Linux-Magazin News

Das Unternehmen Statcounter veröffentlicht regelmäßig unter anderem die Marktanteile von Betriebssystemen und Browsern. Demnach verwendeten die meisten Nutzerinnen und Nutzer im Jahr 2022 den Browser Chrome. Firefox verlor langsam aber stetig Marktanteile.

Einen Einbruch gab es im März, zum Ende des Jahres lag der Markteinteil von Firefox nur bei 7,21 Prozent. Demgegenüber verwendeten Chrome zum Jahreswechsel 66,41 Prozent. Diese Zahlen gelten für die weltweite Nutzung. Gemäß Statcounter ist in Deutschland Firefox deutlich populärer: Dort lief er im letzten Jahr auf fast 20 Prozent aller Systeme. Chrome lag Ende des Jahres mit fast 45 Prozent aber auch in Deutschland vorne. Statcounter untersuchte allerdings nur die Browsernutzung unabhängig vom Betriebssystem. Es bleibt somit offen, ob die Marktanteile der Browser unter Linux identisch ausfallen.

In einer weiteren Statistik führt Statcounter die Marktanteile der Betriebssysteme auf. Demnach blieb der Marktanteil von Windows weltweit bis zum Jahresende unter 30 Prozent. Linux blieb relativ konstant bei etwas über 1 Prozent. Marktführer ist und bleibt Android mit 44,6 Prozent.

Die Statistiken sind allerdings mit Vorsicht zu genießen: Statcounter verwendet nach eigenen Angaben einen Tracking-Code auf über 1,5 Millionen Webseiten, über den das Unternehmen die Browser-Kennung ausliest. Server bleiben somit unerkannt, gleiches gilt für anonymisierte Browser.

Der Beitrag Beliebteste Browser und Betriebssysteme im Jahr 2022 erschien zuerst auf Linux-Magazin.

Nach rund einem Jahr Entwicklungszeit liegt eine neue Version von Busybox vor. Sie offeriert gleich mehrere neue Befehle, darunter tree, tsort und seedrng. Letztgenanntes Tool kann den Zufallsgenerator im Kernel über passende Seed Files initialisieren.

Die meisten Anwender dürften jedoch mit „tsort“ und „tree“ in Verbindung kommen. Letztgenanntes Werkzeug zeigt Verzeichnisse in einer Baumstruktur auf dem Bildschirm an. „tsort“ wiederum führt auf Daten eine topologischen Sortierung aus.

Des Weiteren lässt sich die PATH-Variable in „crontab“-Dateien setzen, während „fdisk“ mit Datenträger umgehen kann, die den Embedded Base Root Requirements (EBBR) folgen. Viele Kommandos kennen zudem weitere Standardparameter. So liefert etwa „sort“ mit „-h“ eine Hilfe. Auf x86-Systemen berechnet Busybox 1.36 via „libbb“ auf Wunsch hardwarebeschleunigt SHA1- und SHA256-Prüfsummen. „udhcpc6“ nutzt schließlich noch ein anderes Hilfsscript namens „/usr/share/udhcpc/default6.script“.

Busybox fasst zahlreiche Standard-Unix-Kommandos in einem äußerst kompakten Programm zusammen und kommt daher vor allem in Embedded Systemen zum Einsatz. Sämtliche Änderungen der Version 1.36 listet die offizielle Ankündigung auf.

Der Beitrag Busybox 1.36 bringt weitere Kommandozeilenwerkzeuge mit erschien zuerst auf Linux-Magazin.

Anwender, die die Machine-Learning-Bibliothek PyTorch als Nightly-Build zwischen dem 25. Dezember 2022 und dem 30. Dezember 2022 über “pip” auf Linux installiert haben, sollten ihn deinstallieren und die neuesten nächtlichen Binarys einspielen. Die Pakete hätten eine Abhängigkeit installiert, die im Python Package Index (PyPI) Code-Repository kompromittiert wurde und ein bösartiges Binärprogramm ausgeführt habe, melden die Entwickler.

Dieser Supply-Chain-Angriff betreffe direkt die Abhängigkeiten von Paketen, die in öffentlichen Paketindizes gehostet seien, heißt es weiter. Benutzer der stabilen PyTorch-Pakete seien nicht betroffen.

Das bösartige Binary werde ausgeführt, wenn das Triton-Paket importiert werde, was aber expliziten Code erfordere und nicht das Standardverhalten von PyTorch sei, teilen die Entwickler mit.

Bei dem betroffenen Paket handle es sich um “torchtriton”. Es sei in das Code-Repository Python Package Index (PyPI) hochgeladen worden und habe denselben Paketnamen getragen wie das Paket, das man im nightly PyTorch-Paketindex anbieten. Da der PyPI-Index Vorrang habe, sei aber dieses bösartige Paket anstelle der Version aus dem offiziellen Repository installiert worden.

Der Blog-Beitrag zum Problem nennt weitere Details und Prüfmöglichkeiten.

Der Beitrag Nightly-Builds von PyTorch waren kompromittiert erschien zuerst auf Linux-Magazin.

Mit Version 22.10 gilt das auf Ubuntu aufbauende Vanilla OS erstmals als stable und orientiert sich mit der Versionsnummer am unterliegenden Ubuntu. Die Macher hinter Vanilla OS sehen sich als Projekt, das sich viele Ziele setzt und Technologien wie das Apx-Subsystem, sein eigenes automatisches Aktualisierungssystem und die ABRoot-Transaktionen einsetzt.

Gnome 43 dient als Desktop-Umgebung, dabei habe man darauf geachtet, Gnome möglichst unverändert einzusetzen.Alle offiziellen Vanilla-OS-Anwendungen seien mit GTK4 und Libadwaita erstellt, um so konsistent wie möglich mit Gnome zu sein. Mit Apx führe man ein neues Paradigma in der Paketverwaltung ein. Die Idee dahinter verwende das System nur als eine Box zum Speichern der Dateien zu verwenden und halte es von Paketen sauber. Damit begrenze man das Risiko von Schäden durch schlecht konstruierte Pakete.

Umgesetzt werde das durch die Installation von Software in einem oder mehreren Containern, die komplett von Apx verwaltet würden, heißt es in der Ankündigung. Diese Container hätten nur eingeschränkten Zugriff auf die Systemressourcen könnten aber dennoch dieselben Treiber und Hardware verwenden. Standardmäßig stelle Apx einen Container zur Verfügung, der auf der jeweiligen Linux-Distribution basiere (Ubuntu 22.10 für Vanilla OS 22.10) und alle Befehle aus dem Paketmanager der Distribution (apt für Ubuntu) einbinde.

Nutzer könnten aber auch Pakete aus anderen Paketdistributionen installieren. Zum Beispiel werde mit dem –aur-Flag ein neuer Container auf Basis von Arch Linux erstellt. In diesem Fall verwaltet apx die Pakete aus dem AUR (Pacman und yay) und bindet sie eng in das Hostsystem ein. Die Verwendung des Flags–dnf mit apx erzeuge einen neuen Container auf der Basis von Fedora Linux. In diesem Fall verwalte apx die Pakete aus dem DNF-Repository von Fedora und integriere sie in das Wirtssystem.

ABRoot sei eine neue Technologie, die es ermöglicht, Änderungen an Ihrem System atomar durchzuführen und so das Risiko begrenze, das System kaputt zu machen. Atomarität beschreibe die Fähigkeit, einen bestimmten Vorgang so durchzuführen, dass bei einem Fehlschlag nichts verändert wird und bei einem Erfolg die Änderungen vollständig übernommen werde, so die Entwickler. ABRoot erreicht dies, indem es zwischen zwei Root-Dateisystemen agiere: A und B.

Die Ankündigung nennt weitere Features und erläutert den Installationsprozess.

Der Beitrag Vanilla OS wird stable erschien zuerst auf Linux-Magazin.

In einer Umfrage hat der Digitalverband Bitkom ermittelt, dass im Jahr 2022 rund 75 Prozent der Internetnutzer von Cyberkriminalität betroffen waren.

Bitkom hat dafür 1014 Personen ab 16 Jahren in Deutschland befragt, die das Internet nutzen. 22 Prozent haben angegeben, keine solchen Erfahrungen gemacht zu haben, 3 Prozent wollten keine Angaben machen. Im Vorjahr hatten 21 Prozent angegeben, nicht von Cyberkriminalität betroffen gewesen zu sein, 2020 waren es noch 34 Prozent, 2019 waren es 40 Prozent.

Fast die Hälfte der Internutzerinnen und -nutzer berichtet, dass persönliche Daten ungefragt weitergeben wurden (46 Prozent). Viele wurden zudem Opfer von Betrug, sowohl beim Online-Einkauf (29 Prozent) als auch bei Geldgeschäften wie Online-Banking oder dem Missbrauch der eigenen Kontodaten (13 Prozent). Bei rund einem Viertel (27 Prozent) wurde der Computer mit Schadprogrammen infiziert, 17 Prozent bemerkten solche Vorfälle auf dem Smartphone.

Von Ransomware-Attacken betroffen waren 2 Prozent auf dem Smartphone und 1 Prozent auf dem Computer. Bei 9 Prozent wurden Zugangsdaten zu Online-Diensten ausspioniert, 3 Prozent mussten Identitätsdiebstahl erleben. Auch in der direkten Interaktion mit anderen Onlinern gab es zahlreiche strafbare Handlungen. So wurden 23 Prozent im Internet massiv beleidigt oder angegriffen, 9 Prozent sind sexuell belästigt worden – mit 13 Prozent sind hier Frauen deutlich häufiger betroffen als Männer (6 Prozent).

Ein Drittel der Betroffenen (32 Prozent) hat auf die Vorfälle überhaupt nicht reagiert, rund die Hälfte (56 Prozent) hat das Gespräch mit Freunden und Bekannten gesucht und 6 Prozent haben andere auf die Vorfälle aufmerksam gemacht, etwa mit Beiträgen in sozialen Netzwerken. Ebenfalls knapp die Hälfte (47 Prozent) hat sich an das Unternehmen gewandt, das in Zusammenhang mit der kriminellen Aktivität stand, etwa die Social-Media-Plattform, die Bank oder der E-Mail-Anbieter. 18 Prozent haben ihren Account bei dem betreffenden Unternehmen gelöscht oder gekündigt. Rund ein Fünftel (18 Prozent) hat Strafanzeige bei der Polizei gestellt, 9 Prozent haben sich an andere Behörden wie etwa das Bundesamt für Sicherheit in der Informationstechnologie (BSI) gewandt und 1 Prozent hat einen Rechtsanwalt eingeschaltet. Praktisch niemand (0,1 Prozent) gibt an, auf Forderungen der Kriminellen eingegangen zu sein.

Eine breite Mehrheit der Onliner spricht sich für einen stärkeren Einsatz der Polizei gegen Cyberkriminalität aus. 97 Prozent fordern mehr Geld für spezielle Polizeieinheiten, die gegen Kriminelle im Internet vorgehen. Und 93 Prozent verlangen, dass die Polizei mehr Präsenz im digitalen Raum zeigt.

Der Beitrag Viele Internetnutzer von Cybercrime betroffen erschien zuerst auf Linux-Magazin.

Entwickler Daniel Stenberg hat immer wieder Probleme mit Großkonzernen und deren Open-Source-Einstellung. Über Apple zeigt er sich nun enttäuscht.

Der Hauptentwickler der Download- und Transferbibliothek Curl, Daniel Stenberg, berichtet in seinem Blog über eine Hardware-Spende eines “großzügigen” Mitglieds der größeren Curl-Community. Dabei handelt es sich um einen Mac Mini mit M1-Chip (Test), der für die Entwicklung genutzt werden soll. Stenberg nutzt die Gelegenheit aber auch erneut für Kritik an dem Hardware-Hersteller Apple und dessen Verhältnis zur Open-Source-Entwicklung.

Unter der Überschrift “Apple hilft nicht” schreibt der schwedische Entwickler: “Apple liefert und verwendet Curl seit zwanzig Jahren in seinen Produkten, aber weder unterstützen sie, noch helfen sie oder tragen auf andere Weise zur Entwicklung bei. Sie sponsern uns auch in keiner Weise, wie etwa mit Hardware.”

Schon allein deshalb sei das Curl-Projekt auf eine Hardware-Spende angewiesen, die Stenberg auch dankend angenommen hat. Denn Curl-Nutzer hätten natürlich auch ab und an Probleme auf Apple-Plattformen. Ohne direkten Zugriff auf die passende Hardware sei es aber schwierig, diese zu beheben. Der Entwickler weist dabei auf einen Tweet von Apple aus dem vergangenen Jahr hin, wo das Unternehmen als Antwort auf eine Support-Anfrage eines Nutzers der Apple-Systeme auf das Curl-Projekt verwies.

Damals schrieb Stenberg in seinem Blog: “Stellen Sie sich vor, Sie führen ein Billionen-Dollar-Unternehmen, das verschiedene Open-Source-Komponenten in Ihre Produkte bündelt und jährlich Milliarden von Dollar Gewinn macht. Wenn sich einer Ihrer Benutzer an Sie wendet und um Hilfe bittet, für ein Produkt, das Sie an Ihre Kunden liefern, verweisen Sie den Benutzer stattdessen auf das Open-Source-Projekt. Ein Projekt, das von Freiwilligen betrieben wird, das Sie nie mit einem Cent gesponsert haben. Wer würde so etwas nur tun?” Die Antwort lieferte Stenberg mit einem Screenshot des Tweets von Apple nach.

Die Curl-Bibliothek wird in einer Vielzahl von Produkten eingesetzt und ist vermutlich eines der am häufigsten verwendeten Open-Source-Projekte überhaupt. Die allermeisten mit dem Internet verbundenen Geräte dürften über eine Variante von Curl verfügen. Dazu gehören Waschmaschinen, Autos oder Fernsehgeräte ebenso wie klassische PC- und Server-Betriebssysteme. Die Finanzierung und Entwicklung von Curl erscheint im Vergleich dazu aber extrem prekär, finanzielle Unterstützung durch die Unternehmen gibt es so gut wie nie.

So hat Stenberg den Code über einen Zeitraum von etwa zwei Jahrzehnten ausschließlich in seiner Freizeit gepflegt. Erst seit wenigen Jahren kann der Entwickler in Vollzeit an dem Projekt arbeiten. Mithilfe von Geld aus dem Sovereign Tech Fund der Bundesregierung soll es möglich werden, dass erstmals ein zweiter Entwickler direkt an Curl arbeiten kann – zunächst für sechs Monate.

Die Situation scheint aber vielen Nutzern nicht immer bewusst zu sein. So berichtet Stenberg mehr oder weniger regelmäßig von Support-Anfragen durch Endnutzer, die Stenbergs E-Mail offenbar in den Lizenzhinweisen diverser Produkte finden. Darüber hinaus erhielt der Entwickler, erst Anfang dieses Jahres eine dringende E-Mail eines Fortune-500-Konzerns, mit der Bitte um Antwort innerhalb von 24 Stunden. Das Unternehmen ist offenbar davon ausgegangen, einen Support-Vertrag für Curl zu haben, was nicht der Fall war.

Der Beitrag Curl-Entwickler kritisiert fehlende Unterstützung von Apple erschien zuerst auf Linux-Magazin.

Steht Mike Schilli vor der Qual der Wahl, eine Wandertour aus seiner Sammlung von Stadtwanderwegen herauszusuchen, greift er zu einem selbst gebauten Vorschlagsprogramm.

Im Video demonstriert er seine Lösung

Youtube-Video An dieser Stelle finden Sie externe Inhalte von Youtube. Zum Schutz Ihrer persönlichen Daten werden externe Einbindungen erst angezeigt, wenn Sie dies durch Klick auf "Alle externen Inhalte laden" bestätigen: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt. Für weitere Informationen besuchen Sie die Datenschutzseite.

Der Beitrag Snapshot 02/2023: Tourenvorschläge aus dem Fundus holen erschien zuerst auf Linux-Magazin.

Matrix blickt auf ein erfolgreiches Jahr zurück – die Nutzerzahlen haben sich verdoppelt. Doch fehlende Finanzierung gefährdet die Kernentwicklung.

