Login
Newsletter
Werbung

Thema: Sicherheitslücken im TCP-Code im Kernel

26 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von kraileth am Do, 20. Juni 2019 um 08:10 #

Inzwischen ist für FreeBSD die RACK-Lücke geschlossen worden: Siehe hier.

Allerdings betrifft diese nur FreeBSD 12 und auch da nur solche Maschinen, die einen modifizierten Kernel einsetzen, um diese zusätzlichen Features zu nutzen (wer den Kernel selbst baut weiß sicherlich, welche Optionen verwendet werden). Alle, die auf GENERIC setzen, sind wohl nicht betroffen.

Sicherlich ist es keine schlechte Idee, seine FreeBSD-Maschinen zu aktualisieren, aber im Gegensatz zu Linux, wo man längst reagiert haben sollte, kann man hier ganz locker vorgehen und in Ruhe eine Downtime für den Reboot planen.

  • 0
    Von Heldinger am Do, 20. Juni 2019 um 09:58 #

    aber im Gegensatz zu Linux, wo man längst reagiert haben sollte

    Ich weiß gar nicht wo das Problem sein soll, denn zumindest in meiner Distribution wurde 2 Tage nach dem Erscheinen der CVEs bereits ein Kernelupdate zur Verfügung gestellt und konnte installiert werden.
    Ich vermute, bei Red Hat sah das ähnlich aus.

    Also gehen Sie weiter, es gibt nichts zu sehen.

    • 0
      Von kraileth am Do, 20. Juni 2019 um 10:57 #

      Nach dem zweite mal lesen verstehe ich erst das Mißverständnis! Nein, nein, keine Kritik von mir an den Distributionen. Hier ist alles vorbildlich gelaufen, wie fast immer. Ich meinte die Admins, die längst reagiert haben müßten (Anfang der Woche).

    0
    Von Tobias_SP am Do, 20. Juni 2019 um 10:46 #

    Ich weiss echt nicht, was dein Kommentar eigentlich soll. Es ist ja hinlaenglich bekannt, dass du kein besonderer Freund von GNU/Linux bist, von FreeBSD dafuer umso mehr. Dennoch erspare uns deine ewigen Gehaessigkeiten gegenueber GNU/Linux ebenso wie die staendige Lobhudelei über FreeBSD.

    Nur der Vollstaendigkeit halber:
    1. Linux ist schon laengst aktualisiert worden
    2. RACK laesst sich auch einfach abschalten

    • 0
      Von kraileth am Do, 20. Juni 2019 um 11:25 #

      Entschuldige bitte, aber wo siehst Du hier Gehässigkeiten? Wir haben es hier mit einer ziemlich unschönen Lücke zu tun, die in kritischer Infrastruktur klaffte (und teilweise bestimmt weiter klaffen wird). Wer selbst das Internet nutzt, dem muß jegliche Häme vergehen, selbst wenn diese Person Microsoft-Fan wäre und sich immer freut, wenn es mal *nix getroffen hat.

      Und den Vorwurf mit der Lobhudelei kann ich auch nicht verstehen. Ich halte tatsächlich FreeBSD für in manchen Punkten überlegen, so daß es für meinen Anwendungsfall / Geschmack besser paßt. Das ist aber auch schon alles. Es heißt nicht, daß ich Linux feindlich gesinnt bin (das bin ich nichtmal gegenüber MS, obwohl ich mir wünschen würde, daß Closed-Source mehr und mehr verschwindet). Im Gegenteil: Wenn ich im weiteren Freundeskreis jemandem bei der Umstellung helfe, dann wird eine Linuxkiste aufgesetzt, weil das in solchen Fällen fast immer die bessere Wahl ist. Das sollte man neidlos und ohne Vorurteile anerkennen.

      Wenn Dich aber die paar Beiträge, die ich hier schreibe und in denen ich Alternativsysteme aufgreife, schon stören, behaupte ich: Du brauchst im Internet dringend eine dickere Haut. Linux wird weiterhin der Platzhirsch bleiben, auch wenn ein paar Wenige mal nach rechts und links schauen und etwas anderes ausprobieren. Sofern Dir (vollkommen willkürliche und damit alles andere als neutrale) Vergleiche als Gehässigkeiten vorkommen, tut's mir echt leid. Der Spieß läßt sich sehr leicht umdrehen: FreeBSD hat erst vor einigen Stunden das Security Advisory rausgegeben. Zu dem Zeitpunkt waren wahrscheinlich die meisten Linux-Systeme schon seit zwei Tagen gepatcht. Frage mal, wie gut FreeBSD auf neueren nicht-Lenovo-Laptops läuft und wie die Laufzeit im Batteriebetrieb ausfällt... Da wird der BSD-Freund eher still werden. Oder Du könntest z.B. fragen, warum bei FreeBSD RACK eine Sondereinstellung ist und nicht der Normalfall. Es ist ein anderes System und in seiner Gesamtheit weder besser noch schlechter. Aber es bekommt erheblich weniger Aufmerksamkeit. Daher würde ich Dich bitten, seinen Anwendern zuzugestehen, es doch immer mal wieder zur Sprache zu bringen (schon zahlenmäßig dürften wir weniger nerven als der harte Windows-only Admin sich von begeisterten Linux-Anwendern angegriffen fühlt!)

      Daher nie vergessen: Wir sind im Open-Source-Bereich alle Freunde. Wir lernen voneinander (im Idealfall) und machen uns nur scherzhaft „Konkurrenz“. Dazu bitte außerdem immer beachten: Das geschriebene Wort transportiert wichtige Nuancen der menschlichen Sprache nur sehr schlecht. Man kann versuchen, sie anzudeuten, aber es springt oft genug nicht über. Wenn ich (als „Ex-Pinguin”) im Gespräch über „die Pinguine” rede oder auch frotzele, dann ist mir noch nie jemand böse gewesen, weil klar ist, wie ich es meine. Bei einem Text kann man aber weniger leicht sagen, ob das ein eher lockerer Typ oder ein verbissener Ideologe geschrieben hat (und manche erkennen es gar nicht).

      • 0
        Von Tobias_SP am Do, 20. Juni 2019 um 12:46 #

        Ich habe schon ein dickes Fell, ich brauche nicht noch mehr.

        Ich will einfach mal ein Beispiel geben, was ich mit Gehaessigkeiten meine.

        Vor ein paar Wochen lief hier eine Umfrage zum Thema Containernutzung und du meintest sinngemaess:

        Ich nutze Jails, die gibt es schon seit vielen Jahren und sind von Anfang an auf Sicherheit hin entwickelt worden.

        Welchen Informationswert sollen "seit vielen Jahren" sowie "von Anfang an auf Sicherheit" denn vermitteln, wenn sie nicht
        als Spitze gegen GNU/Linux und LXC gemeint waren.

        In vielen deiner Beitraege lassen sich derartige Anspielungen - contra GNU/Linux, pro FreeBSD - finden.

        Ich moechte dich nur darum bitten derartige Bemerkungen zu unterlassen.

        • 0
          Von Ich am Do, 20. Juni 2019 um 14:27 #

          Ich lese die Nachrichten hier auf Pro-Linux schon lange mit und kenne daher auch die gelegentlichen Kommentare von kraileth, aber Gehässigkeiten, Spitzen oder Anspielungen habe ich da noch nie rausgelesen. Ich finde sie im Gegenteil interessant und sachlich.

          0
          Von kraileth am Do, 20. Juni 2019 um 14:28 #

          Danke für die Beispiele! Damit weiß ich nun zumindest über was wir hier reden. Da mir selbst ein vernünftiger Umgang miteinander am Herzen liegt, will ich darauf nochmal eingehen.

          Zum Mehrwert dieser vielleicht beiläufig erscheinenden Informationen: Vor einiger Zeit hatte ich mal eine Abhandlung einer Entwicklerin im Docker-Umfeld gelesen. Darin ging es darum, daß es ziemlich schwierig sei, bei einer existierenden Technologie, bei deren Konzeption Sicherheit zunächst keine besonders große Rolle gespielt hatte, nachträglich für mehr Sicherheit zu sorgen. Das ist bei Jails nicht der Fall, die sind anders entworfen - nämlich von Anfang an. Das ist ein technisch betrachtet ganz wesentliches Charakteristikum und damit keine (vermeidbare!) Spitze gegen LXC & Co. Auch das „seit vielen Jahren“ ist nicht ganz unwesentlich. Die Jail-Technologie ist alt. Aus dieser Information lassen sich weitere sinnvolle Annahmen schließen: Sie hat vielleicht keine moderne Architektur, wie man es heute machen würde (ein Nachteil). Sie hatte viele Jahre lang Zeit, um zu reifen (Vorteil), usw.

