Betrifft uns als WG-Kunden dieses Thema und falls ja, wann können wir mit einem Patch rechnen?
http://www.heise.de/newsticker/meldu...n-3107621.html
http://www.heise.de/newsticker/meldu...n-3107621.html
-
Beste Grüße!
"derBert" -
hast du dein wg im internet hängen das du das brauchst? -
Wir haben das natürlich mitbekommen und analysieren noch, inwieweit der WireGate Server betroffen ist.
Aber: Nachdem wir letztes Mal - Shellshock - einen Patch noch über das Wochenende zauberten, wurden wir gleich "der Panikmache" beschuldigt und wir würden damit nur Werbung machen.... Deshalb sind wir nun ein wenig vorsichtiger.
lg
StefanKommentar
-
Prima, wenn Ihr was habt, wäre ne sachliche Info hier (vielleicht auch mit einem Überblick, wen das überhaupt in welcher Situation betrifft und an welche anderen Geräte wie NAS-Laufwerk, Router, etc. man auch noch denken sollte) sicher für viele hilfreich.
Gibt es eigentlich bei Euch sowas wie einen Notfall-Emailverteiler an alle Kunden, um ggf. auf wichtige Patches hinzuweisen (ähnlich einem PKW-Rückruf übers KBA)? Persönlich fände ich sowas durchaus hilfreich. Wenn man nämlich nicht täglich beruflich mit IT-Sicherheit zu tun hat, ist es eher reiner Zufall, ob man solche Themen mitbekommt und also die angemessenen Massnahmen trifft.
Nur mal so als Idee. Vielleicht auch als Feature fürs WGNG - registrierte User bekommen automatisch eine Email wenn neue Features oder Patches rauskommen mit kurzer Inhaltsangabe.Beste Grüße!
"derBert"Kommentar
-
PS: Thema Shellshock - Lasst Euch von den 2-3 notorischen Meckerern nicht ärgern. Mir ist ein Hersteller, der solche Dinge proaktiv kommuniziert 10x lieber als die übliche KopfInDenSandSteckVerschweigeAbwiegel-Taktik die leider bei vielen Firmen Usus ist.
Jede Wette: Wenn ich bei mir im Büro (bei "normalen" Nicht-ITlern!) herumfrage, wer von den 40 Leuten schonmal was von Shellshock (oder jetzt der Linux-Problematik) gehört hat, ist das bestenfalls einer! Aber betroffen sind über Ihren Hardwarepark zuhause vermutlich mind. 30.Zuletzt geändert von derBert; 18.02.2016, 21:35.Beste Grüße!
"derBert"Kommentar
-
Wenn das ein akutes Problem wäre sollt man halt das komplette OS updaten...dafür würde ich sogar nochmal Geld auf den Tisch legen.Zuletzt geändert von heckmannju; 18.02.2016, 23:07.Kommentar
-
Vorsicht: diese Lücke kann man über einen DNS reply ausnutzen, es reicht das Du irgendwas machst was einen DNS Namen auflöst, selbst wenn Dein Device nicht aus dem Internet erreichbar ist.Zitat von heckmannju Beitrag anzeigenKommentar
-
Zitat von MGK Beitrag anzeigen
Ich habe keine Scripte die rausrufen...das einzige was raustelefoniert wäre die Zeitabfrage.Kommentar
-
Dieser Thread soll der allgemeinen Information dienen. Dein oder mein Einzelfall gehört hier nicht hin, weil er niemandem sonst hilft. Wenn Du allgemeine Sachinformationen, wie die Hintergründe sind, wer betroffen ist und wer nicht, und was man dagegen tun kann, beitragen möchtest, bist Du dazu natürlich herzlich eingeladen.Beste Grüße!
"derBert"Kommentar
-
Liebe Kunden, lieber Bert, hier nun unser erstes Statement zum Thema Linux Sicherheitslücke in der "glibc"
Kurzzusammenfassung:- Der derzeit kommunizierte Fehler CVE-2015-7547 in der glibc betrifft die Namensauflösung per DNS.
- Dabei sendet ein Host Pakete zu einem DNS Server und bekommt von diesem Antworten. Werden diese Antworten nun in spezieller Weise verändert, kann der Fehler zu einem Pufferüberlauf im abfragenden Host führen.
- Das Google Security Team gibt an, dass es Ihnen gelungen ist, einen Exploit zu schreiben, der damit Code in das System einschleusen konnte, der die Übernahme des Systems ermöglichen könnte. Trotzdem ist die Ausnutzung keinesfalls trivial.
- Der Fehler betrifft die GNU C Library 2.09 bis 2.22 und damit alle GNU und GNU/Linux Systeme, welche damit ausgestattet sind. Android ist nicht betroffen. Vermutlich sind mehrere hundert Millionen Geräte betroffen.
