzl.com/2016/10/31/raspberry-pi-debian-stretch/
https://github.com/michaelfranzl/rpi23-gen-image
https://michaelfranzl.com/2017/03/21/zero-client-boot-kernel-root-filesystem-network-raspberry-pi2-pi3/
Update: Das ist ein encfs-Wrapper, nicht Full Disk Crypto. Und wer encfs ohne dieses Cryptokeeper benutzt, ist nicht betroffen.
Ja? Echt? Warum denn bitte!? Wie krass müssen die denn noch verkacken? Hat das OpenSSL-Desaster nicht gereicht? Oder das xscreensaver-Debakel? Der letzte APT-Totalschaden?
Übrigens ist damals wie heute die korrekte Reaktion nicht "mal die Pakete updaten" sondern "mal das System komplett frisch aufsetzen".
Ihr werdet es euch schon gedacht haben: Ist gar kein Bug. Sowas geschieht nicht aus Versehen. Ist Absicht.
Und zwar nicht spezifisch, sondern hat einfach Code drin, der eine Warnung anzeigt, wenn der Benutzer eine grotesk lange veraltete Version fährt. Und das ist bei Debian halt so.
Ich habe ja noch nie verstanden, wieso irgendjemand Debian einsetzt.
Bis ich mir neulich RPM angeschaut habe.
Das Tollste ist, wie sich bei dem Bug jetzt die Debian-Sprallos darüber unterhalten, wie man DIE WARNUNG AM BESTEN WEGPATCHT! Nicht etwa liefern sie lieber neuere Versionen aus, nein, diese impertinente Warnung wird weggepatcht!1!!
Hier ist die jwz-Position dazu, hochamüsant wie immer (folgt unbedingt auch den ganzen Previously-Links!)
Update: Tweet von The Register:
SFPD says he was arrested on Sat night, taken to hospital, then detained a few hours again on Sun.
Das würde zu seinen Tweets passen. Und Ars Technica hat mal die Akten eingesehen und bestätigt (Ctrl-F Update). (Danke, Bernd)
Multimedia betrifft euch nicht auf eurer Textkonsole? Na gut: Buffer Overflow in Mutt, im Header-Parser. Gefunden von Michal Zalewskis neuem Fuzzer. Der scheint überhaupt ziemlich cool zu sein, der Fuzzer. Kommt mit Compiler-Integration zur Maximierung der Abdeckung. Oh, Michal Zalewski arbeitet übrigens auch im Google Security Team.
Ich hatte mal angefangen, einen Artikel zu schreiben, der der Google-ist-böse-Hysterie ein paar Fakten entgegen stellt. Das fällt nämlich gar nicht so leicht, Googles Handeln von einer fiktiven Firma zu unterscheiden, die auf einem Goldesel sitzt und mit dem Geld tatsächlich Gutes tun will. Klar ist das Scheiße, dass der Goldesel darauf basiert, dass sie Daten einsammeln. Und klar ist das Scheiße, dass die Jurisdiktion mit den Daten die USA sind. Aber, mal unter uns, glaubt ihr wirklich, dass irgendeine andere Jurisdiktion anders wäre und da keine Begehrlichkeiten entwickeln würde?
Ich persönlich glaube nicht an wohlwollende Diktatoren. Aber vom Verhalten her kann ich Google wirklich nicht viele konkrete Dinge vorwerfen. Was Microsoft für die Industrie getan hat in Sachen Security, das tut Google jetzt für Open Source. Ich erinnere nur mal an die 1000 Bugs in ffmpeg, die die dem Projekt eingereicht haben.
Money Quote:
P.S. If you don't know what uucp is, you can read more about it on fidonet or at my gopher site.
Muhahahahaha
Hey, but you stand vindicated, because you shouted the correct contact address to the whole world in the 38th comment to the 327th post on your blog (which must surely compare favorably to being posted on the bottom of a locked filing cabinet stuck in a disused lavatory with a sign on the door saying 'Beware of the Leopard'.).
