"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Aktuelle Sicherheitslücken

Hansmaulwurf 20.04.2014 - 11:17 258753 834 Thread rating
Posts

enjoy

Addicted
Registered: Sep 2000
Location: Tullnerfeld
Posts: 410

Die Meldung bei BleepingComputer dazu https://www.bleepingcomputer.com/ne...-linux-servers/
Im Forum von BleepingComputer gibt es offensichtlich auch den Code zu NextCry https://www.bleepingcomputer.com/fo...ypting-nextcry/
bzw. Link zum Forum von Nextcloud https://help.nextcloud.com/t/nextcr...stance/64154/18

Updates für Nextcloud einspielen (wenn noch nicht erledigt) und noch wichtiger, ein Backup machen, sind vielleicht gute Ideen ;)

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
Ui danke. Muss ich gleich heute machen!! Danke fürs erinnern. Die Sicherheitslücke in NGINX die nextcloud erwähnt hat vor nem Monat muss ich auch noch behandeln. Damn it
Bearbeitet von charmin am 18.11.2019, 20:14

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4095
danke! mache auch gerade ein update.

edit:
Zitat
Update 11/18/19: NextCloud has told BleepingComputer that after conducting an investigation they are confident that the attacker is exploiting the PHP -FPM vulnerability that they issued an advisory on.

We've been looking into the reports on the forum and source of the virus. We are confident that the attack vector was the nginx+php-fpm security issue that hit the web some time ago.

While it was not an issue in Nextcloud itself, we informed our users through all channels we had available, including a direct notification to Nextcloud servers. This likely explains why so few servers were impacted out of the hundreds of thousands of Nextcloud servers on the web.

BleepingComputer advises users to upgrade to PHP 7.3.11 or PHP 7.2.24, depending on development branch being used, to fix this vulnerability.

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
Uff k, war also genau der käse. Muss ich gleich machen. Danke

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
würd mir jetzt gern das php 7.2.24 installieren. hab die 7.2.19 oben.
auf meinen added repos is aber 7.2.19 die neueste.

wie mach ich da jetzt am besten weiter? hätte händisch builden probiert, aber so ganz blick ich nicht durch, er findet nachm ./configure kein make file...

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4095
welche distri?
ich habe gestern ein repo (nach dieser anleitung) hinzugefügt weil in den normalen von ubuntu 18.04 keine aktuellere version drin war als ich eh schon hatte. (das apache2 repo vom gleichen maintainer hab ich dann auch hinzugefügt und alles updated)

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Wenn du eine Distribution fuer Erwachsene verwendest, kuemmert die sich darum, die Sicherheitskorrektur fuer deine aus den offiziellen Paketen installierte Version bereitzustellen. Da musst du nicht panikerfuellt pfuschen, und dir deine Installation dabei quasi-irreparabel beschaedigen.

Irgendwelchen 3rd-Party-Repos oder PPAs gegenueber waere ich *extrem* misstrauisch. Wenn du nicht absolut sicher bist, dass du die Aenderungen gegenueber deine Distribution unbedingt brauchst, und dass du dem Maintainer der Paketquelle vertrauen (nicht nur in Sachen technischer Kompetenz) kannst: Finger weg!

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
ubuntu server 19.04 läuft bei mir.

@COLOSSUS: das sind genau meine bedenken.

hab den config entry in der nginx config mal geändert. das php update gibts noch nicht auf ondrejs repo, zumindest für 18.04 nicht. hab gestern upgegraded

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4095
Die bedenken habe ich auch. Aber i hab halt panikerfüllt gepfuscht.

Ist PHP 7.4 auch betroffen?

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Wenn ihr Ubuntu auf einem Server einsetzt, solltet ihr


Da gibt es dann solche beruhigenden Meldungen zu lesen:
https://lists.ubuntu.com/archives/u...ber/005166.html

(Die einen aber halt nur dann betreffen, wenn man auch wirklich die Software aus den Ubuntu-Paketquellen verwendet!)

wergor

connoisseur de mimi
Avatar
Registered: Jul 2005
Location: vulkanland
Posts: 4095
Bei mir läuft 18.04LTS. apt-get hat mir gestern keine gepatchte Version von PHP installiert.

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
Danke COLOSSUS für deine Expertenmeinung. :ghug:

Bei mir bietet er jedoch auch noch kein update an. auch nicht in den ubuntu repos oder überseh ich was?

edit: okay. jetzt findet ers. bei 18.04 hat ers mir noch nicht angeboten.

Bearbeitet von charmin am 19.11.2019, 16:37

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Laut Artikel wird fuer diese Attacke die Schwachstelle, die in CVE-2019-11043 beschrieben ist, ausgenutzt. Genau diese wird durch https://usn.ubuntu.com/4166-1/ (hab ich oben als im ML-Archiv verlinkt) gefixt - siehe ganz unten unter "References".

Ihr wart mit Ubuntu 18.04 (o. ae.; siehe Advisory fuer Details) und einem via `sudo apt update && sudo apt dist-upgrade` angeforderten, systemweiten Update fuer alle installierten Pakete seit etwa 28. Oktober nicht mehr verwundbar fuer diesen Angriff, _wenn_ ihr die offiziellen Ubuntu-Paketquellen verwendet. (Genau dieser Komfort ist der grosze Vorteil beim Benutzen einer Distribution.)

charmin

Super Moderator
10x
Avatar
Registered: Dec 2002
Location: aut_sbg
Posts: 14572
k danke!

COLOSSUS

Administrator
GNUltra
Avatar
Registered: Dec 2000
Location: ~
Posts: 12070
Der Vollstaendigkeit halber - wenn ihr checken wollt, ob ihr das Paket mit dem Fix schon installiert habt, fuehrt ihr `apt policy <PaketName>` aus. Unter Debian hier (selbes Tooling, aber andere Paketversionsstrings) schaut das so aus:

Code:
$ apt policy php7.3-fpm
php7.3-fpm:
  Installed: 7.3.11-1~deb10u1
  Candidate: 7.3.11-1~deb10u1
  Version table:
 *** 7.3.11-1~deb10u1 500
        [...]
        100 /var/lib/dpkg/status

Dann vergleicht ihr den Versionsstring, den ihr hinter "Installed:" gelistet bekommt, mit dem aus dem Advisory. Ist der aus dem Advisory niedriger/aelter oder gleichlautend wie aus eurem Kommando weiter oben, ist alles OK, und ihr habt eine Version mit dem Fix installiert.


Die Interpretation von Verionsstrings von Debian-Paketen ist oft etwas kryptisch, und kann auch vom Computer erledigt werden:
Code:
$ dpkg --compare-versions "7.2.24-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed
OK
$ dpkg --compare-versions "7.2.23-0ubuntu0.18.04.1" ">=" "7.2.24-0ubuntu0.18.04.1" && echo OK || echo unfixed
unfixed
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz