| CVE: | CVE-2026-49975 |
| Blog-Artikel: | Codex Discovered a Hidden HTTP/2 Bomb [github.com] |
| Proof-of-Concept: | HTTP/2 Bomb [github.com] |
| Betroffene Komponente(n): | Webserver (Apache httpd 2.4.67, nginx 1.29.7, Microsoft IIS 10 (Windows Server 2025), Cloudflare Pingora 0.8.0, Envoy 1.37.2) |
Posts by m_ueberall
-
-
und auch nicht, Deals 1x mal im Monat?
Das es dann noch Rabatte/Aktionen gibt?
Nein; auch diese Frage hat fvbor oben ja beantwortet (Deals = Rabatte).
-
PePex : Are you using your own image or one provided by Netcup? Regardless, I'd suggest you try to boot the KVM instance in question using one of the available Live DVDs that can be found here. This should give you a chance to look at the server logs (and should be better suited than any other rescue image).
-
Ich hab am Wochenende meine zwo alten Raspberry Pi 1 ausgebuddelt und jetzt brauch ich mal coole Ideen was ich damit so anstellen kann
Auf eBay verschenken (ggf. gegen Portokostenübernahme).
EDIT: Heute gesehen: Man kann sie auch in Kleidungsstücke einarbeiten [Twitter/X]
-
Habe kein 2FA gesehen.
Wäre wichtiger, als ein neues UI.Du kannst es indirekt aktivieren. 2FA im CCP aktivieren und dann im SCP einstellen, dass der Login nur übers CCP möglich ist.
Ich möchte in diesem Kontext nochmal auf den Anwendungsfall hinweisen, dass es bisweilen vorkommt, dass mehrere Personen Server via SCP administrieren, aber davon unabhängig eben keinen Zugriff auf die Verträge/Stammdaten haben sollen. (Noch besser wäre natürlich eine Zuordnung bestimmter 2FA-Methoden zu einzelnen Produkten, aber initial eine direkte 2FA-Unterstützung im SCP unabhängig von CCP wäre bereits ein riesiger Schritt in die richtige Richtung!)
-
Ich bin ja schon lange in Versuchung einen "ehrenamtlichen Verschiebehilfsadmin" anzuregen, aber ich hab Angst, daß am Ende das dann ich machen "dürfte"...
Meine Stimme hat ASS dafür.
-
Muss ich mir da jetzt extra nen Account anlegen?
Bei mir kommt nur "kein gültiger account gefunden" im jdl.
Sollte nicht nötig sein; Test im "privaten Fenster" unter Firefox/amd64 (Standard-Browser ist Brave) ohne jegliche vorhandene Cookies funktioniert hier, ebenso die aktuelle Version von yt-dlp:
QuoteDisplay More[twitter] Extracting URL: h t t p s ://x.com/CompChronTV/status/2057099028102250944
[twitter] 2057099028102250944: Downloading guest token
[twitter] 2057099028102250944: Downloading GraphQL JSON
[twitter] 2057099028102250944: Downloading m3u8 information
[info] 2057067787542241280: Downloading 1 format(s): hls-2480+hls-audio-128000-Audio
[hlsnative] Downloading m3u8 manifest
[hlsnative] Total fragments: 459
[download] Destination: Computer Chronicles TV - The Computer Chronicles Season 1 Episode 1: "Mainframes to Minis to M... [2057067787542241280].fhls-2480.mp4
[download] 32.7% of ~ 429.11MiB at 1.36MiB/s ETA 04:05 (frag 150/459) -
#Linktip: Ab heute sollen jeden Mittwoch neue Folgen der Fernsehserie "[The] Computer Chronicles" veröffentlicht werden (derzeit zumindest auf Twitter/X; auf Youtube gibt es bereits eine Anzahl von Episoden, diese scheinen jedoch aus einer anderen Quelle zu stammen).
-
Nun hat sich Debian vom mehrfach gefixten Kernel 13.4 verabschiedet
debian trixie InRelease« wurde der »Version«-Wert von »13.4« in »13.5« geändert.
Dieser Versions-Wert bezieht sich aber auf das vorgestern neu erschienene sogenannte "Point-Release".
-
FYI: [#SECURITY] Davon gibt es inzwischen noch eine (ungepatchte) Variante: https://github.com/v12-security/p…a-5db89c99566fc (gleicher Workaround wie für "Fragnesia" und "Dirty Frag": Deaktivierung der Module esp4, esp6, rxrpc).
-
-
FYI: [#SECURITY] ssh-keysign-pwn erlaubt das Stehlen von privaten SSH-Host-Schlüsseln und /etc/shadow (damit können unprivilegierte Nutzer Dateien lesen, welche "root" gehören). Funktioniert mit allen Linux-Kerneln, die nicht neuer sind als gestern. EDIT1: CVE-2026-46333
EDIT2: Es gibt nun auch einen Blog-Eintrag von Canonical hierzu: "CVE-2026-46333 (ssh-keysign-pwn) Linux kernel vulnerability mitigations"
-
Ach deshalb hat Ubuntu seit einer Woche immer noch nicht Dirty Frag gepatched, die wollen das bestimmt alles auf einmal erledigen...
Nicht … unbedingt; laut Aussage im Matrix-Kanal für "Launchpad" (bzgl. einer anderen Service-Anfrage):
Quote[…] most Canonical engineers and SREs are at a sprint this week and the previous one and I suspect that those are causing these delays.
-
FYI: [#SECURITY] NGINX-Nutzer sollten sowieso immer ein Auge auf https://nginx.org/en/security_advisories.html haben, aber CVE-2026-42945 (Remote-Code-Execution!) dürfte fast alle betreffen; offizielle Patches sind verfügbar, dennoch müssen Updates auch erst einmal eingespielt werden.