Im Matrix-Netzwerk ist im Jahr 2022 viel passiert – unter anderem haben sich die Nutzerzahlen verdoppelt, wie der Matrix-Gründer Matthew Hodgson in einem Blogeintrag schreibt. Allerdings gibt es auch Probleme, vor allem die Finanzierung der Kernarbeit an Matrix gestaltet sich schwierig.

“Dank der Situation bei Twitter erlebt die Welt ein großes Erwachen hinsichtlich der Bedeutung der Dezentralisierung”, schreibt Hodgson. Die Anzahl der sichtbaren Matrix-IDs habe sich von 44,1 auf 80,3 Millionen nahezu verdoppelt. Gleichzeitig gebe es viele neue Akteure im Matrix-Ökosystem: So scheine Reddit eine Chatfunktion auf Basis des Matrix-Protokolls zu entwickeln. Teamspeak habe den matrixbasierten Chat TS5 angekündigt. Auch Discourse arbeite an einer Matrix-Unterstützung und Thunderbird habe diese bereits eingeführt.

Von Luxemburg bis zur Ukraine sei von etlichen Regierungen Matrix eingeführt worden, erklärte Hodgson. In Deutschland wolle die BWI, das IT-Systemhaus der Bundeswehr, einen Bundesmessenger auf Matrix-Basis den Behörden anbieten, die Gematik Ärzten und Krankenkassen. Zudem sei die Fosdem 2022 mit mehr als 23.000 Teilnehmern über Matrix abgewickelt worden. Und WordPress-Entwickler Automattic arbeite an einem entsprechenden Plug-in für WordPress.

“Andererseits haben nur eine Handvoll dieser Initiativen dazu geführt, dass das Matrix-Kernteam Mittel erhalten hat. Dies gefährdet unmittelbar die Kernentwicklung von Matrix”, schreibt Hodgson. Damit sei man Zeuge der klassischen Tragik der Allmende (Tragedy of the Commons). Nach dieser sozialwissenschaftlichen Theorie werden Allgemeingüter, die frei verfügbar sind, aber über begrenzte Ressourcen verfügen, übernutzt.

Matrix sei Open Source und so weit entwickelt, dass es breit und in großem Maßstab eingesetzt werden könne. Das Netzwerk expandiere auch exponentiell. “Es zeigt sich jedoch, dass die große Mehrheit dieser kommerziellen Implementierungen keinen finanziellen Beitrag zur Matrix Foundation leistet – sei es durch direkte Spenden oder indirekte Unterstützung durch die Zusammenarbeit mit Element, die heute den größten Teil der Kernentwicklung von Matrix finanzieren”, kritisiert Hodgson.

Element sei nicht mehr in der Lage, die gesamte Matrix Foundation für alle anderen zu finanzieren und habe bereits einige Mitarbeiter des Kernteams entlassen müssen. Man arbeite daher an einem Ansatz, der sowohl die Gemeinschaft stärke als auch Organisationen zur Teilnahme ermutige.

Auch entwicklungstechnisch ist im vergangenen Jahr viel passiert. So wurde mit Vodozemac eine Rust-Implementierung der Ende-zu-Ende-Verschlüsselung Olm/Megolm geschaffen und auditiert, die wiederum auf der Signal-Verschlüsselung basiert. Diese soll in Element R zum Einsatz kommen, das sich allerdings wegen verantwortlich gemeldeter und behobener Sicherheitslücken in den bisherigen Implementierungen verzögert hat.

Ebenfalls in Arbeit ist ein Open-Source-Metaverse namens Third Room, das auf Matrix aufbaut. Hinzu kommen Voice over IP (VoIP), der leichtgewichtige Matrix-Webchat Hydrogen und Chatterbox.

Der Beitrag Viele nutzen Matrix, wenige finanzieren es erschien zuerst auf Linux-Magazin.

Der Krieg in der Ukraine schlägt sich auch in den Top-10 der Suchbegriffe von Google im Jahr 2022 in Deutschland nieder. Der Begriff Ukraine ist auf Platz 1. Der russische Präsident Vladimir Putin kommt auf Platz 5.

Platz 2 und 3 belegen die Sportereignisse WM 2022 und Olympia 2022. Die Queen kommt auf Platz 4. Erstmals seit Beginn der Pandemie ist Corona nicht mehr unter den ersten zehn meistgesuchten allgemeinen Suchbegriffen bei Google.

Top-Ten-Liste der allgemeinen Suchanfragen aus Deutschland bei Google

Bei den Schlagzeilen hat die Nutzer ebenfalls die Ukraine am häufigsten beschäftigt. Es folgen Affenpocken, 9-Euro-Ticket, Hitzewarnung und Layla. Vladimir Putin belegt auch Platz 1 der Top 10 der gesuchten Persönlichkeiten 2022 in Deutschland. Johhny Depp, Amber Heard und Boris Becker folgen auf den Plätzen 2 bis 4.

Nutzer geben bei Google auch ganze Fragen ein. In den Fragen des Jahres spiegelt sich ein breites Spektrum an Themen wider. Es wurde etwa bei den Was-Fragen am häufigsten gefragt: Was sind Akren?, Was ist die NATO, Was ist ein Oligarch?. Und die Fragen, Warum greift Russland Ukraine an?; Warum ist Diesel teurer als Benzin? Und Warum spielt Alexandra Popp nicht?, beschäftigten die Deutschen am häufigsten.

Google bietet einen detaillierten Rückblick auf das Jahr 2022 an.

Der Beitrag Googles Suchbegriffe des Jahres 2022 erschien zuerst auf Linux-Magazin.

37 Prozent der Menschen in Deutschland nutzen weiterhin die Corona-Warn-App des Bundes. Weitere 17 Prozent haben die App früher genutzt, sie mittlerweile aber wieder deinstalliert.

ZU diesem Ergebnis kommt eine repräsentative Befragung des Digitalverbandes Bitkom unter 1144 Menschen in Deutschland ab 16 Jahren. 61 Prozent der Befragten stimmten auch der Aussage zu, die App solle über das Frühjahr hinaus weiterentwickelt und mit Updates versorgt werden. Aktuell plane die Bundesregierung, die App bis Ende Mai 2023 weiterzubetreiben. 32 Prozent der Nutzer hat die Corona-Warn-App nach eigenen Angaben konkret dabei geholfen, sich selbst oder andere vor einer Ansteckung mit dem Corona-Virus zu schützen.

Der Umfrage zufolge haben 92 Prozent die App auf ihrem Smartphone im Einsatz, um gewarnt zu werden oder andere zu warnen. 68 Prozent haben in der App ihren Impfstatus gespeichert. Sieben Prozent nutzen andere Funktionen der App wie etwa das Tagebuch oder die Eventregistrierung. Nach offiziellen Angaben wurde die Corona-Warn-App seit ihrem Launch im Juni 2020 fast 48 Millionen Mal heruntergeladen. Rund 55 Millionen Menschen ab 16 Jahren nutzen in Deutschland ein Smartphone.

Der Beitrag Corona-Warn-App wird weiter genutzt erschien zuerst auf Linux-Magazin.

Dass das US-Militär beim Abzug aus Afghanistan Geräte zur biometrischen Erfassung von Menschen zurückgelassen haben sollen, hat den Chaos Computer Club alarmiert. Dem CCC ist es dann laut eigenen Angaben gelungen, über Internet-Auktionen solche Geräte zu ersteigern, inklusive einer umfassenden Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos von 2632 Personen, teilen die CCC-Aktivisten mit.

Wie der CCC berichtet, haben sich die Mitglieder Matthias Marx, Snoopy, Starbug und md Informationen zu diesen Geräten beschafft und seien dabei auf mehrere Angebote bei einem Online-Auktionshaus gestoßen. Es sei dann gelungen, insgesamt vier Geräte des Typs SEEK II (Secure Electronic Enrollment Kit) und zwei Geräte des Typs HIIDE 5 (Handheld Interagency Identity Detection Equipment) zu ersteigern.

Die forensische Untersuchung sei geradezu langweilig verlaufen, heißt es weiter, weil sämtliche Datenträger unverschlüsselt gewesen seien und als Zugangsschutz lediglich ein gut dokumentiertes Standardpasswort diente. Auch bei der Datenbank mit den biometrischen Daten habe es sich um eine Standard-Datenbank mit Standard-Datenformaten gehandelt, die vollständig exportiert werden konnte.

Auf den verschiedenen Geräten haben die CCC-Mitglieder Namen und biometrische Daten zweier US-Militärs, GPS-Koordinaten vergangener Einsatzorte sowie die Biometrie-Datenbank mit Namen, Fingerabdrücken, Iris-Scans und Fotos der 2632 Personen gefunden. Das Gerät mit dieser Datenbank sei zuletzt Mitte 2012 irgendwo zwischen Kabul und Kandahar eingesetzt worden, berichtet der CCC.

“Der verantwortungslose Umgang mit dieser Risiko-Technologie ist unfassbar”, sagte Matthias Marx, der die CCC-Forschungsgruppe geleitet hat. Die Konsequenzen seien lebensbedrohlich für die vielen Menschen in Afghanistan, die von US- und Bundesregierung im Stich gelassen worden seien. “Uns ist unbegreiflich, dass es den Hersteller und die militärischen ehemaligen Nutzer nicht kümmert, dass gebrauchte Geräte mit sensiblen Daten online verhökert werden”, sagte Marx weiter.

Der CCC habe den Hersteller der SEEK-Geräte, Crossmatch Technologies (heute: HID Global), und zwei bekannte Nutzer der Geräte, das US Department of Defense und die deutsche Bundeswehr über die Schwachstelle informiert. Insbesondere habe man darauf hingewiesen, dass gebrauchte Geräte mit hochsensiblen Daten einfach im Internet bestellt werden können.

Von der Bundeswehr sei lediglich eine Empfangsbestätigung gekommen, das Department of Defense habe an den Hersteller verwiesen, und der Hersteller habe nichts unternommen. Zweieinhalb Monate nach dieser Meldung habe man ein weiteres Biometrie-Gerät online bestellen können.

Der Beitrag CCC ersteigert Biometrie-Datenbank des US-Militärs erschien zuerst auf Linux-Magazin.

Der Linux-Kernel verfügt seit vergangenem Jahr über eine eigene SMB-Implementierung. Diese enthält eine sehr gefährliche Lücke – Updates stehen bereit.

Die Sicherheitsforscher des Thalium-Teams des Rüstungskonzerns Thales haben eine Sicherheitslücke in der Umsetzung des SMB-Protokolls im Linux-Kernel (Ksmbd) gefunden, die als besonders kritisch eingestuft wird. Das Team der Zero Day Initiative (ZDI) von Trend Micro vergibt für die Lücke gar den CVSS-Höchstwert 10.0. Immerhin ermögliche die Lücke das Ausführen von Code mit Kernel-Rechten (Remote Code Execution, RCE), ohne dass eine Authentifizierung notwendig sei.

Das von Samsung initiierte Kernel-Modul Ksmbd soll eine Alternative zu Samba sein, das bisher unter Linux als Standardimplementierung des SMB-Protokolls dient, welches ursprünglich aus Windows stammt. Samba läuft allerdings im Userspace, so dass Ksmbd im Gegensatz dazu die Vorteile des Kernels nutzen können soll, wie etwa eine höhere Geschwindigkeit.

Erstmals in Linux integriert wurde das Ksmbd mit Linux 5.15. Auf die Sicherheit des Linux-Kernels fokussierte Entwickler kritisierten aber schon früh die schlechte Qualität des Codes und offenbar auch fehlende Vorkehrungen, wie LWN.net berichtete. Auf Grund der vergleichsweise geringen Entwicklungszeit von Ksmbd bisher ist davon auszugehen, dass das Modul bisher wenig Verbreitung gefunden hat und die meisten Nutzer weiterhin auf Samba setzen.

Bei der nun veröffentlichten Lücke handelt es sich um einen Use-After-Free-Fehler, der offenbar automatisiert gefunden wurde. Dazu heißt es bei der ZDI: “Das Problem ergibt sich aus dem Fehlen der Validierung der Existenz eines Objekts vor der Durchführung von Operationen an dem Objekt.” Ein Patch für die Lücke wurde bereits im Juli dieses Jahres in die stabilen Zweige des Linux-Kernels integriert, die beteiligten Forscher entschieden sich aber erst jetzt zu einer koordinierten Veröffentlichung.

Der Beitrag Ksmbd: Kritische Lücke im SMB-Dienst des Linux-Kernels erschien zuerst auf Linux-Magazin.

Die Entwickler von Tails, the amnesic incognito live system, bezeichnen die neue Version 5.8 als das wichtigste Release seit Jahren. Version 5.8 bringe eine umfassende Neugestaltung bestehender Funktionen, wichtige Verbesserungen der Benutzerfreundlichkeit und erhöhte Sicherheit.

Zu den Highlights zählen die Entwickler die komplette Neugestaltung der Persistent Storage Funktion. Der Persistent Storage habe sich seit seiner ersten Veröffentlichung im Jahr 2012 kaum verändert, da der Code schwer zu ändern und zu verbessern war, berichten die Entwickler.

Zu den Neuerungen des Persistent Storage zähle nun, dass kein Neustart mehr erforderlich sei, nachdem der persistente Speicher erstellt wurde oder wenn eine neue Funktion aktiviert werde. Zudem könne das Passwort des persistenten Speichers in der neuen Anwendung geändert werden. Nicht zuletzt lasse sich der Persistent Storage direkt vom Willkommensbildschirm aus erstellen, wenn noch keiner vorhanden sei.

Das veraltete X.Org haben die Entwickler durch Wayland ersetzt. Auch wenn der Nutzer keinen visuellen Unterschied bemerke, bringe Wayland mehr Sicherheit in die Tiefe von Tails, da es für eine kompromittierte Anwendung in Tails schwieriger werde, eine andere Anwendung zu kompromittieren oder zu missbrauchen, schreiben die Entwickler.

Die Ankündigung nennt weitere Details und gibt Hinweise zum Download und der Installation.

Der Beitrag Tails 5.8 ist ein Major-Release erschien zuerst auf Linux-Magazin.

In der neuen Version 4.2.0 des Raw-Foto-Editors Darktable stecken diverse neue Funktionen. Ein neues Modul für die Sigmoid-Darstellungstransformation ist eine davon.

Das Sigmoid-Modul könne anstelle der Module für Film- und Basiskurven verwendet werden, heiß´t es in der Ankündigung.

Desweiteren sind zwei neue Algorithmen im Modul für die Glanzlichtrekonstruktion enthalten: “inpaint opposed” und “segmentation based”. Der Algorithmus “inpaint opposed” habe sich als sehr stabil erwiesen und liefere in vielen Bildern gute Ergebnisse, so dass er den Algorithmus “clip highlights” als neuen Standardalgorithmus ersetze, teilen die Entwickler mit.

Das Snapshot-Modul haben die Macher von Darktable komplett überarbeitet. Statt einer festen Bildschirmaufnahme könne es nun eine dynamisch generierte Ansicht liefern, die die neue Pixelpipe-Funktionalität verwende. Die Aufnahme lasse sich nun mit Tastatur/Maus zoomen und schwenken.

Es sei nun auch möglich, den Effekt eines benutzerdefinierten Stils auf ein Bild in der Vorschau anzuzeigen, bevor er angewendet werde. Wenn der Mauszeiger über den Namen des Stils im Modul “Lighttable Styles” oder im Schnellzugriffsmenü der Dunkelkammer bewegt wird, erscheint ein Tooltip, der das Bild mit dem angewendeten Stil zusammen mit Details zu enthaltenen Modulen anzeige.

Das Team empfiehlt ein Backup, bevor das Update eingespielt wird.  Wer von der stabilen 4.0.x-Serie aktualisiere, sollte bedenken, dass die Änderungen während dieses Prozesses erhalten bleiben, aber die neue Bibliothek und Konfiguration nicht mehr mit 4.0.x verwendet werden könne.

In der Ankündigung sind weitere Informationen enthalten.

Der Beitrag Darktable 4.2.0 mit neuen Funktionen erschien zuerst auf Linux-Magazin.

