"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 171722 674 Thread rating
Posts

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: graz
Posts: 4019
colo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler :D

charmin

Super Moderator

Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 13837
Zitat aus einem Post von wergor
colo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler :D

Same. Hab ausserdem zusätzlich meine kompletten Daten auf eine externe HDD gesichert. Inkl Backups der wichtigsten Ordner und config files.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Muss man beachten wie die eigene Config aussieht, oder trifft das nur zu wenn der Fix noch nicht installiert wurde (bzw. ändert der Fix einfach nur die Config)?

charmin

Super Moderator

Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 13837
was genau meinst du? die nginx config?

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19561
Yep, hab letztens auch so Infos gelesen wie z.B. hier (https://www.nginx.com/blog/php-fpm-...rability-nginx/) dass man z.B. via try_files überprüfen sollte ob ein File auch tatsächlich vorhanden ist.

Version bei mir ist sowieso schon 7.3.11-1+ubuntu18.04.1+deb.sury.org+1

Ich frage nur weil bei einem Update letztens Änderungen in der default config gab und das habe ich eben nicht in meiner derzeitigen Installation abgeglichen. (kann aber auch sein dass diese Änderung gar nichts mit dieser Vulnerability zu tun hat)
Bearbeitet von daisho am 22.11.2019, 16:08

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Der in Kabelmodems integrierte Spektrumanalysator, der Signalstörungen im Koaxialnetz abfangen soll, kann über bösartigen Java Script Code aus dem lokalen Netzwerk manipuliert werden und somit die Kontrolle über das Modem übernehmen. Teilweise findet gar keine Authentifizierung statt, teilweise werden Standardpasswörter ausgenutzt.


Damit könnte man testen, ob das eigene Modem betroffen ist:
https://github.com/Lyrebirds/cable-...nerability-test

Kirby

0x19
Avatar
Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 822
interresant. mal schaun wann das exploit auf die exploit-db geladen wird. wenn nicht schon vorhanden.

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 11472

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
zwecks der vollständigkeit:
die war wirklich heftig. und vorallem über ein monat kein patch sondern nur workaround.
citrix netscaler wurden der reihe nach spielend übernommen. ziemliches disaster auf einem vpn/reverxeproxy-device.

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
und das einfach classic microsoft:
aufgrund von änderungen in windows10 und server ab 2016, fallen sie auf gefälschte x509 zertifikate mit eliptic curve key rein.
problem an der sache ist, dass dadurch jedes zertifikat gefälscht werden kann, ganz egal ob die ursprüngliche seite EC oder RSA einsetzt.
fun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.

Rektal

Here to stay
Registered: Dec 2002
Location: Inside
Posts: 4420
Zitat aus einem Post von Smut
fun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.
wow, krass.

Das ist irgendwie ein Beispiel das gut zeigt, du kannst hier einfach echt nicht gewinnen.

Umgekehrt koentn genausogut im Firefox code der ultimative security bug sein und die Win-API haette keinen.

No one wins, all loose :/

mr.nice.

endlich fertig
Avatar
Registered: Jun 2004
Location: Wien
Posts: 6286
Man fragt sich, was damit alles schon angestellt wurde, bevor die Lücke von Kriminellen ausgenutzt wurde,
öffentliche Einrichtungen wie Krankenhäuser mit cryptolockern lahmgelegt wurden und die NSA sich gezwungen sah zu veröffentlichen.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48758
Ich glaub der NSA sind Krankenhäuser und Kryptolocker wurscht.

Interessanter wirds beim Militär und wenn das die Chinesen und Russen ausnutzen.

Lustig ist ja das MS nur wegen der NSA (bzw den Vorgaben für die Ausschreibungen) den EC Code eingeführt hat. Der ist halt sehr schwer stabil zu implementieren weshalb es einige Gegenvorschläge gibt

Smut

takeover & ether
Avatar
Registered: Feb 2003
Location: VIE
Posts: 16603
Achtung, der Fehler war nicht direkt innerhalb der EC crypto Implementierung sondern bei der Validierung des x509 Zertifikates.
Unabhängig davon präferiert Windows seit ein paar Monaten alle TLS cipher suites mit ECC - diese Lücke hat darauf aber keinen Einfluss!

Obermotz

Fünfzylindernazi
Avatar
Registered: Nov 2002
Location: OÖ/RI
Posts: 5262
Updatets euer Git.

Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz