|
|
|
|
CVE-2017-7526
Daniel J. Bernstein, Joachim Breitner, Daniel Genkin, Leon Groot
Bruinderink, Nadia Heninger, Tanja Lange, Christine van Vredendaal and
Yuval Yarom discovered that Libgcrypt is prone to a local side-channel
attack allowing full key recovery for RSA-1024.
See https://eprint.iacr.org/2017/627 for details.
Gut, RSA-1024 benutzt hoffentlich eh niemand mehr.
| It is widely believed that, even if the complete pattern of squarings and multiplications is observed through a side-channel attack, the number of exponent bits leaked is not sufficient to carry out a full key-recovery attack against RSA. | |
"Es wird weithin angenommen, dass das Leck im Kernreaktor nicht groß genug ist, als das eine Gefahr für die Bevölkerung bestände."
| We also provide strong evidence that the same attack works for RSA-2048 with only moderately more computation. | |
"Es besteht keine Gefahr für die Bevölkerung."
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 02.07.2017 23:19]
|
|
|
|
|
|
oha, der zweite autor hat mit mir hier studieren angefangen \o/.
scheint ein paar coole wege genommen zu haben, was er so das letzte jahr gemacht hat hab ich dann nichtmehr mitgekriegt.
|
|
|
|
|
|
|
Dann muss ich libgcrypt in meiner Anwendung aktualisieren
Gerade eine Email an unseren Berater geschickt.
| Technisch geht das in Ordnung! Blabla Details Blubb... | |
Antwort: Er versteht nur Bahnhof.
Unabhaengig von von den aktuellen Nachrichten bei Heise habe ich mir jetzt hoffentlich guenstig (unter 300 Euro) ein iPhone SE (32 GB in Grau) bestellt. Ich freue mich auf ein gutes Display und eine grosse Auswahl an Apps, aber ohne SCP und SSH zu leben tut schon weh. Vor allem weil Jolla vieles richtig gemacht hat (UI, Konsistenz, nervt nicht bei staendig eingehenden Nachrichten, eingebautes SSH, Double-Tap zum Aufwachen, LED, Updates alle paar Monate...). Meine Lieblingsapp fuer den Sport war auf dem Jolla kostenlos unter iOS und Android kostet das. Ich wollte dem Entwickler sowieso ein kleine Spende zukommen lassen. Typisch Apple, gleich nochmal mehr bezahlen weil Apple. Kann es aber nicht leugnen, ich freue mich auf das kleiner Gehaeuse und das Retina-Display. Ausserdem sollte die Kamera Bilder aufnehmen koennen, die etwas ueber dem Niveau der letzten Nokiahandys liegen
Gibt irgendwer den Besitz von Applehardware offen zu? Irgendwelche Tipps?
PS: Ich verliere inzwischen staendig den Funkkontakt und der USB-Port wird immer unzuverlaessiger. XMPP war wirklich toll integriert, zugleich Fehlen die interessanten Featuers bei XMPP (JINGLE mit Video und OMEMO-Verschluesselung).
|
[Dieser Beitrag wurde 9 mal editiert; zum letzten Mal von hoschi am 03.07.2017 14:58]
|
|
|
|
|
|
Du freust dich auf ein nichtmal-720p-Display?
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von B0rG* am 03.07.2017 16:50]
|
|
|
|
|
|
|
|
|
|
Mein Poorfag-Moto-G hat ja mehr Pixel
--
http://securityaffairs.co/wordpress/60645/hacking/osci-communication-library-flaws.html
- Sie benutzen CBC, ergo ist die Verschlüsselung gleich dreimal kaputt (Padding Oracle)
- Sie benutzen XML, ergo XXE (DoS + lokale Dateien lesen)
- Sie benutzen XML-Signaturen, ergo kann man Signaturen fälschen
- Die Library macht diesen komischen Auto-Deserialisierungs-Handler-Zeugs der schonmal ganz viele Java-Anwendungen zerschossen hat (u.a. Jenkins)
|
|
|
|
|
|
|
ihr habt alle euer systemkraut aktualisiert?
ist ein wenig remote exploitable...
|
|
|
|
|
|
|
|
|
|
|
| Zitat von hoschi
(...)
Unabhaengig von von den aktuellen Nachrichten bei Heise habe ich mir jetzt hoffentlich guenstig (unter 300 Euro) ein iPhone SE (32 GB in Grau) bestellt. Ich freue mich
(...)
| |
Richard GNU/Stallmann verachtet dich und ich kann dich ab jetzt parallel dazu nicht mehr ernst nehmen. Die anderen hier haben wenigstens nichtmal versucht, den Anschein zu erwecken, das vollständig OSS-konform zu leben.