Sehr spaßig.Währenddessen gibt es wachsende Spannungen wegen der Tatsache, dass Debian den Fix 5 Tage vor dem Advisory eingepflegt hat. Die Terroristen (oder Debian-Insider, die der Versuchung auf Botnet-Expansion nicht widerstehen konnten) hatten also 5 Tage Zeit, einen Exploit zu entwickeln und damit Rechner zu übernehmen. Wenn man mal bei denyhosts.net guckt, gibt es da auch einen deutlichen Spike [lokale Kopie der Grafik].
Oh übrigens, Spaß mit URL-Redirects: debian.wideopenssl.org :-]
Affected keys include SSH keys, OpenVPN keys, DNSSEC keys, and key material for use in X.509 certificates and session keys used in SSL/TLS connections. Keys generated with GnuPG or GNUTLS are not affected, though.
Den Fehler haben sie am 17. September 2006 eingebaut. Juchee für die Sicherheit!Update: falls das jemandem nicht klar ist: Ubuntu == Debian. Auch alle Ubuntu-User sind betroffen.
Dieser Link veranschaulicht das Problem.
Nun fragt sich vielleicht jemand, was daran so schlimm ist. Nehmen wir an, jemand hackt einen der Debian Mirrors und uploaded da ein bösartiges .deb-File, dann kann der so eine geänderte URL mit der MD5-Checksumme seines bösen Files verbreiten, und paranoide User werden dann nur das kompromittierte nehmen, weil bei den anderen die Checksumme ja nicht überein stimmt.
Update: Debian hat das Problem jetzt gefixt, indem sie … (haltet euch fest) die LÄNGE auf 16 festschreiben. Der alte Link geht jetzt nicht mehr, aber der hier geht noch. Inbesondere gehen noch falsche MD5-Checksummen! (Danke, Jan)
Update: "DSA" kann auch für "Debian Security Administration" stehen. Nichts genaues weiß man nicht.
But wait, there's more! zu strfry gibt es auch noch ein Security Advisory (das ich allerdings für hirnrissig halte, das könnte man genau so gut bei strlen bemängeln), und der absolute Oberhammer ist dieser Debilian Bugreport. Un-fucking-believable. Wenn es ein Code-Killfile gäbe, Ulrich Drepper wäre drin.
Oh, und wo wir gerade beim glibc-Bashing sind: man kann bei der glibc Callbacks definieren, um bei printf neue Format-Zeichen zu definieren. Und nun ratet mal, welche Qualitätssoftware dieses großartige Feature benutzt: richtig, reiserfsprogs. Die definieren damit z.B. einen Callback, um ein Tupel von zwei Zahlen auszugeben IIRC. Unfaßbar. Aber hey, reiserfs benutzt ja eh niemand, oder? Oder?!
Vielleicht sollte ich echt mal eine Webseite aufmachen, und dort ein Coder-Killfile unterhalten. Drepper, die Reiserfs-Jungs, Schilling, … da kämen aber nur die besonders harten Fälle hin. Ich will ja auch noch zu anderen Sachen kommen.
….supported unsere Hardware ausschließlich nur FAT und NTFS. Andere Dateisysteme wie die von Linux oder Unix bedürfen aufgrund ihrer aggressiven Schreibtechnik spezieller Festplatten. Das weiß aber heutzutage inzwischen jedes Kind. Aus diesem Grunde kann davon ausgegangen werden, dass die Verwendung eines von uns nicht zerifizierten Betriebssystems zum beschriebenen Schaden geführt hat. Ein Garantieanspruch ist damit leider erloschen(Gefunden bei Su-Shee)aus diesem Grunde würden wir Ihnen dringlichst anraten, das für dieses spezielle Gerät besonders angepasste Betriebssystem Windows XP Home fortan alleinig zu verwenden. Damit erhöht sich die Nutzungsdauer ihres Gerätes dramatisch