Aus der Tiefe
   


About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11

Matthias Bauer und Martin Bayer problems@math.fau.de

Subscribe
Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS.

Flavours
There's more than one way to view this weblog; try these flavours on for size.

  • index
  • circa 1993
  • RSS
  • Links

  • Shoestring FoundationMiscellaneous byproducts

  •        
    Mon, 26 Jun 2023


    	advancedpersistentthreat upgrade
    	Am 5. Mai hat ein Ubuntu Update von Ruby das Puppet zerschossen,
    	weil die puppet:/// URLs ab da falsch geparst werden:
    	
    1. Fix for CVE-2023-28755 breaks "puppet apply" run
    2. [PUP-11848] Ruby 2.7 patched with fix for CVE-2023-28755 breaks parsing of puppet:// URIs for puppet apply
    3. Bug #2018547 “puppet can no longer find puppet:// resources afte...”
    Wie ich das gemerkt hab, war meine erste Reaktion: "dann nageln wir die Ruby Version in /etc/apt/preferences.d fest und verhindern den Upgrade". Ja, aber wie krieg ich das auf die betroffenen Rechner, wenn Puppet nicht mehr geht? Zwei Tage später haben die Ubuntesen den Patch wieder zurückgerollert.

    Gegen Angreifer gibt mir das System einige Werkzeuge, dass die da nicht root werden und Blödsinn machen. Gegen Package-Updates mit cronapt hilft nix, weil die über Nacht beliebige post-install Skripte als root ausführen. Und nicht Upgraden geht auch nicht, weil die CVEs im Stundentakt einschlagen. Und die Maintainer brauchen gar nicht bösartig oder inkompetent sein, bei 106 Packages und Abhängigkeiten und schlecht zu testenden Nebeneffekten (wie den seltsamen puppet:/// URLs) haben die keine Chance, keine Fehler zu machen.

    [/bauerm] permanent link