enjoy
Addicted
|
|
charmin
Super Moderator10x
|
Ui danke. Muss ich gleich heute machen!! Danke fürs erinnern. Die Sicherheitslücke in NGINX die nextcloud erwähnt hat vor nem Monat muss ich auch noch behandeln. Damn it
Bearbeitet von charmin am 18.11.2019, 20:14
|
wergor
connoisseur de mimi
|
danke! mache auch gerade ein update. edit: Update 11/18/19: NextCloud has told BleepingComputer that after conducting an investigation they are confident that the attacker is exploiting the PHP -FPM vulnerability that they issued an advisory on.
We've been looking into the reports on the forum and source of the virus. We are confident that the attack vector was the nginx+php-fpm security issue that hit the web some time ago.
While it was not an issue in Nextcloud itself, we informed our users through all channels we had available, including a direct notification to Nextcloud servers. This likely explains why so few servers were impacted out of the hundreds of thousands of Nextcloud servers on the web.
BleepingComputer advises users to upgrade to PHP 7.3.11 or PHP 7.2.24, depending on development branch being used, to fix this vulnerability.
|
charmin
Super Moderator10x
|
Uff k, war also genau der käse. Muss ich gleich machen. Danke
|
charmin
Super Moderator10x
|
würd mir jetzt gern das php 7.2.24 installieren. hab die 7.2.19 oben. auf meinen added repos is aber 7.2.19 die neueste.
wie mach ich da jetzt am besten weiter? hätte händisch builden probiert, aber so ganz blick ich nicht durch, er findet nachm ./configure kein make file...
|
wergor
connoisseur de mimi
|
welche distri? ich habe gestern ein repo (nach dieser anleitung) hinzugefügt weil in den normalen von ubuntu 18.04 keine aktuellere version drin war als ich eh schon hatte. (das apache2 repo vom gleichen maintainer hab ich dann auch hinzugefügt und alles updated)
|
COLOSSUS
AdministratorGNUltra
|
Wenn du eine Distribution fuer Erwachsene verwendest, kuemmert die sich darum, die Sicherheitskorrektur fuer deine aus den offiziellen Paketen installierte Version bereitzustellen. Da musst du nicht panikerfuellt pfuschen, und dir deine Installation dabei quasi-irreparabel beschaedigen.
Irgendwelchen 3rd-Party-Repos oder PPAs gegenueber waere ich *extrem* misstrauisch. Wenn du nicht absolut sicher bist, dass du die Aenderungen gegenueber deine Distribution unbedingt brauchst, und dass du dem Maintainer der Paketquelle vertrauen (nicht nur in Sachen technischer Kompetenz) kannst: Finger weg!
|
charmin
Super Moderator10x
|
ubuntu server 19.04 läuft bei mir.
@COLOSSUS: das sind genau meine bedenken.
hab den config entry in der nginx config mal geändert. das php update gibts noch nicht auf ondrejs repo, zumindest für 18.04 nicht. hab gestern upgegraded
|
wergor
connoisseur de mimi
|
Die bedenken habe ich auch. Aber i hab halt panikerfüllt gepfuscht.
Ist PHP 7.4 auch betroffen?
|
COLOSSUS
AdministratorGNUltra
|
Wenn ihr Ubuntu auf einem Server einsetzt, solltet ihr Da gibt es dann solche beruhigenden Meldungen zu lesen: https://lists.ubuntu.com/archives/u...ber/005166.html(Die einen aber halt nur dann betreffen, wenn man auch wirklich die Software aus den Ubuntu-Paketquellen verwendet!)
|
wergor
connoisseur de mimi
|
Bei mir läuft 18.04LTS. apt-get hat mir gestern keine gepatchte Version von PHP installiert.
|
charmin
Super Moderator10x
|
Danke COLOSSUS für deine Expertenmeinung. Bei mir bietet er jedoch auch noch kein update an. auch nicht in den ubuntu repos oder überseh ich was? edit: okay. jetzt findet ers. bei 18.04 hat ers mir noch nicht angeboten.
Bearbeitet von charmin am 19.11.2019, 16:37
|
COLOSSUS
AdministratorGNUltra
|
Laut Artikel wird fuer diese Attacke die Schwachstelle, die in CVE-2019-11043 beschrieben ist, ausgenutzt. Genau diese wird durch https://usn.ubuntu.com/4166-1/ (hab ich oben als im ML-Archiv verlinkt) gefixt - siehe ganz unten unter "References". Ihr wart mit Ubuntu 18.04 (o. ae.; siehe Advisory fuer Details) und einem via `sudo apt update && sudo apt dist-upgrade` angeforderten, systemweiten Update fuer alle installierten Pakete seit etwa 28. Oktober nicht mehr verwundbar fuer diesen Angriff, _wenn_ ihr die offiziellen Ubuntu-Paketquellen verwendet. (Genau dieser Komfort ist der grosze Vorteil beim Benutzen einer Distribution.)
|
charmin
Super Moderator10x
|
k danke!
|
COLOSSUS
AdministratorGNUltra
|
Der Vollstaendigkeit halber - wenn ihr checken wollt, ob ihr das Paket mit dem Fix schon installiert habt, fuehrt ihr `apt policy <PaketName>` aus. Unter Debian hier (selbes Tooling, aber andere Paketversionsstrings) schaut das so aus: $ apt policy php7.3-fpm
php7.3-fpm:
Installed: 7.3.11-1~deb10u1
Candidate: 7.3.11-1~deb10u1
Version table:
*** 7.3.11-1~deb10u1 500
[...]
100 /var/lib/dpkg/status
Dann vergleicht ihr den Versionsstring, den ihr hinter "Installed:" gelistet bekommt, mit dem aus dem Advisory. Ist der aus dem Advisory niedriger/aelter oder gleichlautend wie aus eurem Kommando weiter oben, ist alles OK, und ihr habt eine Version mit dem Fix installiert. Die Interpretation von Verionsstrings von Debian-Paketen ist oft etwas kryptisch, und kann auch vom Computer erledigt werden: $ dpkg --compare-versions "7.2.24-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed
OK
$ dpkg --compare-versions "7.2.23-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed
unfixed
|