ComputerBase Menü
Aktuelles

News Linux: USB-Subsystem des Kernels hat 79 Schwachstellen

Leider mindestens genauso utopisch wie das Deaktivieren der Anschlüsse.
Zum Vergrößern anklicken....

BIOS -> USB -> deaktivieren.
BIOS -> Bootdevice -> Systemplatte (sonst nichts)
BIOS -> Passwort setzen
 
nervenjere schrieb:
Hast du schon mal eine zeile code geschrieben?
Falls nein rate ich dir es zu lernen, dann siehst du die dinge realistischer
Zum Vergrößern anklicken....

ja, genau deswegen weiss ich ja, wie unmöglich das ist. (zumindest für mich)
 
raph schrieb:
Port Control Software ist sehr aufwändig,weil jeder Rechner einfach USB braucht um damit arbeiten zu können. Bei der Einrichtung passieren einfach False Positives, weil es eben so viele unterschiedliche Hardware gibt.
Und zu verlangen, dass in einem Unternehmen nur eine Sorte Hardware eingesetzt wird, ist schlicht relitätsfern.

Bzgl. PXE. Toll zum Aufsetzen frischer Rechner, aber erklär mal Deinen Usern, dass Sie nicht mehr mobil arbeiten können.
Keine Meetings mit Notebook
Keine Kundentermine
Kein HomeOffice

Btw. Stell Dir vor, man kauft mal wieder ein kleines Unternehmen. Dort die eigene IT zu implementieren ohne die Arbeitsabläufe dort über den Haufen zu schmeißen dauert. Und wie soll man dann mit eigenen Systemen dort Arbeiten?

Vom grade so heißen Scheiß "BYOD" fang ich erst gar nicht an...
Zum Vergrößern anklicken....
Da für die in der News angesprochenen Sicherheitslücken sowieso physischer Zugang nötig ist, können wir uns aus guten Gründen auf die Betrachtung besonders sensibler Computer (z. B. Hochsicherheitsbereich) beschränken. Weil physischer Zugang heißt, dass der Angreifer auch ein eigenes Betriebssystem booten kann (wenn genug Zeit) oder einen Keylogger installiert (wenig Zeit). Diese besonders sensiblen Systeme brauchen kein USB - also Treiber blacklisten und Ports verplomben. Kommunikation zwischen diesen Computern kann dann nach Bedarf über ein internes lokales Netzwerk, CDs (nicht beschreibbar) oder schlicht gar nicht stattfinden. Homeoffice darf man dann eh nicht :D
 
Äh...ich will in der Firma noch Daten untereinander austauschen können. Das geht am einfachsten per USB.
Zum Vergrößern anklicken....

Genau aus dem Grund gibt es Netzwerkordner für Datentausch an einem speziellen Server.
Am besten natürlich von Antivirensoftware überwacht.
Email oder andere Speziallösungen nur fürs LAN gibt es sicher auch noch.
Oder ein eigener Chatserver nur fürs LAN mittels DCC oder ähnliche Messengersysteme.

Weil physischer Zugang heißt, dass der Angreifer auch ein eigenes Betriebssystem booten kann
Zum Vergrößern anklicken....
Kann er nicht wenn alles im BIOS gesperrt ist.
 
Zuletzt bearbeitet:
###Zaunpfahl### schrieb:
bla bla bla bla....
...
properitär hat nur einen zweck und das ist nunmal Geld. Und ja auch ich und jeder Linux benutzer braucht geld......
Zum Vergrößern anklicken....

Mit Linux wird viel Geld verdient, mit OS wird viel Geld verdient. Also ist deine Aussage für die Tonne.
 
Schnitz schrieb:
Aber es sind wieder nur relativ ungefährliche Schwachstellen - relativ ungefährlich weil man physischen Zugang zum System braucht :daumen:
Zum Vergrößern anklicken....

Ich gebe zu bedenken, dass es sich um das USB-Subsystem handelt. Ohne physischen Zugang zum System wäre dieser Teil des Kernels also sinnlos. Daher ist die Meldung doch relevanter als du vermutlich gedacht hast. ;)
 
Natürlich wird man nicht warten, dass jemand einen passend präparierten USB Stick baut und sich Zugang zum Rechner beschafft sondern zügig Updates einspielen.