Das Kölner Open-Source-Unternehmen Bareos (Backup Archiving Recovery Open Sourced) hat seine gleichnamige freie Software für Datensicherung und Archivierung in Version 22 veröffentlicht. Die neue Ausgabe bringe unter anderem eine verbesserte IO-Performance der Plugins.

Dazu zählt, dass Python-Plugins für den Bareos File Daemon (FD) nun Lese- und Schreiboperationen direkt vom Bareos-Kern ausführen lassen können, ohne Umweg über den Python-Code, heißt es in der Ankündigung. Das sei zwar nicht für jedes Plugin möglich oder sinnvoll, merken die Entwickler an, bei entsprechend angepassten Plugins lasse sich so aber die Performance verdoppeln und ein Backup über ein Python-Plugin sei damit genauso schnell wie eine Sicherung direkt über den File Daemon.

Verbessert zeigt sich auch das VMware-Plugin. Das erstelle bereits seit Bareos 15.2 vollständige und inkrementelle Backups. Bislang sei es aber nur möglich gewesen, bestehende virtuelle Maschinen wiederherzustellen, mit Bareos 22 ließen sich nun auch neue VMs aus den Sicherungen erzeugen. Administratoren könnten dazu Zielordner, Rechner, Cluster und Datenspeicher frei wählen.

Bareos 22 fasse mehrere RHEL-Plattformen zusammen und stelle dafür nun ein einziges Paket bereit. Die Entwickler haben außerdem Ubuntu 22.04, Fedora 36 und 37, RHEL-9-Ableger (Rocky Linux, AlmaLinux, Oracle Linux, CentOS Stream) und OpenSUSE/SLES 15.4 in die Liste der unterstützten Distributionen aufgenommen.

Als Tech Preview haben die Entwickler eine erste Version der sogenannten Backup Checkpoints vorgestellt. Das Feature ermögliche die Wiederherstellung von unvollständigen Backup-Jobs.

Der Beitrag Bareos 22: Mehr Leistung für Plugins erschien zuerst auf Linux-Magazin.

Der Firefox-Hersteller Mozilla will in Kürze eine öffentliche Mastodon-Instanz hosten und das sogenannte Fediverse stärker unterstützen.

Der Browserhersteller Mozilla reagiert offenbar auf das gestiegene Interesse an Mastodon und ähnliche Alternativen zu etablierten sozialen Netzwerken und kündigt an, noch zu Beginn des Jahres 2023 eine öffentlich verfügbare Fediverse-Instanz unter der Domain Mozilla.social zu starten.

Dazu heißt es: “Wir sind bestrebt, uns der Community anzuschließen, um zu wachsen, zu experimentieren und zu lernen, wie wir gemeinsam die Herausforderungen zur Technik, Erfahrung und Vertrauenswürdigkeit lösen können, die hyperskalierten sozialen Systemen innewohnen.” Ziel sei demnach ein föderierter sozialer Raum, der unabhängig von Profitinteressen sei. Details dazu, wie und ob sich das Angebot von Mozilla refinanzieren soll, machten die Beteiligten bisher nicht. Der Firefox-Hersteller experimentiert aber seit Jahren mit Angeboten, die über Abo-Gebühren finanziert werden.

Mozilla arbeite darüber hinaus seit Jahren an Produkten, die in Zeiten des Überwachungskapitalismus für “Individualität und Privatsphäre” stünden. “Wir hoffen, diese Erfahrung in den Dienst des Fediverse einbringen zu können, genauso wie wir hoffen, von denen zu lernen, die bereits hart in dieser Gemeinschaft arbeiten”, betont das Team.

Die kommende Mastodon-Instanz soll für Mozilla aber zunächst nur der erste Schritt in das Fediverse sein. Das Potenzial dafür sei aber größer und breiter, heißt es. Dafür wird auf andere Projekte wie etwa Pixelfed verwiesen oder auch das Chat-Netzwerk Matrix. Mozilla schreibt: “Gemeinsam haben wir die Möglichkeit, die Lehren aus der Vergangenheit anzuwenden, um eine soziale Erfahrung für die Menschheit aufzubauen, die gesund, nachhaltig und vor der zentralisierten Kontrolle einer einzelnen Einheit geschützt ist.”

Der Beitrag Mozilla will öffentliche Mastodon-Instanz starten erschien zuerst auf Linux-Magazin.

Suse hat für seine Adaptable Linux Platform (ALP) einen neuen Prototypen veröffentlicht. Neu ist unter anderem der D-Installer.

Mit der neuen ALP-Version, die den Codenamen Punta Baretti nach einem Gipfel in den französischen Alpen trägt, bringt Suse die zweite Version seiner Plattform. Gestartet im September  soll ALP für Suse die nächste Generation von Linux darstellen und eine anwendungsorientierte, sichere und flexible Plattform sein, die sich auf die Arbeitslasten konzentriert und von der Hardware und den Anwendungslaufzeitschichten abstrahiert.

Die auf ALP basierenden Produkte und Lösungen verwendeten containerisierte Workloads, um verschiedene Prozesse auf der Anwendungsebene zu isolieren, schreibt German M. Yebenes, Technical Marketing Manager bei Suse. Diese würden dann mit K3s für Kubernetes-basierte Workloads oder Podman für nicht-K8s-basierte Workloads verwaltet.