Wenigstens warst du ehrlich.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von teK am 04.07.2017 0:08]
|
|
|
|
|
|
Immerhin ein halbwegs sicheres Gerät.
|
|
|
|
|
|
|
| Zitat von Traxer
ihr habt alle euer systemkraut aktualisiert?
ist ein wenig remote exploitable...
| |
Was? Also falls du systemd meinst, das habe ich noch nie benutzt. Entsprechend habe ich nur neulich wegen dem glibc-Gedöns aktualisieren müssen.
|
|
|
|
|
|
|
| Zitat von TheRealHawk
Immerhin ein halbwegs sicheres Gerät.
| |
touché
|
|
|
|
|
|
|
Mit der Schande muss ich leben, ich hatte ja schon mal ein MacBook*. Die PPI /Pixeldichte nimmt, fuer mich, deutlich zu, die Aufloesung ist als Gradmesser nicht geeignet. Ich war damals schon vom iPhone4 beeindruckt und hatte noch nie sowas. Haette das Moto G5 eine LED, haette ich es dem iPhone vorgezogen, trotz der 5' Zoll. Mein Jolla ist mir zu gross mit 5' Zoll, da hat ausgerechnet nur Apple mal auf die Kunden gehoert.
* Uebler Fehler. Es war teuer, verspiegelt und die ThinkPad-Tastauren sind viel besser.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 04.07.2017 0:23]
|
|
|
|
|
|
diese systemd erstes-zeichen-ne-ziffer-benutzernamen sache produziert bei mir echt nur fragezeichen.
ich mein was stört es die anstatt das dann zu ignorieren nen fehler auszugeben und abzubrechen. bis auf dass man nett ist und dem benutzer sagt dass er was falsch gemacht hat bricht denen doch kein zacken aus der krone... manchmal, ok oft, kann ich die echt nicht verstehen....
wenn man nen syntaxfehler in ner zeile hat ignorieren sie sie ja auch nicht einfach...
|
|
|
|
|
|
|
Die Argumentation ist da schon etwas krus, ja.
Prämissen:
1.) systemd ignoriert unbekannte Direktiven mit einer Warnung
2.) systemd wirft einen Fehler bei fehlerhaften Werten in Direktiven
Was Nutzer denken:
Selbst wenn der Nutzername falsch ist, müsste ja 2.) greifen und es einen Fehler geben (d.h. Unit funktioniert nicht).
Was Pöttering sagt:
2.) heißt "Direktive ist semantisch falsch". Aber "0day" ist für systemd syntaktisch kein gültiger Benutzername, deswegen ist "User=0day" keine syntaktisch gültige Direktive, deswegen gibt es nach 1.) nur eine Warnung, und der Default ist aktiv ("User=root").
(Gegenbeispiel: Restart=foobar sagt m.E. das die ganze Unit ungültig ist)
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von csde_rats am 04.07.2017 1:14]
|
|
|
|
|
|
|
|
|
|
Habe jetzt mal kurz bei Heise nachgelesen wegen dem Systemd-Bug. Klassischer Lennart eben, Torvalds wuerde willkuerlich jemand als Hurensohn des finnischen Belzebubs bezeichnen und dann recht sinnvoll reagieren. Der Default auf root ist einfach falsch und gefaehrlich, der Dienst sollte nicht starten und der Superuser erkennt das Problem. Hoffentlich kriegt Lennart genug oeffentlichen Gegenwind, so dass er es ausnahmsweise begreift. Ich fahre dieses Jahr nicht zur GUADEC, also kann ich ihm das nicht erklaeren
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 04.07.2017 10:37]
|
|
|
|
|
|
|
|
|
|
| Zitat von Traxer
alleine das der default user "root" ist, sollte so einigen admins zu denken geben.
| |
hmm, das seh ich nicht so.
die meisten services die da gestartet werden werden immer noch als root gestartet.
da dann nicht bei jedem ein
User=root
Group=root
mit reinpacken zu müssen ist schon in ordnung.
bzw eben halt als der user der es grade startet (bei den systemctl --user kontexten ist das halt auch).
startest was per systemd als root, wirds als root ausgeführt, startest was als --user natürlich als dein user.
ausser da ist ein User=<irgendwasanderes> spezifiziert.