          Dazu kommt, daß die Linux-Gemeinschaft zwar oft an angrenzenden Systemen grundsätzlich interessiert ist, die Linux-Welt selbst aber groß genug und die jedem Menschen zur Verfügung stehenden Stunden pro Tag begrenzt sind. Ich kann, wenn ich „Jail“ sage, nicht davon ausgehen, daß jeder, wenn er oder sie vom Fach ist, eine gute Vorstellung davon hat, was ich meine. Entsprechend bemühe ich einen Vergleich. Wenn ich da ganz vage bleibe (den Fehler habe ich schon gemacht) und nur sage, daß das quasi „Container unter FreeBSD“ seien, dann weiß zwar jeder grob, was das ist - es ist aber auch schon die Frage aufgetaucht, warum zum Henker denn FreeBSD trotz wesentlich geringerer Manpower „unbedingt etwas eigenes basteln“ müsse, anstatt die Linux-Container zu nehmen „die doch schon funktionierten“. Der Hinweis auf Entstehungsgeschichte bzw. Alter schließt diese Fehlannahme aus. Wenn ich erwähne, daß Linux sich diesbezüglich eine Weile taubgestellt hat, dann ist das tatsächlich eine Spitze gegen die Linux-Gemeinschaft - aber sie ist genau in diesem Kontext zu sehen und damit erstens eine Erwiderung meinerseits und zweitens (wie bereits betont) eine kleine Stichelei unter Freunden (der ich in beide Richtungen nicht abgeneigt bin).

          Was genau Dich nun stört, kann ich leider weiterhin nicht sagen. Versuchen wir es mal einzugrenzen. Wo genau möchtest Du am ehesten hin?

          A) Es wird nur noch über Linux gesprochen, alles andere findet nicht statt (das klassische Unix ist tot, POSIX gehört auf den Müllhaufen der Geschichte und Windows ist so oder so eklig).
          B) Man darf andere Systeme erwähnen. Charakteristika müssen aber zwingend unter den Tisch fallen (es kann sich also niemand, der das betreffende System nicht selbst ausprobiert hat, irgendetwas darunter vorstellen).
          C) Andere Systeme können sehr allgemein beschrieben werden. Dabei darf aber kein Vergleich zu Linux gezogen werden, vor allem dann nicht, wenn Linux in diesem Teilgebiet schlechter dastehen sollte (der Leser darf sich dann wundern, warum es Wirrköpfe gibt, die etwas anderes verwenden, weil sie ihre Gründe dafür nicht mehr darlegen dürfen).
          D) Das Problem sind nicht irgendwelche anderen Systeme, sondern aus irgendwelchen Gründen mit FreeBSD das freie Betriebssystem, das noch am ehesten an Linux heranreicht (dürfte ich wieder schreiben, wie sehr mich mein System begeistert, wenn ich mich von FreeBSD ab- und z.B. Haiku zugewendet habe?).

          Bitte auch nicht bierernst nehmen! :x Aber vielleicht sieht Du das Problem, das ich mit Deiner Forderung habe - nämlich, daß ich meine technische Leidenschaft nicht mehr ausdrücken dürfte. Wir können über sinnvolle Verhaltensweisen reden. Aber da niemand Zensur mag, kannst Du eventuell verstehen, daß „einfach schweigen“ für mich keine Lösung ist und ich auf Vergleiche zur Abgrenzung und zur Erklärung angewiesen bin, warum ich ein anderes System verwende (für den Einsatz von Linux muß man sich kaum noch „rechtfertigen“ - für andere Dinge schon).

          • 0
            Von Tobias_SP am Do, 20. Juni 2019 um 17:39 #

            Mir geht es nicht um Zensur, genau so wenig darum bestimmte Dinge in den Himmel zu loben, andere zu verteufeln.