Der D-Installer, den das YaST-Team entwickelt hat, biete Wiederverwendbarkeit und Integration mit Tools von Drittanbietern. Zudem sei es möglich, darauf fortgeschrittene Benutzeroberflächen aufzubauen. In einer sicheren Umgebung könne D-Installer ALP auf verschlüsselten Datenträgern mit FDE (Full Disk Encryption) bereitstellen.

YaST in Containern sei in ALP seit dessen Einführung verfügbar, berichtet der Manager weiter. Dadurch könnten Benutzer die Paketverwaltung und andere Module als Workloads nach dem ALP-Modell ausführen. Viele YaST-Clients seien nun bereits für die Ausführung in Containern angepasst worden, darunter Bootloader, iSCSIClient, Kdump und Firewall. Alle YaST-Container seien über das Projekt im Open Build Service verfügbar, heißt es weiter.

ALP wird von Arbeitsgruppen weiterentwickelt, wer sich beteiligen wolle, finde hier die Diskussion. Die Dokumentation für ALP sei um Punta Baretti erweitert worden. ALP-Images gebe es unter dieser Adresse. In der Ankündigung sind weitere Neuerungen beschrieben.

Der Beitrag Suses Adaptable Linux Plattform mit neuem Prototypen erschien zuerst auf Linux-Magazin.

Obwohl Memtest86+, die Distribution zur Systemrettung, nur die hinterste Stelle der Versionsnummer erhöht, bringt sie ein paar interessante Neuerungen mit. Unter anderem steht das Tool Inxi bereit, als Desktop-Umgebung dient das neue Xfce 4.18.

Über das Grub-Bootmenü lässt sich auf UEFI-Systemen das Hauptspeichertestprogramm Memtest86+ 6.00 anwerfen. Neu an Bord ist Inxi, das detaillierte Hardwareinformationen liefert.

Wer SystemRescue unter Linux auf einen USB-Stick schreiben möchte, kann sich ab sofort vom „systemrescue-usbwriter“ helfen lassen. Das Werkzeug liegt im Quellcode und als AppImage vor.

In der YAML-Konfigurationsdatei kamen im Scope „sysconfig“ die Einstellungen „bash_history“ und „hosts“ hinzu. Die ISO-Images verfügen zudem über eine eingebettete Prüfsumme, mit denen sich Defekte aufspüren lassen. Abschließend soll „pacman-faketime“ zusammen mit „libfaketime“ abgelaufene Paketsignaturen umgehen. Sämtliche Neuerungen listet auch noch einmal das offizielle Changelog auf.

Der Beitrag SystemRescue 9.06 bietet Memtest86+ 6.00 erschien zuerst auf Linux-Magazin.

25 Jahre nach der ersten Veröffentlichung hat GnuPG-Hauptentwickler und Betreuer Werner Koch Version 2.4.0 des GNU Privacy Guard (GnuPG) veröffentlicht.

GnuPG ist eine vollständige und freie Implementierung der Standards OpenPGP und S/MIME. Vor 25 Jahren ist die erste Version erschienen. Werner Koch, Mitbegründer der Free Software Foundation Europe (FSFE) und Hauptautor von GnuPG hatte 1997 einen Vortrag von Richard Stallman gehört, in dem der Initiator des GNU-Projekts und Gründer der Free Software Foundation sich eine freie Alternative zu PGP (Pretty Good Privacy) wünschte, das wegen US-Exportbeschränkungen nicht zu einem freien, weltweiten Standard werden konnte. Daraufhin hat Werner Koch GnuPG erfunden.

In der neuen Ausgabe sind diverse Features hinzugekommen. In der Ankündigung heißt es, dass der Schlüsseldatenbank-Daemon nun eine vollständig unterstützte Funktion sei.  Die Schlüssel seien in einer SQLite-Datenbank gespeichert, um die Suche danach zu beschleunigen. Aktivieren lasse sich die Funktion über das Hinzufügen von “use-keyboxd” zur common.conf.

In der Ankündigung sind alle Neuerungen aufgelistet. Der Download ist über die Projektseite möglich.

Der Beitrag Jubiläumsausgabe: GnuPG in Version 2.4.0 erschien zuerst auf Linux-Magazin.

Das freie Antrags- und Versammlungssystem OpenSlides ist nach drei Jahren Entwicklungszeit in Version 4.0 erschienen. Die neue Version integriert neben anderen Neuerungen ein Gremienmanagementsystem.

Damit seien neue organisatorische Möglichkeiten verbunden, teilen die Entwickler der unter MIT-Lizenz stehenden Software mit. OpenSlides ermöglicht damit die Abbildung von Gremienstrukturen und bietet die Option, beliebig viele Veranstaltungen unter einer zentralen URL zu erstellen und zu managen.

Gremienmanagement in OpenSlides.

Einer weitere zentrale Neuerung stelle die neue Benutzeroberfläche “Organisationsbene” dar. Die Organisationseben beinhalte das Gremienmanagmentsystem, eine zentrale Account-Verwaltung und einen Veranstaltungskalender als neue Startseite.

Neuerungen gibt es auch beim Verwalten von Veranstaltungen. Pro Account sei veranstaltungsübergreifend nur noch ein Login nötig. Die Zugriffsberechtigungen steuert ein dediziertes Rechtemanagement. Nutzende dürfen damit nur auf die Veranstaltungen zugreifen, für die sie freigeschaltet seien.

Alle Neuerungen von Version 4.0 listet das Changelog auf.

Der Beitrag OpenSlides 4.0 integriert ein Gremienmanagementsystem erschien zuerst auf Linux-Magazin.