Wir werden alle sterben™

Der Artikel im Blog von Project Zero widmet sich auch in einem eigenen Absatz „Reading host memory from a KVM guest“:

1 „Gefällt mir“

In diesem Twitter-Thread stehen wohl die wichtigsten Infos für unsere GWs:

https://twitter.com/dustinkirkland/status/949010122738630658

2/ @Ubuntu users of the 64-bit x86 architecture (aka, amd64) can expect updated kernels by the original January 9, 2018 coordinated release date, and sooner if possible.

3/ Updates will be available for:

  • Ubuntu 17.10 (Artful) – Linux 4.13 HWE
  • Ubuntu 16.04 LTS (Xenial) – Linux 4.4 (and 4.4 HWE)
  • Ubuntu 14.04 LTS (Trusty) – Linux 3.13
  • Ubuntu 12.04 ESM** (Precise) – Linux 3.2

Wir sollten daher die Kernel-Versionen auf unseren Maschinen prüfen.

Das ist quasi der Super - GAU.
Mit allen Kerneln > 4.9.0-0.bpo.3-amd64 funtioniert der Tunneldigger nicht mehr.
Um das zu beheben muss der Tunneldigger auf den Gateways aktualisiert werden und ALLE knoten brauchen eine neue Firmware die den neuen Tunneldigger enthält.

Quelle:

Was ist mit

?

Da gabs doch irgendwelche Probleme mit bird, oder? (bin mir da nicht mehr sicher)


Heute ist der Super-GAU-Tag. Immer wenn man denkt, schlimmer kann es nicht mehr werden, wird es noch schlimmer. :open_mouth:

1 „Gefällt mir“

Keine ahnung… aber der Bug im Kernel der den Bug im Tunneldigger hat funktionieren lassen wird auch im aktuellen Ubuntu Kernel gefix sein…

Wir haben noch ca 1,5 Stunden im Heute… Vlt schaffen wer noch ne Kernschmelze :see_no_evil:

1 „Gefällt mir“

Falls wir aber wirklich auf 4.4 zurück gehen, sollten wir aber das BATMAN Kernelmodul in einer aktuellen version selbst bauen.

Außerdem möchte ich noch auf dieses Problem verweisen:

Wir sollten auf jeden Falls, falls wir auf 4.4 zurück gehen sollten das VOR dem 9.1. auf 1-2 GWs testen, sodass wir mit dem Release des Patches direkt überall ausrollen können.


Wie weit liegt dieser denn in der Zukunft?

1 „Gefällt mir“

ab wann es kapod ist?
Ab dem Debian BPO.4

Ne, ab wann es wieder funktionieren wird?

Halt, Stopp! Ich habe sch***e geschrieben. Auf den GWs haben wir ja Debian und nicht Ubuntu. Da wird es nen fix für den 4.9er geben: https://security-tracker.debian.org/tracker/DSA-4078-1

ab dem Punkt wo wir sowohl auf den Gateways als auch auf den Knoten den neuen Tunneldigger haben :slight_smile:

Das ist doch aber Debian 9 oder?
Ändert aber leider auch nichts daran das der TD damit nicht mehr geht…

Wir verwenden doch ohnehin ausschließlich root, jeder kann auf alle Speicherbereiche zugreifen. Das ist für uns alles nicht relevant, oder?

Für den Freifunk sehe ich das auch nicht so kritisch.
Grundsätzlich sollte man natürlich alle Sicherheitspatche zeitnah einspielen.
Aber auf den Gateways wird doch kein fremder Code ausgeführt. Wie sollen dann diese Lücken ausgenutzt werden? Um auf geschützte Speicherbereiche über die Lücken zugreifen zu können, muss man doch erstmal Zugriff auf das System bekommen.

Genau, habe ich auch schon eingangs so eingeschätzt:

Aber:

Daher sollten wir dennoch zeitnah patchen.

Zu viel? Ja! Ausschließlich? Nein!

root@des2 ~ # ps -eo user=|sort|uniq -c | sort -rn
    114 root
      7 postgres
      2 bird
      1 vnstat
      1 nagios
      1 messagebus
      1 Debian-exim
      1 daemon
      1 bind

Ja gut, aber da müsste dann jemand den Dienst hacken.

Jetzt gibt’s dann auch einen richtigen Anreiz, mal eine Firmware mit dem neuen Tunneldigger zu bauen :smiley:

:wink:

3 „Gefällt mir“

Wir haben doch eine Firmware mit dem Gluon-TD, der auf der Upstream-Version von WLAN Slowenija beruht. Oder gibt es noch eine neuere Version?

Korrekt in Lede ist die Upstream Version drin. Aber der fix von dem Session IP Bug ist in 2017.1.4 noch nicht drin.

1 „Gefällt mir“

Als ich das geschrieben hatte, war die aktuelle Upstream-Version noch nicht in Gluon :smiley: Das hat sich ja nun geändert.

Wir können einfach den Tunneldigger aus dem Master-Zweig nehmen und damit bauen. Sollte gehen.