            Haettest du die hier gemachten Erlaeuterungen schon damals gemacht, waere es zu keinen Missverstaendnissen gekommen. Mal ganz davon abgesehen, dass mit den zusaetzlichen Ausfuehrungen der Informationsgehalt deutlich steigt. So jedenfalls war dein Beitrag zumindest fuer mich doppeldeutig.

            Dass ich deine Beitraege ueberspitzt ausgedrueckt mit dem Messer zwischen den Zaehnen lese, liegt einfach daran, dass du vor geraumer Zeit in Zusammenhang mit der GPL von Hintergedanken sprachst. Da Hintergedanken wohl soviel bedeuten wie unlautere Absichten zu hegen, war das meiner Ansicht nach schon eine erhebliche Entgleisung. Da faellt es mir dann doch schwer derartige Aeusserungen als flapsige Bemerkung abzutun.

            Ich moechte dich daher bitten bei zukuenftigen Beitraegen moegliche Mehrdeutigkeiten zu vermeiden oder wenigsten fuer die Ironie-Autisten pointierte Aussagen entsprechend kenntlich zu machen.

            • 0
              Von was ist das am Fr, 21. Juni 2019 um 05:38 #

              Also wenn ich das ganze hier lese habe ich eher das Gefühl dass das Problem eher bei dir liegt. Du kannst doch nicht jemanden verbieten seine Meinung zu äußern, wenn es dir nicht gefällt. Daher scheinst du kein dickes Fell zu haben.

              0
              Von kraileth am Fr, 21. Juni 2019 um 09:16 #

              Ich glaube, wir sind uns ein gutes Stück näher gekommen. Durch zusätzliche Information bekommen auch alte Aussagen mitunter eine ganz andere „Farbe”, und ich glaube, wenn wir uns auch nur fünf Minuten persönlich unterhalten könnten, kämen wir prima miteinander aus.

              Zur GPL habe ich in der Tat ein etwas eigenes Verhältnis und nehme diesbezüglich eine wesentlich härtere (allerdings nicht unversöhnliche) Position ein, da ist definitiv mehr Platz für Reibereien. Mir fiel ziemlich schnell auf, daß Du zu den Leuten gehörst, die GNU/Linux schreiben, daher will ich hier mal die Hosen runterlassen und bekennen, daß ich vor vielen Jahren, als junger Mann am Anfang seines Studiums, mal ähnlich drauf war (auf den Rechnern Trisquel verwendet, später dann Parabola, großen Wert auf den Libre-Kernel gelegt, usw.). Daß ich davon ausging, die GPL sei allein-seligmachend, kannst Du Dir vielleicht denken. Ja, ich habe mich an verbalen Angriffen auf Andersdenkende beteiligt, mit heiligem Eifer und gefühlt aus edelsten Motiven (aber mit letztlich unmenschlicher Heftigkeit).

              Nähere philosophische Betrachtungen des Freiheitsbegriffes haben mich schlußendlich die Seiten wechseln lassen. Ich verstehe die Motivation hinter der GPL, ich halte diese für legitim und vertretbar, in letzter Konsequenz aber für schädlich. Keineswegs sage ich, daß niemand die GPL verwenden sollte und wenn jemand in dieser Frage seinen Glauben gefunden hat und damit glücklich ist, werde ich nicht versuchen, ihn zum Abfall zu verführen. Was ich aber leidenschaftlich tue, ist: Einen Platz für permissive Lizenzen zu erstreiten. Denn hier hat die Debatte zumeist ganz erheblich Schlagseite - die Freunde permissiver Lizenzen stehen schwer unter Feuer von Seiten der Copyleft-Befürworter, während erstere letzteren ihre Präferenz viel eher zugestehen. Und wenn in dieser Sache ein GPL-Zelot mit dem GPL-Apostaten, der ich heute bin, zusammenrennt, kann es schon sein, daß virtuell Zähne fliegen. Wohlgemerkt nicht, weil ich mich bewußt bösartig verhalte, sondern weil ich leidenschaftlich dafür eintrete, daß die GPL nicht die ultimative Lösung aller Fragen ist, sondern vielmehr völlig legitim vertretbare Alternativen bestehen, denen man als rational denkender Mensch durchaus den Vorzug geben kann (mithin: Einige übliche Behauptungen aus dem GPL-Lager sind nicht oder nicht ganz richtig).