Wie kam das alles und ist der Fehler in der glibc kritisch?- Das zuständige Supportteam wurde am 13. Juli 2015 über den Fehler - inkl. Patch - informiert und hat diesen erst jetzt am 18. Februar 2016 mit dem turnusmäßigen halbjährlichen Update 2.23 (kein extra Hotfix) behoben.
- Allerdings lass sich die ursprüngliche Beschreibung des Bugs erst einmal unkritisch, weil der Autor Robert Holiday of Ciena nur von Puffer-Überlauf ab 2048 Bytes geschrieben hatte, normale DNS Antworten jedoch nur 1/10 so lange sind. Die weiteren Konsequenzen des Buffer-Überlaufes wurden im Original-Report nicht beschrieben, womöglich absichtlich, damit "Exploiter" nicht darauf kommen.
- Zufällig stieß man bei Google auf Probleme mit SSH und fand die Ursache in der glibc. Hier wurde die Tragweite dann vom miteinbezogenen Google Security Team erkannt und diese konnten auch einen Exploit programmieren. Bei weiterer Untersuchung fand man den ursprünglichen Report von Robert und dass man bei Red Hat zeitgleich an der Lücke forschte. Die Arbeit am Fix wurde dann im Geheimen gemeinsam fortgesetzt, um die Allgemeinheit nicht mit einem Bug ohne Fix zu lassen. Zugleich wurden Tests hinzugefügt um den Fehler in der Zukunft zu vermeiden.
- Der Fehler ist schon älter und wurde im Mai 2008 mit Version 2.9 eingebracht.
- Die glibc ist *die* C Library im GNU System und in GNU/Linux Systemen und wird in so ziemlich allen Linux-Systemen und Systemen mit Linux-Kernel eingesetzt. Jedes unixoide System benötigt eine C-Library, welche die Systemcalls und Basisfunktionen definiert (es sind jedoch "nur" die Systeme mit dieser GNU C Library betroffen).
- Vermutlich dürften die betroffenen Varianten der glibc von 2.9 bis 2.22 auf hunderten von Millionen von Geräten im Einsatz sein. Von Blu-Ray-Player bis zum High-Performance- Red-Hat Server.
Wie kann der Fehler ausgenutzt werden?- Ein Host mit dieser Sicherheitslücke müsste eine Namensauflösung per DNS vornehmen und bekommt dann speziell gebaute überlange Pakete als Antwort, worauf die Kontrolle über den Host übernommen werden könnte:
- Damit müssten Angreifer entweder die als Resolver benutzten DNS Server (i.d.R. die des eigenen Providers) unter seine Kontrolle bringen (unwahrscheinlich) oder
- eigene DNS-Server bereitstellen (einfach) und den Host dazu bringen, über diesen eine Adresse auflösen zu wollen, was bedeutet den Benutzer zu veranlassen eine URL einzugeben oder andere Funktionen (eMail via lokalem Exim etc) anzusprechen die eine Auflösung genau zu einer Domain vorzunehmen, zu der der Angreifer einen DNS Server bereithält, oder
- als Man-in-the-Middle die Antwortpakete von DNS-Servern zu verfälschen.
- Es reicht also nicht, alle Hosts einfach mit Paketen zu beballern, man muss als Angreifer schon zum passenden Zeitpunkt die Antwort-Pakete des angesprochenen DNS senden. Ein öffentlicher Exploit-Code ist meines Wissens derzeit nicht bekannt. Das die CrimeWare Szene daran arbeitet, kann man annehmen.
- Die Ausnutzbarkeit bleibt aber auf die Fälle 1 bis 3 eingeschränkt. Man wird sehen, was die Hacker daraus machen.
Ist der WireGate Server betroffen?- Vermutlich nicht. Ein erster Blick zeigt, dass beim WireGate Server derzeit die libc 2.7-18lenny7 vom 22. Januar 2011 verwendet wird. Darin sollte der Fehler nicht enthalten sein. Manchmal sind gute alte abgehangene Systeme nicht so schlecht....
- Wir werden uns damit jedoch ab Morgen intern nochmal abstimmen und alle Meinungen zusammentragen.
Richtig. Wir haben bereits damit begonnen einen eMail-Newsletter einzurichten. Muss nur noch fertiggestellt werden. Darüber könnten wir dann über alles informieren, auch über Notfall-Sicherheits-Patches. Wird in den nächsten Wochen zur Verfügung gestellt.Zitat von derBert Beitrag anzeigen
Nun, einfach automatisch eine eMail ist nicht erlaubt, da muss der Kunde schon per Double-Opt-In zustimmen. Aber das wird dann die Newsletter Funktion im Shop übernehmen.Zitat von derBert Beitrag anzeigen
Das WireGate New Generation wird auf Basis Debian Jessie entwickelt.Zitat von heckmannju Beitrag anzeigen
lg
StefanKommentar
Kommentar