wenn das irgendwas falsch ist, dann sollte er aber halt nen fehler werfen und nicht stattdessen dann root annehmen (der admin hatte ja anscheinend vor dass nicht als root laufen zu lassen, insofern ist der fallback da auch nicht ein irgendwie "ich helf dir mal weiter", sondern nen einfaches und sehr gefährliches "selber schuld")
|
|
|
|
|
|
|
jo dacht ich mir auch, aber entweder ich überseh was oder das ist auf keinem meiner maschinen (debian jessie und stretch) im einsatz?
unter stretch gibts nen systemd-resolve aber halt ohne d.. ka ob das das gleiche ist ehrlichgesagt aber über die debian security mailingliste kam jetzt auch nichts die letzten paar tage.
|
|
|
|
|
|
|
|
|
|
|
Hat jemand ne Ahnung, womit dieses Popup hier zusammenhängen könnte?
Kommt in letzter Zeit dauernd und nervt nur noch.
Wenn ich auf "Update Plugin" drücke kommt ne Anleitung zum Flashplayer installieren. Den benutze ich aber nicht.
|
|
|
|
|
|
|
Welchen Browser hast du den da? Es koennte Epiphany sein, Chrome halt ich auch für möglich. Ich vermute mal das ist twitch.tv? Und $1
Ich vermute mal du bist mit Chrome auf twitch.tv, der hat einen eingebauten Flashplayer. Versuch mal in einen HTML5-Mode zu schalten oder so.
PS: Generell bitte viel mehr Informationen geben, Glaskugel und so
PPS: Mach mal ein Update von deinem Chrome.
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 06.07.2017 16:51]
|
|
|
|
|
|
Alter zahl halt einfach den einen Dollar und gut ist, Mensch.
|
|
|
|
|
|
|
| Zitat von hoschi
Welchen Browser hast du den da? Es koennte Epiphany sein, Chrome halt ich auch für möglich. Ich vermute mal das ist twitch.tv? Und $1
Ich vermute mal du bist mit Chrome auf twitch.tv, der hat einen eingebauten Flashplayer. Versuch mal in einen HTML5-Mode zu schalten oder so.
PS: Generell bitte viel mehr Informationen geben, Glaskugel und so
PPS: Mach mal ein Update von deinem Chrome.
| |
Sorry, ist das neueste Chromium auf dem neuesten Arch Linux. Hab auch seit das angefangen hat mehrmals geupdatet. Habe allerdings in den Einstellungen Flash generell ausgeschaltet, daher weiß ich nicht warum er sich am Out-of-Date-Sein von $1 (Flash) aufregt.
edit: beim (neuesten) Chrome gibt's das Problem nicht
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von mYstral am 06.07.2017 18:14]
|
|
|
|
|
|
Geloest. Warum er sich aufregt?
NPAPI, Flash, Google, Pepper-Flash oder das neue andere Flash. Google hat mit Adobe zusammen schon ein huebsches Chaos angerichtet, vor allem steckt Flash fest in Chrome aber nicht Chromium und $1 ist vielleicht irgend eine Griff in eine falsche oder nicht vorhande Variable
Davon abgesehen, dieses twitch.tv funktioniert bei mir mit Epiphany und ich habe kein Flash installiert.
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 06.07.2017 19:06]
|
|
|
|
|
|
Ich habe jetzt das Level mit Gtk3 erreicht, bei dem mir nervige Bugs auf die Füße fallen. Wie immer eine bittere Pille, aber zum Glück nicht in einem kritischen Bereich und ich habe eine Lösung gefunden. Und ich bin gefangen in einem endlosen Entscheidungsloop. Nutze ich besser die C-Funktionen (nicht deprecated), die eleganteren C++-Funktionen (deprecated) oder die aktuelle C++-Funktion bei der mir die zweite Funktion fehlt
Zeit für die Mailingliste.
|
[Dieser Beitrag wurde 3 mal editiert; zum letzten Mal von hoschi am 06.07.2017 19:11]
|
|
|
|
|
|
| Zitat von hoschi
Davon abgesehen, dieses twitch.tv funktioniert bei mir mit Epiphany und ich habe kein Flash installiert.
| |
Ich hab jetzt mal alle Flash-Versionen deinstalliert, jetzt kommt das Popup auch nicht mehr.
Hoffe, dass ich den Mist auch nicht mehr brauchen werde.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Thema: Der Linux-Thread 100 // 0x23 ( const int MAX_POST = 30 * 100; // 0x23 ) |