Apr 14 07

heartbleed“A potentially very serious bug in OpenSSL 1.0.1 and 1.0.2 beta has been discovered that can leak just about any information, from keys to content. Better yet, it appears to have been introduced in 2011, and known since March 2012.” Juha Saarien

“A missing bounds check in the handling of the TLS heartbeat extension can be used to reveal up to 64k of memory to a connected client or server.” security advisory

The attack may be repeated and it appears trivial to acquire the host’s private key. If you were running a vulnerable release, it is even suggested that you go as far as revoking all of your keys. Distributions using OpenSSL 0.9.8 are not vulnerable (Debian Squeeze vintage). Debian Wheezy, Ubuntu 12.04.4, Centos 6.5, Fedora 18, SuSE 12.2, OpenBSD 5.4, FreeBSD 8.4, and NetBSD 5.0.2 and all following releases are vulnerable. OpenSSL released 1.0.1g today addressing the vulnerability. Debian’s fix is in incoming and should hit mirrors soon, Fedora is having some trouble applying their patches, but a workaround patch to the package .spec (disabling heartbeats) is available for immediate application.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

written by d45id \\ tags: , , , ,

Jan 14 20

tux_guardDie neue Kernelversion 3.13 hat nun einen neuen Paketfilter mit an Bord, Nftables.
Nftables entwickelt vom Netfilter-Projekt hat sich zum Ziel gesetzt die existierenden Frameworks wie {ip,ip6,arp,eb}tables – die u.a. auch von ihnen stammen – zu ersetzen …

Siehe hierzu auch:

Talk about nftables at Kernel Recipes 2013
Nftables quick howto

written by d45id \\ tags: , , ,

Dez 13 23

sourcecodeJakob Lell demonstriert ausführlich in seinem Artikel “Practical malleability attack against CBC-Encrypted LUKS partitions” wie sich ein Angriff auf die Systemverschlüsselung unter Linux mit Linux Unified Key Setup (LUKS) im Cipher-Block-Chaining (CBC) Modus realisieren lässt.

 

written by d45id \\ tags: , , , ,

Nov 13 08

puffy-sshWie heute das OpenSSH-Projekt in einem Advisory bekannt gab existiert eine Memory Corruption-Problem, welches im Prinzip zu einer aus der Ferne ausnützbaren Sicherheitslücke führen kann.
Zwar lässt sich diese Lücke anscheinend nur nach erfolgreicher Anmeldung am System ausnutzen, dennoch empfiehlt es sich den angegebenen Workaround zu implementieren bzw. auf die entsprechend gepatchte Version upzugraden.

Noch ist nicht bekannt, dass Exploits die dieses Problem ausnützen können, existieren bzw. in Verwendung sind – da der Quellcode von OpenSSH offen ist, ist jedoch davon auszugehen, dass dies sehr bald der Fall sein wird. Continue reading »

written by d45id \\ tags: , , ,

Nov 13 02

Konsole 1:

root@nyx:/home/d45id# dd if=/dev/urandom of=/dev/sdb bs=4M

Konsole 2 (PID ermitteln):

d45id@nyx:~$ ps -ef | grep -w '[d]d'
 
root      2851  2841 99 17:20 pts/1    00:00:14 dd if=/dev/urandom
of=/dev/sdb bs=4M

Konsole 2 (USR1 abschicken):

root@nyx:/home/d45id# kill -USR1 2851
 
root@nyx:/home/d45id# kill -USR1 2851

Jedes mal, wenn dd dieses Signal erhält, gibt es auf dem ersten Terminal
eine kurze Statistik der bis dahin gesendeten und empfangenen Bytes aus:

109+0 Datensätze ein
 
108+0 Datensätze aus
 
452984832 Bytes (453 MB) kopiert, 51,2639 s, 8,8 MB/s
 
250+0 Datensätze ein
 
249+0 Datensätze aus
1044381696 Bytes (1,0 GB) kopiert, 117,451 s, 8,9 MB/s

written by d45id \\ tags: , ,

Apr 13 26

tux_guardThe Spamhaus Project is an international organization who track email spammers and spam-related activity.
The Spamhaus Project is also compiling very widely used anti-spam lists. One of these lists contains IP blocks from “verified spam sources”. These kind of sources are per default evil and I am not interested to communicate with theme so I wrote a little bash script which blocks all of these bad guys.

#!/bin/bash
# Generate automatic firewall rules to block bad IPs listed on spamhaus.org
FILE=/tmp/drop.lasso
wget -O $FILE http://www.spamhaus.org/drop/drop.lasso
iptables -F ; flush iptables, comment line if you use other rules 
for ipblock in `egrep -v '^;' $FILE | awk '{print $1}'`
do
 iptables -I INPUT -s $ipblock -j DROP 
done

written by d45id \\ tags: , , , ,

Mrz 13 28

TerminalAus gegebenen Anlass möchte ich aufzeigen wie sich Rechenoperationen auf UNIX/Linux CLI durchführen lassen. Diese Operationen lassen sich natürlich auch in Skripten verwenden.
Im folgenden möchte ich vier Möglichkeiten zur Berechnung vorstellen, die sich auf so ziemlich jedem aktuellen UNIX/Linux anwenden lassen. Continue reading »

written by d45id \\ tags: , , , , , , , ,

Jan 13 02

An easier way to update the firmware of your Raspberry Pi it to use rpi-update written by Hexxeh.

To install the tool, run the following command:

sudo wget http://goo.gl/1BOfJ -O /usr/bin/rpi-update && 
sudo chmod +x /usr/bin/rpi-update

If you get errors relating to certificates, then the problem is likely due to one of two things. Either the time is set incorrectly on your Raspberry Pi, which you can fix by simply setting the time using NTP. The other possible issue is that you might not have the ca-certificates package installed, and so GitHub’s SSL certificate isn’t trusted. If you’re on Debian, you can resolve this by typing:

sudo apt-get install ca-certificates

To then update your firmware, simply run the following command:

sudo rpi-update

To upgrade/downgrade to a specific firmware revision, specify it’s Git hash as follows:

rpi-update <git hash> 

If you’d like to set a different GPU/ARM memory split, then define gpu_mem in /boot/config.txt.

written by d45id \\ tags: , , ,