EDIT: Ein PoC findet sich bereits auf GitHub: https://github.com/DepthFirstDisclosures/Nginx-Rift
-
GhostBSD scheint ja eher Desktop-orientiert zu sein. Daher vielleicht mal einen Blick auf OpenBSD werfen?
terence : Danke für den Tip; OpenBSD ist tatsächlich auch auf der Evaluationsliste, allerdings unterhalb von FreeBSD/GhostBSD. Bislang habe ich nach kurzer Durchsicht einiger Quellen (u. a. YouTube-Videos) im Hinterkopf, dass GhostBSD insbesondere bei der Hardwareunterstützung punkten soll (sowohl bezogen auf die existierenden SBC/Laptops als auch die Architekturen AMD64/ARM64/RISCV), und momentan steht hier auch die Überlegung im Raum, mittelfristig primär Desktops damit zu bestücken. In der Vergangenheit hatte ich *BSD primär "via FreeBSD" kennengelernt.
Es ist nicht auszuschließen, dass BSD später auch für reine Serveranwendungen zum Einsatz kommt. Als erster Schritt ist hier zunächst allerdings sowieso ein Test im Kontext von signal-cli (und ZFS) eingeplant, wofür Installationen sowohl von FreeBSD, GhostBSD als auch OpenBSD via VM unter Incus anstehen. Das Ganze wird … eine gewisse Zeit in Anspruch nehmen (denn die Zeit verfliegt, wenn man sich amüsiert).
-
FYI: Pünktlich zum verlängerten(?) Wochenende gibt es eine neue Kernel-Lücke: "VUL-0: CVE-2026-46300: kernel-source: FragNesia attack: another xfrm/esp based local root exploit"; diese ist insofern "Dirty Frag" sehr ähnlich, als sie auf denselben Kernelmodulen basiert wie CVE-2026-43284, weswegen auch derselbe Workaround von vor ein paar Tagen greift, wenn er bereits/noch aktiv ist (lies: Deaktivierung der extern nachgeladenen Kernelmodule esp4, esp6, rxrpc). AlmaLinux hat einen recht informativen Blog-Eintrag hierzu.
-
Und dann pro Tool einen Thread oder wie stellst du es dir vor?
Das wäre ein Ansatz, ja.
Vielleicht bekommen wir es (ohne weitere Unterforen) hin, dass wir etwa auch für Kernel-Exploits systematisch Diskussionsfäden für "Kernel-Exploits (alle Distributionen|generisch)", "Kernel-Exploits (Debian/Ubuntu)", "Kernel-Exploits (Fedora)", "Kernel-Exploits (*BSD)", … eröffnen, so dass Nutzer sich nicht totsuchen müssen.
Also letztlich ein Namensschema "<STACK|MODUL|KOMPONENTE> (<BETROFFENE_UMGEBUNG>)" für individuelle Diskussionsfäden.
Wenn das zu unübersichtlich wird, kann man ggf. auch neue Unterforen einrichten; dann wäre ein (besserer) Startpunkt vielleicht "Systemabsicherung > Allgemein", gefolgt von "Systemabsicherung > Kernel", "Systemabsicherung > …"
(Leider scheint es noch nicht möglich zu sein, nutzerseitig zusätzlich Tags zu einem Post hinzuzufügen, was ggf. die Suche vereinfachen würde.)
[ CC Moderators ]
-
Moderators : Könnten wir unter Sonstiges ein Unterforum "Systemabsicherung" bekommen, in welchem die Themen rund um Exploits zentral gesammelt werden können? Ansonsten dürften die "etwas untergehen", insbesondere, wenn Nutzer nicht regelmäßig eine große Zahl an Themen hier verfolgen …
-
Da will man am Morgen einen neuen Post bzgl. dringend selbst abzusichernder Linux-Kernel hier einstellen, schon läuft wieder ein größerer Lieferkettenangriff ("Mini Shai-Hulud", zielt auf npm und PyPI). Naja, ist ja bald Freitag (und für manche quasi ein verlängertes Wochenende wg. Brückentag und so), also warte ich mit dem Post noch ein paar Tage …
An dieser Stelle nochmal der Tip, keine Module zu installieren, welche kein vorgegebenes/erzwungenes Mindestalter von n Tagen aufweisen. Und wo ich das hier gerade schreibe, darf ich gleich einmal sehen, ob das eigene Build-Script für eine bestimmte Java-Anwendung auf Basis einer anderen bestimmten Rust-Bibliothek diesen Grundsatz auch konsistent einhält (vgl. cargo-cooldown-PoC). Gut, dass wir bald ein verlängertes Wochende haben …
EDIT: Wir könnten das zum Anlass nehmen, und einmal für obige Stacks ein paar eigene Lösungsansätze zusammenzutragen (vgl. diese Kurzübersicht), wie wär's?
-
Und ich nutze es gerade so gut wie nicht mehr, weil Ubuntu 26.04 LTS auf sudo-rs umgestellt hat und ansible noch sudo erwartet. become für sudo geht leider immer noch nicht
Ich nutze zwar noch 24.04 LTS, habe aber u. a. in einer Build-Umgebung dafür aktuelle Versionen von sudo und coreutils von Debian "nachgebaut" und installiert; zumindest für sudo allein ist das recht schmerzfrei, wenn man das Paket installiert und via apt-mark hold vor einer späteren automatischen Ersetzung schützt. Natürlich bedeutet das, dass man selbst für Updates für dieses Paket sorgen muss, aber den relativ überschaubaren Mehraufwand ist es IMHO für die eigenen Umgebungen wirklich wert.