Dennoch, ich habe keine hunderte von Besuchern täglich in unserem Serverraum die ihren Satz an USB Sticks durchstecken.

Da wären ein Funkmoduladapter am Tastatur und einem Empfänger der die Eingaben mitloggt im Mülleimer zu platzieren einfacher. So muss man nur einmal in das Gebäude einbrechen und die Müllabfuhr abpassen.
 
cbtestarossa schrieb:
BIOS -> USB -> deaktivieren.
Zum Vergrößern anklicken....
Und wo schliess ich bei den Clients dann Tastatur und Maus an? Bei Servern ist es eh relativ egal, da keine Fremden in den Serverraum können.
 
Zuletzt bearbeitet:
cbtestarossa schrieb:
Genau aus dem Grund gibt es Netzwerkordner für Datentausch an einem speziellen Server.
Am besten natürlich von Antivirensoftware überwacht.
Email oder andere Speziallösungen nur fürs LAN gibt es sicher auch noch.
Oder ein eigener Chatserver nur fürs LAN mittels DCC oder ähnliche Messengersysteme.
Zum Vergrößern anklicken....

  • Netzwerkordner - gut, hat meine Firma. Ist aber offen für alle, vertrauliche Daten kann ich dort also nicht ablegen.
  • E-Mail ist nicht für große Anhänge vorgesehen.
  • Gleiches gilt für einen Chatserver - dann muss ich meine Office-Infrastruktur aufbohren, weil die User jetzt riesige Datenmengen verschicken sollen.
  • Hier darf man grundsätzlich sein Betriebssystem frei wählen - das muss auch irgendwie auf die Platte.

Deine genannten Lösungen werden zudem alle eine Stange Geld kosten. Lieber werden die eigenen MA noch mal sensibilisiert.
 
Wattwanderer schrieb:
Besucher .... die ihren Satz an USB Sticks durchstecken
Zum Vergrößern anklicken....
Nix Satz. Nix umstecken. Der Besucher hätte nur einen einzigen manipulierten Stick, der dem Rechner gegenüber schnell nacheinander zig verschiedene USB-Geräte vorgaukelt, bis er Erfolg hat.

Daraus ergibt sich auch eine mögliche Verteidigung: USB-Geräte gaaaanz laaaaangsaaaaam registrieren. ;)
 
Und wo schliess ich bei den Clients dann Tastatur und Maus an?
Zum Vergrößern anklicken....

PS/2 natürlich

Deine genannten Lösungen werden zudem alle eine Stange Geld kosten.
Zum Vergrößern anklicken....

Eigentlich nicht wenn man OS Software verwendet. Zeit kostet das natürlich.

Lieber werden die eigenen MA noch mal sensibilisiert.
Zum Vergrößern anklicken....

Das sowieso.
Aber das Beispiel zeigt halt dass Menschen auch auf die unmöglichsten Ideen kommen könnten wenn sie sich etwas zum Ziel setzen.
Und wenn es nur Neugierde ist was sie dazu bewegt einen fremden USB-Stick an einem Firmenrechner anzuschließen.
 
Zuletzt bearbeitet:
cbtestarossa schrieb:
PS/2 natürlich
Zum Vergrößern anklicken....
Ja nee, is klar. ^^ Und jetzt bitte die Frage noch mal für die reale Welt betrachten. Viele Endgeräte in den Unternehmen haben gar kein PS2 mehr. Notebooks, Thin Clients usw... Vor 10 Jahren hätte man die Antwort vielleicht noch gelten lassen können, aber PS/2 ist mittlerweile legacy.
 
Zuletzt bearbeitet:
Naja bei Notebooks stimmts wohl.
Aber normale Arbeitsstationen sollten die PS/2 Schnittstellen noch bieten. Gibt selbst noch Boards mit serieller Schnittstelle.
Peripheriegeräte hängen meist eh im LAN/WLan.
Tja so ist das halt und die nächste Lücke wartet bestimmt schon.
So gesehen ist ja selbst UEFI nicht gerade das was man nutzen sollte.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
News Debian 11 („Bullseye“): Sicherheitsupdate schließt Schwachstellen im LTS-Kernel
Antworten
19
Aufrufe
3.645
nirgendwer
N
Andy
News Corona-Datenspende: CCC entdeckt Schwachstellen in App des RKI
2
Antworten
37
Aufrufe
5.882
chartmix
C

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz