Sicherheit Flash-plugin: Adobe oder Gnash?

[ingo2]

Momentan ist, wie schon so oft, das Adobe-Plugin, wie es das Paket "flashplugin-nonfree" pflegt, seit über 6 Wochen ungepatcht mit gravierenden Sicherheitslücken. Ist wohl nur eine Frage der Zeit, bis es als "orphaned" raus fliegt. Leider bin ich auf Flash angewiesen, da 2 IP-Kameras das voraussetzen. Ok, ich selbst habe damit weniger Probleme und kann es auch aus dem tar-archiv von Adobe manuell updaten und aktiviere es nur für den Zweck.
Das ist jedoch furchtbar nervig, man muß immer checken, ob es eine neue Version bei Adobe gibt. Ich betreue noch 2 weitere Rechner, davon der eine remote und deren User wären damit überfordert. Habe jetzt mal versuchsweise das Gnash-plugin dafür getestet - das geht einwandfrei!

Jetzt meine Frage: ist man mit dem Gnash-plugin auf der sicheren Seite?
Oder ist Flash per Design schon so unsicher, daß ich da vom Regen in die Traufe komme?
Gnash wird ja nur sehr selten mal mit einem Fix/Patch versorgt, aber das changelog listet zumindest keine CVE's.

Gruß, Ingo

[breakthewall]

Leider bin ich auf Flash angewiesen, da 2 IP-Kameras das voraussetzen.

Am besten entsorgen oder falls möglich umtauschen. Kein Hersteller der noch bei Verstand ist, setzt Flash voraus um Hardware in Betrieb zu nehmen.

Jetzt meine Frage: ist man mit dem Gnash-plugin auf der sicheren Seite?
Oder ist Flash per Design schon so unsicher, daß ich da vom Regen in die Traufe komme?
Gnash wird ja nur sehr selten mal mit einem Fix/Patch versorgt, aber das changelog listet zumindest keine CVE's.

Genau genommen wurde Gnash nie richtig gepflegt, und Flash ist ohnehin das pure Grauen. Diese Technologie war zu Lebzeiten nicht einmal wirklich stabil noch sicher. In Sachen Code-Qualität ist Adobe das allerletzte Unternehmen, dem man Vertrauen schenken sollte. Das betrifft jede Software die aus diesem Hause stammt, angefangen bei Air, Air SDK, Acrobat, Acrobat Reader, Photoshop, Shockwave und mehr.

Die Kategorie 9+ hinsichtlich der Programme könnte kaum erschreckender sein. Es gibt fast aussschließlich nur katastrophale Lücken: http://www.cvedetails.com/top-50-produc ... bution.php

Nicht umsonst wird seit Jahren gepredigt Flash zu meiden. Und ein Glück ist diese Technologie am Aussterben, damit wurde schon genug Schaden angerichtet.

[debianoli]

Wieso nimmst du nicht pepperflashplugin-nonfree

Das ist ein aktuelles Flash

[rendegast]

man muß immer checken, ob es eine neue Version bei Adobe gibt.

Der erste Ansatz für eine automatisierte Lösung.

Die jedoch etwas tricky ist, leider gibt es kein permanentes Verzeichnis für die aktuellen Pakete mehr.
Und gelegentlich wechselt der Serverpfad in Gänze.
Das win-Paket enthält 32- und 64bit, für linux ein Paket je Architektur.

Das Download-Verzeichnis ist jedoch aus der Website herauszubekommen
(zum Glück klappt das noch ohne javascript).
Man kann da eine Versionszahl für alle Pakete voraussetzen,
die jedoch gelegentlich auch verschieden sein kann.
Um dem zu begegnen (wenn zBsp. für verschiedene OS heruntergeladen werden soll),
ist user-agent einzusetzen, hier

Code: Alles auswählen

www-browser -http.fake-user-agent "Mozilla/5.0 (Windows NT 6.1; Win64; x64)"            -dump http://get.adobe.com/flashplayer/ > "$DOWN"/get.adobe.com.flashplayer.win
www-browser -http.fake-user-agent "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 5.1)"  -dump http://get.adobe.com/flashplayer/ > "$DOWN"/get.adobe.com.flashplayer.winax
www-browser -http.fake-user-agent "Mozilla/5.0 (Linux; x64)"                            -dump http://get.adobe.com/flashplayer/ > "$DOWN"/get.adobe.com.flashplayer

das Versionen-Extrahieren:

Code: Alles auswählen

version=$(egrep -io "Version.*[0-9]{2}\.[0-9]{1,2}\.[0-9]{1,3}\.[0-9]{1,3}" "$DOWN"/get.adobe.com.flashplayer | awk '{print $NF}')
version_maj=${version%%.*}

version_win=$(egrep -io "Version.*[0-9]{2}\.[0-9]{1,2}\.[0-9]{1,3}\.[0-9]{1,3}" "$DOWN"/get.adobe.com.flashplayer.win | awk '{print $NF}')
version_win_maj=${version_win%%.*}

version_winax=$(egrep -io "Version.*[0-9]{2}\.[0-9]{1,2}\.[0-9]{1,3}\.[0-9]{1,3}" "$DOWN"/get.adobe.com.flashplayer.winax | awk '{print $NF}')
version_winax_maj=${version_win%%.*}

version_winppapi=$version_win

und Konstruktion der Link-Datei für wget:

Code: Alles auswählen

SRV=fpdownload.adobe.com
echo http://$SRV/get/flashplayer/current/support/uninstall_flash_player.exe                     >> "$LNK"

SRV=fpdownload.macromedia.com

 echo http://$SRV/get/flashplayer/pdc/$version_win/install_flash_player.exe                             >> "$LNK"
 echo http://$SRV/get/flashplayer/pdc/$version_winax/install_flash_player_ax.exe                        >> "$LNK"
 echo http://$SRV/get/flashplayer/pdc/$version_winppapi/install_flash_player_ppapi.exe                  >> "$LNK"

 echo http://$SRV/get/flashplayer/pdc/$version_winppapi/flash_player_ppapi_linux.i386.tar.gz    >> "$LNK"
 echo http://$SRV/get/flashplayer/pdc/$version_winppapi/flash_player_ppapi_linux.x86_64.tar.gz  >> "$LNK"

 echo http://$SRV/get/flashplayer/pdc/$version_winppapi/flash_player_npapi_linux.i386.tar.gz    >> "$LNK"
 echo http://$SRV/get/flashplayer/pdc/$version_winppapi/flash_player_npapi_linux.x86_64.tar.gz  >> "$LNK"

Der Download landet auf einem lokalen Mirror.


Sonderfall Windows-Clients
deren Installationspaket benutzt einen (normalerweise stündlichen) Upgrade-Job,
welcher jedoch kein major-Upgrade hinbekommt.
Die Clients benutzen daher täglich ein wget/msiexec-Skript,
Download vom lokalen Mirror jedoch nur, wenn sich die major-Version ändert.
Für den Test wird die Version aus der registry geholt, Vergleich mit entsprechender Datei vom Mirror.

Code: Alles auswählen

cd /d %~dp0

set quelle=upgradelinksadm.txt

.\wget.exe -N --no-passive-ftp -i %quelle%
reg query HKLM\SOFTWARE\Macromedia\FlashPlayerActiveX /v version | findstr version > ver.inst.reg.txt
reg query HKLM\SOFTWARE\Macromedia\FlashPlayerPlugin /v version | findstr version >> ver.inst.reg.txt
del ver.inst.txt ver.inst.majmin.txt
for /F "tokens=3" %%i in (ver.inst.reg.txt) do echo %%i>> ver.inst.txt
for /F "tokens=1,2 delims=." %%i in (ver.inst.txt) do echo %%i.%%j>> ver.inst.majmin.txt
fc ver.inst.majmin.txt ver.majmin.txt
IF NOT ERRORLEVEL 1 goto END


set quelle=upgradelinks.txt

.\wget.exe -N --no-passive-ftp -i %quelle%


for %%i in (install_flash_player*.exe) do start /w %%i -uninstall
:regedit /d HKEY_LOCAL_MACHINE\Software\Macromedia\FlashPlayer\SafeVersions
regedit /s SafeVersions.reg

for %%i in (install_flash_player*.exe) do (
  ping -n 3 localhost
  start /w %%i -install
)
:END

per SafeVersions.reg wird ein Registry-Schlüssel zurückgesetzt:

Code: Alles auswählen

REGEDIT4

[-HKEY_LOCAL_MACHINE\Software\Macromedia\FlashPlayer\SafeVersions]

Die linux- resp. debian-Clients benutzen im Kern wöchentlich sowas
('print-architecture' ist spezifisch, ich wollte aber kein 'uname' benutzen (wäre OS-unabhängig),
da 32bit-debian auch einen 64bit-kernel anbietet. Also work-in-progress)

Code: Alles auswählen

ARC=$(dpkg --print-architecture); [ "x$ARC" = "xamd64" ] && ADD=".64"
echo BASEDIR "$BASEDIR"
cd "$BASEDIR"

sleeptime=$(( 0x$(cut -c"-3" /proc/sys/kernel/random/uuid) /50 +1 ))
#sleep $sleeptime

cd "$BASEDIR/current"
WGET=/usr/bin/wget
WGET_OPTS=" -N --tries=2 -T 5 -nv "

WGET_OPTS="$WGET_OPTS --no-passive-ftp "
WGET_OPTS="$WGET_OPTS --no-passive-ftp --retr-symlinks "

$WGET $WGET_OPTS -i "upgradelinks.lnx${ADD}.txt"

TheTGZurl="$(egrep gz "upgradelinks.lnx${ADD}.txt" | tail -n1)"

egrep gz "upgradelinks.lnx${ADD}.txt" | while read TheTGZurl; do
TheTGZ="${TheTGZurl##*/}"
TheLIB="lib[a-z]*flashplayer.so"

WHATFILE="$(tar tzf $TheTGZ | egrep "$TheLIB")"

VERTGZ="$(gunzip -c $TheTGZ | strings | grep LNX)"
test -e "$VERTGZ" || date >> "$VERTGZ"
VERSO="$(strings $WHATFILE | grep LNX)"

[ "x$VERTGZ" != "x$VERSO" ] && {
    
    gunzip -c $TheTGZ | 7z e -si -ttar -y "$WHATFILE"
    
}
done

exit 0

Die Version VERTGZ zum Vergleich wird per 'strings' aus dem on-the-fly entpackten Paket geholt,
erst dann wird wirklich die lib entpackt.
Zur Verfügung steht sie spätestens, wenn der Browser neu gestartet wird.
Eingebunden wird die entpackte lib per update-alternatives,
um zwischen den verschiedenen flash-Alternativen wechseln zu können.


Das Ganze läuft so jetzt seit Jahren automatisch ohne Eingriff
(bis auf URL-Anpassungen beim mirror-Skript).
Ein deb-Paket für das Client-Skript oder die lib selbst + update-alternatives wäre denkbar, aber egal.
Für ein *.msi für windows fehlen die Kenntnisse.

[ingo2]

@ rendegast
Das hört sich schon mal gut an. Bin gerade dabei, die Script-Schipsel für meine Belange zusammenzusetzen. Leider geht es schon am Anfang schief:

Code: Alles auswählen

#!/bin/bash

DOWN=$(pwd)
www-browser -http.fake-user-agent "Mozilla/5.0 (Linux; x64)"                            -dump http://get.adobe.com/flashplayer/ > "$DOWN"/get.adobe.com.flashplayer

liefert schon den ersten Fehler:

Code: Alles auswählen

w3m version w3m/0.5.3+debian-19, options lang=en,m17n,image,color,ansi-color,mouse,gpm,menu,cookie,ssl,ssl-verify,external-uri-loader,w3mmailer,nntp,gopher,ipv6,alarm,mark,migemo
usage: w3m [options] [URL or filename]
options:
    -t tab           set tab width
.....

Ist es zu viel verlangt, dein funktionierendes Script zu veröffentlichen?

Gruss, Ingo
[/code]

[tobo]

Für w3m muss syntaktisch sowas stehen:

Code: Alles auswählen

www-browser -o user_agent="Mozilla/5.0 (Linux; x64)" -dump http://get.adobe.com/flashplayer/ "$DOWN"/get.adobe.com.flashplayer

[ingo2]

Für w3m muss syntaktisch sowas stehen:
korrigiert, da fehlte ein ">".

Code: Alles auswählen

www-browser -o user_agent="Mozilla/5.0 (Linux; x64)" -dump http://get.adobe.com/flashplayer/ > "$DOWN"/get.adobe.com.flashplayer[/quote]
So, jetzt komm ich weiter voran, Danke.

[jph]

Leider bin ich auf Flash angewiesen, da 2 IP-Kameras das voraussetzen.

Am besten entsorgen oder falls möglich umtauschen. Kein Hersteller der noch bei Verstand ist, setzt Flash voraus um Hardware in Betrieb zu nehmen.

Zumal Firefox in absehbarer Zeit Flash komplett blockieren wird.

[ingo2]

Leider bin ich auf Flash angewiesen, da 2 IP-Kameras das voraussetzen.

Am besten entsorgen oder falls möglich umtauschen. Kein Hersteller der noch bei Verstand ist, setzt Flash voraus um Hardware in Betrieb zu nehmen.

Und wo biite erhält man diese Information vor dem Kauf? Meine Cams haben das nicht als "prerequisite" deklariert!
Oder anders herum: Nenn mir doch bitte einen Hersteller/Verkäufer, der verbindlich das Videoformat angibt.

[breakthewall]

Und wo biite erhält man diese Information vor dem Kauf? Meine Cams haben das nicht als "prerequisite" deklariert!
Oder anders herum: Nenn mir doch bitte einen Hersteller/Verkäufer, der verbindlich das Videoformat angibt.

Natürlich erhält man diese Information beim Hersteller. Und wenn das nicht angegeben ist, dann ggf. via E-Mail erfragen. Wenn auch das zu nichts führt, würde ich den Hersteller meiden. Aus eigenen Erfahrungen heraus ist mir bis dato auch kein Hersteller bekannt, der nicht mindestens auf seiner Webseite angab, was die technischen Daten betrifft bzw. jeweiligen Systemvoraussetzungen sind bzgl. Hard -und Software.

Beispiele für Hersteller wären:

Instar, Foscam # Machen exakte Angaben über die technischen Eigenschaften, und sind über einen nackten Browser nutzbar/einstellbar. Auch für beliebige Betriebssysteme verfügbar.

Die meisten Leute werden wohl auch Zoneminder nutzen, als IP-Cam-Software, was eine evtl. Software eines Herstellers obsolet macht.

Und hier gäbe es auch eine Kompatibilitätsliste: https://wiki.zoneminder.com/Hardware_Co ... rk_Cameras

[rendegast]

Leider geht es schon am Anfang schief:

Code: Alles auswählen

    www-browser -http.fake-user-agent ...

Ups, bitte um Verzeihung, das ist Syntax von links2 (hier 2.8 jessie).

Bei lynx wäre es '-useragent=...'

Zumal Firefox in absehbarer Zeit Flash komplett blockieren wird.

Ich lese das so, daß das Plugin keine Option 'Immer aktivieren' mehr haben wird.
Der Termin der "Blockade" August 2017 wäre firefox 55, also 52esr nicht betreffend.
Davon unabhängig kann 52esr oder was auch immer mit flashplugin für diese lokale Anwendung weiter betreiben werden.
EDIT Außer natürlich, die Produktion des NPAPI-Plugin "für alternative Browser" wird vom Hersteller eingestellt,
was wohl ohnehin zu erwarten ist, spätestens sobald ff 52esr eingestellt wird.

[ingo2]

Und wo biite erhält man diese Information vor dem Kauf? Meine Cams haben das nicht als "prerequisite" deklariert!
Oder anders herum: Nenn mir doch bitte einen Hersteller/Verkäufer, der verbindlich das Videoformat angibt.

Natürlich erhält man diese Information beim Hersteller. Und wenn das nicht angegeben ist, dann ggf. via E-Mail erfragen. Wenn auch das zu nichts führt, würde ich den Hersteller meiden. Aus eigenen Erfahrungen heraus ist mir bis dato auch kein Hersteller bekannt, der nicht mindestens auf seiner Webseite angab, was die technischen Daten betrifft bzw. jeweiligen Systemvoraussetzungen sind bzgl. Hard -und Software.

Beispiele für Hersteller wären:

Instar, Foscam # Machen exakte Angaben über die technischen Eigenschaften, und sind über einen nackten Browser nutzbar/einstellbar. Auch für beliebige Betriebssysteme verfügbar.

Die meisten Leute werden wohl auch Zoneminder nutzen, als IP-Cam-Software, was eine evtl. Software eines Herstellers obsolet macht.

Und hier gäbe es auch eine Kompatibilitätsliste: https://wiki.zoneminder.com/Hardware_Co ... rk_Cameras

Tja, ganz aktuell eine Meldung zur "Sicherheit" der von dir präferierten Foscam:
https://pierrekim.github.io/blog/2017-0 ... -0day.html
Die sind in der Liste der verwundbaren Typen ebenso präsent wie meine Maginon, die ich übrigens mühsam geszähmt habe indem sie hinter einem Reverse-Proxy sitzt, der auch gleich die komplette Kommunikation SSL-verschlüsselt. BTW: Foscam und meine haben auch einen offenen Telnet-Zugang mit einem leicht zu ergoogelnden PW. Mit Wireshark kann mann die Camera nach dem Einschalten schön jammern hören: "I am here, I am here, ..." ruft sie - und bekommt keine Antwort

Da ist dann Flash nur noch ein Übel mehr.