              Was das Kenntlich-machen angeht, werde ich mich bemühen, ein paar mehr Grinsegesichter zu platzieren. Frieden?

0
Von akf2 am Do, 20. Juni 2019 um 15:30 #

Nicht vergessen: Router sind auch meist Linux-Kisten.
Für meinen Router kam auch gerade ein Update.

  • 0
    Von Verfluchtnochmal_5987109 am Fr, 21. Juni 2019 um 05:54 #

    Wer in der Lage ist man pages zu lesen braucht keine fucking Plastikrouter, weder im Unternehmensumfeld (netmask ist dein Freund für grössere nat setups) und erst recht nicht privat

    • 0
      Von blablabla233 am Sa, 22. Juni 2019 um 10:55 #

      Ohgott...der "Ich bin der beste weil ich kann man's lesen" ist wieder da.

      PS: Was hast Du gegen plastikrouter mit openwrt?
      PPS: Wieso glaubst Du jeder hat ein interesse einen Computer nur als router lauffen zu lassen?

      • 0
        Von Verfluchtnochmal-05995bd7b am Sa, 22. Juni 2019 um 23:21 #

        Leider habe ich nichts wirksames gegen die ganzen Plastikrouter
        Wieso glaubst du muss sich der Computer auf die Routeraufgabe beschränken?

0
Von Falk am Do, 20. Juni 2019 um 16:34 #

Ich suche mir ein offenes WLAN einer Firma bzw. knacke WPA2. Nun schaue ich nach, welche Computer über WLAN verbunden sind.
Ich finde Laptop 123. Nun schieße ich den LDAP, den DNS oder einfach den WLAN-Router der Firma ab (glücklicherweise der einzige Rechner der Firma, der mit Linux läuft). Ab jetzt werde ich die LDAP-Anfragen des Laptops 123 beantworten. Nun kann ich mich als Admin bei 123 einloggen bzw. einloggen und Rechte erweitern (Nutzer: Susi Passwort: Sorglos). Ich installiere meine Hintertür, greife Accountdaten ab und hüpfe auf die nächsten Rechner und übernehme mit der Zeit das Netzwerk. LDAP und DNS werden dabei evtl. noch ein paarmal abgeschossen.

Aber ist ja nicht kritisch.

PS:
Ja, ich weiß, dass es normalerweise da noch eine Keychain und eine veschlüsselte Übertragung gibt und dass man die auch fälschen muss. Also evtl. noch ein paar mehr abgeschossene Rechner bzw. Redirects zu vorgegaukelten Hosts, von denen man den Key kennt. Fakt ist, dass ein kontrolliert von außen abschießbarer Computer ein erhebliches Sicherheitsrisiko darstellt, weil man an seiner Stelle antworten kann.

  • 0
    Von Verfluchtnochmal_5987109 am Do, 20. Juni 2019 um 20:58 #

    irgendwie süß wie naiv einfach du dir vieles vorstellst

    • 0
      Von Falk am Fr, 21. Juni 2019 um 00:15 #

      Überhaupt nicht süß, wie ätzend deine Kommentare hier sind. Ganz und garnicht. Aber das weißt du auch.

      Mir ist schon klar, dass es bei Kerberos private Schlüssel gibt. Wenn man aber in der Lage ist, jeden (!) Linux-Server am Freitag Abend von außen abzuschießen, dann findet man auch was, was man den einzelnen Rechnern unterschieben kann.

      • 0
        Von Verfluchtnochmal_5987109 am Fr, 21. Juni 2019 um 01:04 #

        Ach Gott so einfach schießt du nicht jeden Rechner von außen ab! Kannst gerne hier vorbei kommen, falls du es wieder erwarten bis zum WLAN schaffst möchtest du mir noch zeigen wie du die Firewall zwischen outbound interface umgehst die blöderweise genau die Pakete rausfiltert

        Abgesehen davon ist in ernsthaften Netzen dein Zeitfenster verdammt kurz weil crashende VM's oder selbst physische Maschinen die kritische Infrastruktur hosten üblicherweise automatisch wieder hergestellt werden

        Sorry, aber dein Geschreibsel ist in der Praxis nicht anwendbar

        • 0
          Von Falk am Fr, 21. Juni 2019 um 02:12 #

          Ich nehme zuerst den WLAN-Router. Geht davon aus, dass WPA2 ist nicht mehr sicher ist. Wenn du natürlich nicht die WPA2-Verschlüsselung benutzt, sondern darin nochmal ein VPN aufmachst und gleichzeitig auch noch eine Firewall hast (Edit: und die tatsächlich diese Pakete erkennt - ist ja erstmal eine normale TCP-Verbindung), die keine TCP-Verbindungen von außen zu sich akzeptiert, dann kommt man da natürlich so nicht weiter.

          Ich gehe natürlich davon aus, dass man sich mit den entsprechenden Maschinen verbinden kann. Sofern man nicht ins Netzwerk kommt, dann kann man auch nichts erweitern. Aber viel Spaß bei IPV6 und all den Computern auf der Welt, die nicht in Hochverfügbarkeitsrechenzentren stehen.

          Dieser Beitrag wurde 1 mal editiert. Zuletzt am 21. Jun 2019 um 02:14.
          • 0
            Von Verfluchtnochmal-05995bd7b am Fr, 21. Juni 2019 um 03:59 #

            Aus dem WLAN kommst du genau nirgends hin mit Ausnahme von Hosts und Ports die auch so aus dem Internet erreichbar sind, nochmal: du musst durch die Firewall die nur aus dem Management-Netz administriert wird, ins Internet selbst nur auf 153 explizit frei gegebene Ports

            Dazu braucht es kein "Hochverfügbarkeitsrechenzentrum" sondern einen Admin mit Hausverstand und warum das Firmen-WLAN ausserhalb der Geschäftszeiten überhaupt Zugriffe erlauben sollte weisst auch nur du

            0
            Von blablabla233 am Sa, 22. Juni 2019 um 11:01 #

            Sorry aber bei LDAP brauchst meisten ein kerberos-ticket, da kommst Du gar nirgends hin.
            Beim WLAN brauchst meist ein Cert (zumindest im business-umfeld), und dann oft (aber nicht immer) noch ein vpn um ins "gesicherte netzwerk zu kommen" erst dort bekommst Du dann auch das kerberos-ticket für die internen dienste (mail,file,intranet etc).

            Die meisten Netzwerke sind sicherer wie das JPL ;)

            0
            Von blablabla233 am Sa, 22. Juni 2019 um 11:05 #

            ABER Du hast nicht ganz unrecht, ein beispiel sind die ganzen Windturbinen die mit "gesichertem passwort wlan" geschützt sind, um dann mit std-passwort auf den internen webserver/steuerung zuzugreifen.

            • 0
              Von Falk am Sa, 22. Juni 2019 um 21:28 #

              Ganz genau. Klar - ein Kerberos-Ticket habe ich damit noch nicht - LDAP war etwas übertrieben. Und wer es vernünftig macht, hat natürlich bei seinem WLAN noch ein VPN. Die ganzen großen Firmen und Rechenzentren bekommt man damit nicht. Auch nicht über Kabel, weil das normalerweise auch immer nur für eine IP freigeschaltet ist.

              Aber die ganzen Kleinfirmen und die ganzen IPv6-Steuerungen wie z.B. die beschriebenen Windkraftanlagen. Dort kann man sicherlich ein paar Dienste übernehmen oder eben zumindest in Höchstgeschwindigkeit abschießen. OK, es gibt Watchdogs uswusf. Aber bei der Vielzahl Hardware mit Embedded Linux - das ist schon heftig. Auch wenn man bedenkt, dass z.B. selbst Gentoo lange Zeit nicht signiert hatte, dann halte ich das Szenario (Server abschießen und an seiner Stelle antworten) für völlig realistisch und entsprechend schwerwiegend.

              Dieser Beitrag wurde 1 mal editiert. Zuletzt am 22. Jun 2019 um 21:29.
              • 0
                Von Verfluchtnochmal-05995bd7b am Sa, 22. Juni 2019 um 23:22 #

                Wir sind eine 5-Mann-Firma und uns bekommst du nicht, such es dir aus: Entweder wir sind gut und alle anderen blöde oder du bist naiv

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung