URL: https://www.overclockers.at/applications/aktuelle-sicherheitsluecken_238671/page_14 - zur Vollversion wechseln!
colo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler
Zitat aus einem Post von wergorcolo, danke für deinen input!
ich habe die ondrej PPAs wieder rausgeworfen und bin mit ppa-purge auf stock zurück. bin jetzt auf php v7.2.24-0ubuntu0.18.04.1, das updateproblem von gestern war wohl ein benutzerfehler
Muss man beachten wie die eigene Config aussieht, oder trifft das nur zu wenn der Fix noch nicht installiert wurde (bzw. ändert der Fix einfach nur die Config)?
was genau meinst du? die nginx config?
Yep, hab letztens auch so Infos gelesen wie z.B. hier (https://www.nginx.com/blog/php-fpm-...rability-nginx/) dass man z.B. via try_files überprüfen sollte ob ein File auch tatsächlich vorhanden ist.
Version bei mir ist sowieso schon 7.3.11-1+ubuntu18.04.1+deb.sury.org+1
Ich frage nur weil bei einem Update letztens Änderungen in der default config gab und das habe ich eben nicht in meiner derzeitigen Installation abgeglichen. (kann aber auch sein dass diese Änderung gar nichts mit dieser Vulnerability zu tun hat)
Der in Kabelmodems integrierte Spektrumanalysator, der Signalstörungen im Koaxialnetz abfangen soll, kann über bösartigen Java Script Code aus dem lokalen Netzwerk manipuliert werden und somit die Kontrolle über das Modem übernehmen. Teilweise findet gar keine Authentifizierung statt, teilweise werden Standardpasswörter ausgenutzt.
interresant. mal schaun wann das exploit auf die exploit-db geladen wird. wenn nicht schon vorhanden.
https://cve.mitre.org/cgi-bin/cvena...=CVE-2019-19494
edit: 10s google btw
zwecks der vollständigkeit:
die war wirklich heftig. und vorallem über ein monat kein patch sondern nur workaround.
citrix netscaler wurden der reihe nach spielend übernommen. ziemliches disaster auf einem vpn/reverxeproxy-device.
und das einfach classic microsoft:
aufgrund von änderungen in windows10 und server ab 2016, fallen sie auf gefälschte x509 zertifikate mit eliptic curve key rein.
problem an der sache ist, dass dadurch jedes zertifikat gefälscht werden kann, ganz egal ob die ursprüngliche seite EC oder RSA einsetzt.
fun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.
wow, krass.Zitat aus einem Post von Smutfun fact: firefox ist davon nicht betroffen. IE/EDGE/Chrome und alles was auf der microsoft validation API aufbaut fällt drauf rein. auch der windows code-signing check von signierter software.
Man fragt sich, was damit alles schon angestellt wurde, bevor die Lücke von Kriminellen ausgenutzt wurde,
öffentliche Einrichtungen wie Krankenhäuser mit cryptolockern lahmgelegt wurden und die NSA sich gezwungen sah zu veröffentlichen.
Ich glaub der NSA sind Krankenhäuser und Kryptolocker wurscht.
Interessanter wirds beim Militär und wenn das die Chinesen und Russen ausnutzen.
Lustig ist ja das MS nur wegen der NSA (bzw den Vorgaben für die Ausschreibungen) den EC Code eingeführt hat. Der ist halt sehr schwer stabil zu implementieren weshalb es einige Gegenvorschläge gibt
Achtung, der Fehler war nicht direkt innerhalb der EC crypto Implementierung sondern bei der Validierung des x509 Zertifikates.
Unabhängig davon präferiert Windows seit ein paar Monaten alle TLS cipher suites mit ECC - diese Lücke hat darauf aber keinen Einfluss!
Updatets euer Git.
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024