Protected: heise.de: Bash-Lücke: ShellShock ist noch nicht ausgestanden

This content is password protected. To view it please enter your password below:

Advertisements

Golem.de: Bash-Lücke: Die Hintergründe zu Shellshock

Golem.de: Bash-Lücke: Die Hintergründe zu Shellshock
Inzwischen wird die Bash-Sicherheitslücke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollständig. Wir haben die wichtigsten Hintergründe zu Shellshock zusammengefasst. ANZEIGE Sie hatte zwar zunächst keinen eingängigen Namen und kein Logo, aber die jüngste Sicherheitslücke in der Kommandozeile Bash ist nach Ansicht vieler Fachleute ebenso dramatisch einzuschätzen wie der inzwischen berühmte Heartbleed-Bug. Inzwischen wird sie fast überall als Shellshock bezeichnet, ihre offizielle ID ist CVE-2014-6271, in der CVE-Datenbank des NIST wurde die Lücke mit der maximalen Gefährlichkeit von zehn Punkten eingestuft. Kern des Problems ist eine Funktionalität von Bash, bei der in beliebigen Variablen direkt Funktionen definiert werden können. Dabei ist es egal, wie die Variable heißt. Der entdeckte Fehler führt dazu, dass hinter einer solchen Funktionsdefinition weiterer Code ungeprüft ausgeführt wird, auch dann, wenn die entsprechende Funktion überhau

darknedgy.net: uselessd :: information system – use less

darknedgy.net: uselessd :: information system – use less
Support for compilation under musl and uClibc. This has meant eradicating plenty of GNUisms, including ones that spread out as deeply as requiring specific printf(3) semantics. No journald. Consequently, this also means no libqrencode and libmicrohttpd integration, nor hooking coredumps to the journal. The default log target for auxiliaries is now LOG_TARGET_KMSG_OR_SYSLOG. The main case against binary logs is their corruptibility. This happens more often than you’d think, due to not having any transaction consistency, as an RDBMS would. The advice of the systemd developers on handling this? Ignore it. Otherwise, the main legitimate case for binary logs (but actually journald in particular) is Forward Secure Sealing. This is no longer a dealbreaker, since rsyslog supports log signing through GuardTime since 3.7.9 now. You can also use a combination of OpenSSL or the NSS signtool plus logrotate jobs to verify log authenticity, though this is more intricate. Secondary concerns includ

boycott systemd

boycott systemd
systemd is viral by its very nature. Its scope in functionality and creeping in as a dependency to lots of packages means that distro maintainers will have to necessitate a conversion, or suffer a drift. As an example, the GNOME environment has adopted systemd as a hard dependency since 3.8 for various utilities, including gdm, gnome-shell and gnome-extra-apps7. This means GNOME versions >=3.8 are incompatible with non-Linux systems, and due to GNOME’s popularity, it will help tilt a lot of maintainers to add systemd. The rapid rise in adoption by distros such as Debian, Arch Linux, Ubuntu, Fedora, openSUSE and others shows that many are jumping onto the bandwagon, with or without justification. It’s also worth noting that systemd will refuse to start as a user instance, unless the system boots with it as well – blatant coercion8.

RYNO Motors

RYNO Motors
With the RYNO, you’re not limited to the street or the bike lane. It’s a transitional vehicle – it goes most places where a person can walk or ride a bike. In an effort to get people out of their cars, cities are trending to allow personal mobility products to mix with pedestrian traffic. See our Regulatory Page for more information on where you can ride.”