Linux-Magazin News

Nur kurz nach der Veröffentlichung von Ubuntu 23.10 musste Canonical die Startmedien schon wieder offline nehmen. Ein Übersetzer hatte offenbar menschenverachtende und unpassende ukrainische Texte in den Installationsassistenten geschmuggelt.

Nach eigenen Angaben fiel dies Canonical rund drei Stunden nach der Veröffentlichung auf. In der Folge stoppte man die Downloads und entfernte die betroffenen Startmedien von den Download-Servern.

Die eingeschmuggelte „Hate Speech“ soll ausschließlich im grafischen Installationsassistenten der Desktop-Version zu sehen gewesen sein. Die Texte landeten folglich nicht in der fertigen Installation und treten auch nicht bei einem Upgrade in Erscheinung. Des Weiteren waren nur Ubuntu Desktop 23.10, das ARM64-Image von Ubuntu Desktop 23.10 für Lenovo X13s sowie Ubuntu Budgie 23.10 betroffen.

Mittlerweile hat Canonical korrigierte Startmedien bereitgestellt. Sie tragen zur Unterscheidung die Versionsnummer 23.10.1. Um zukünftig solche ungewollten Änderungen zu verhindern, wollen die Entwickler entsprechende neue Sicherheitsmechanismen einführen.

Der Beitrag Hate Speech: Ubuntu 23.10 manipuliert erschien zuerst auf Linux-Magazin.

Experten des Security-Anbieters Kaspersky haben Datenschutzrisiken der beruflichen Nutzung von LLM-basierte Chatbots identifiziert.

Dazu zählt als erste Gefahr ein Datenleck oder Hack seitens des Providers selbst, berichtet Kaspersky. Denn obwohl LLM-basierte Chatbots von großen Tech-Konzernen betrieben würden, seien sie nicht immun gegenüber Hackingangriffen oder unabsichtlichen Datenlecks. So habe es bereits einen Zwischenfall gegeben, bei dem ChatGPT-Nutzer Eingaben aus dem Nachrichtenverlauf anderer Nutzer sehen konnten, teilt Kaspersky mit.

Datenlecks durch Chatbots zählen ebenfalls zu den Risiken. Da die Chats sich zumindest theoretisch dazu verwenden lassen, um neue Chatbot-Modelle zu trainieren, sollten Nutzer bedenken, dass Daten, die in den Trainingskorpus eingegeben werden, bewusst oder unabsichtlich von Anwendern desselben Sprachmodells aufgerufen werden können. Da LLMs anfällig gegenüber „unabsichtlicher Speicherung“ seien, könnten sie sich einzigartige Sequenzen wie Handynummern merken, die nicht die Modellqualität verbessern, aber die Privatsphäre gefährden, berichten die Experten. Allerdings würden B2B-Lösungen normalerweise keine Chatverläufe speichern und in manchen Fällen auch keine Daten an den Unternehmensserver senden, da der Chatbot lokal im Kundennetzwerk operiere.

Nicht zuletzt zählt das Knacken von Mitarbeiter-Accounts zu den Risiken. Angreifer könnten dann durch Phishing-Angriffe oder Credential Stuffing in Angestellten-Accounts eindringen und auf fremde Daten zugreifen. Außerdem finde die Kaspersky Digital Footprint Intelligence regelmäßig Darknet-Beiträge, die Chatbot‑Accounts zum Verkauf anbieten.

Der Beitrag Risiken der beruflichen ChatGPT-Nutzung erschien zuerst auf Linux-Magazin.

Mit OpenBSD 7.4 können die Entwickler die inzwischen 55. Release des Betriebssystems ankündigen.  Version 7.4 biete signifikante Verbesserungen, einschließlich neuer Features, in fast allen Bereichen des Systems, heißt es weiter.

Entsprechend lang ist die Liste der Neuerungen und Änderungen in der Ankündigung von Hauptentwickler Theo de Raadt.Release Notes. Zu den Neuerungen zählt ein kqueue1()-Systemaufruf, der ein Close-on-Exec-Verhalten ermöglicht. Außerdem gibt es eine verbesserte Integrität des Arm64-Kontrollflusses und Unterstützung für TCP-Segmentierungs-Offloading.

Zu en Bugfixes zählt, dass es kein undefiniertes Verhalten bei der Verwendung von MS-DOS-Dateisystemen mehr gibt. Die Korrekturen für diesen Bug habe man von FreeBSD importiert, teilt de Raadt mit.

Zudem ist es VMM-Gästen nun erlaubt, Supervisor IBT (Indirect Branch Tracking)zu aktivieren und zu verwenden. Bei den Treibern gibt es ebenfalls diverse Updates, etwa einen Treiber für den Qualcomm RNG-Chip, der auf dem ThinkPad X13s als Random Number Generator zum Einsatz kommt. In der Mitteilung sind alle Neuerungen und Änderungen vermerkt.

Der Beitrag OpenBSD 7.4 bringt Neuerungen erschien zuerst auf Linux-Magazin.

Mit KDE Connect lassen sich Smartphone und Laptop miteinander verbinden. Play Protect entfernt die App, wenn diese über F-Droid installiert wurde.

Die Android-App KDE Connect wird derzeit durch die Sicherheitstechnik Play Protect von Google automatisch von zahlreichen Smartphones entfernt. Das geht unter anderem aus Berichten auf X, vormals Twitter, oder auch einer Diskussion auf Reddit hervor. Auch in der Golem-Redaktion ist die App auf einem Pixel 6a mit aktuellem Android 14 durch Play Protect gelöscht worden.

Der KDE-Entwickler Niccolò Venerandi schreibt dazu vor einigen Tagen: “Es ist offiziell: Google deinstalliert wahllos KDE Connect von den Telefonen der Nutzer, ohne dass es dafür eine Erklärung gibt.” Inzwischen zeigt sich aber, dass dies nicht wirklich wahllos geschieht, sondern wohl nur jene Installation betrifft, die über den alternativen Open-Source-Store F-Droid bezogen werden. Das zumindest schreibt der Betreuer von KDE Connect, Albert Vaca Cintora. Die über den Play Store vertriebene App, welche aus dem exakt gleichen Quellcode erstellt wird, ist von den Löschungen wohl nicht betroffen.

In der Benachrichtigung von Play Protect zu der automatisierten Löschung heißt es, dass dies aus Sicherheitsgründen geschehe und es sich bei der App um eine Fälschung handele. Die App könne demnach personenbezogene Daten wie Bankinformationen oder Passwörter stehlen. Wie die Systeme Googles zu dieser Einschätzung kommen, ist derzeit nicht klar. Vaca kritisiert zudem, dass es für Entwickler wie ihn keine Möglichkeit gebe, das zugrunde liegende Problem einer automatischen Einordnung mit einem Menschen bei Google zu besprechen, um eine Lösung dafür zu finden. Der Entwickler fragt sich außerdem, ob dieses Verhalten im Einklang mit europäischem Wettbewerbsrecht stehe.

Die App selbst bietet in Zusammenarbeit mit einem Desktop-Client, der auch für Gnome, Windows oder MacOS bereitsteht, eine Verbindung des Smartphones mit einem Rechner. So können darüber die Zwischenablage geteilt werden, Dateien übertragen werden oder die Benachrichtigungen synchronisiert werden. Auch eine Mediensteuerung ist möglich oder die Nutzung des Smartphones als virtuelles Eingabegerät für den Laptop etwa zur Steuerung für Präsentationen oder als externes Touchpad.

Der Beitrag Google entfernt KDE-App aus F-Droid von Android-Smartphones erschien zuerst auf Linux-Magazin.

Joshua Rogers hat Anfang 2021 insgesamt 55 Sicherheitslücken in dem Web Cache Squid entdeckt. Aktuell wurden immer noch 35 dieser Schwachstellen noch nicht korrigiert. Squid ist ein Open-Source-Proxy-Server und Web-Caching-Programm zur Verbesserung der Netzwerkeffizienz und Sicherheit.  Derzeit sind über 2,5 Millionen Instanzen im Internet verfügbar. Rogers hat  die 55 Sicherheitslecks unter Verwendung verschiedener Techniken wie Fuzzing, manueller Codeüberprüfung und statistischer Analyse entdeckt. In einem Blog-Post berichtet er nun, dass die meisten dieser Schwachstellen bisher noch nicht behoben wurden. Als Grund führt er den Personalmangel des Squid-Projekts an. Mittlerweile sind für die Schwachstellen auch Proof-of-Concepts Exploits im Umlauf.

Der Beitrag Squid-Proxy: Zahlreiche Sicherheitslücken erschien zuerst auf Linux-Magazin.

Im Zuge der anstehenden Novelle des Telekommunikationsgesetzes (TKG-Novelle) fordert der Verbraucherzentrale Bundesverband (VZBV) eine Anhebung der Mindestbandbreite beim Recht auf Versorgung und einen pauschalen Schadensersatz von monatlich 15 Euro bei zu langsamen Internet.

Wie die Verbraucherschützer mitteilen, hätten Bürger zwar seit fast zwei Jahren ein Recht auf Versorgung mit Breitband und dennoch blieben die Ansprüche bislang Papiertiger. Und selbst wenn man einen schnellen Internetanschluss habe, stocke und hake es häufig, da die vertraglich zugesagte Geschwindigkeit des Internetanschlusses bei Verbrauchern nicht ankommen würden.

Wenn die Diskrepanz zwischen tatsächlicher und vertraglich zugesicherter Bandbreite zu groß ist, müssten Verbraucher unkompliziert entschädigt werden, teilt der VZBV mit und schlägt einen pauschalen Schadensersatz von 15 Euro vor, der jeden Monat vom Tarifpreis abgezogen werde, bis die Diskrepanz behoben sei.

Außerdem müsse die Mindestbandbreite erhöht werden, teilt der Verband weiter mit. Derzeit hätten Nutzer Anspruch auf eine Bandbreite im Download von mindestens 10 Mbit/s und im Upload mindestens 1,7 Mbit/s bei einer Latenz von höchstens 150,0 Millisekunden. Die Bundesregierung habe eine Anhebung der Mindestbandbreite auf 15 Mbit/s im Download für Mitte 2023 zugesichert und müsse jetzt liefern, teilt die VZBV mit.

Der Beitrag VZBV fordert 15 Euro Schadenersatz bei langsamem Internet erschien zuerst auf Linux-Magazin.

Das Civil Infrastructure Platform-Projekt (CIP) hat sein Super-Long-Term Stable (SLTS)-Kernelprogramm um eine 6.1-Serie erweitert. Genau wie bei den zuvor gestarteten Linux-Kernel-Serien (4.4-cip, 4.19-cip und 5.10-cip) hat sich das Projekt verpflichtet, den 6.1-cip-Kernel für mindestens 10 Jahre nach seiner ersten Veröffentlichung zu pflegen.

Im Rahmen des CIP-Projekts wird eine quelloffene Basis von Linux in Industriequalität geschaffen, um die Verwendung und Implementierung von Softwarebausteinen für zivile Infrastrukturen zu ermöglichen, teilt das Projekt mit. CIP-Kernel würden wie reguläre langzeitstabile (LTS) Kernel gewartet, und die Entwickler des CIP-Kernels seien auch an der Überprüfung und dem Testen von LTS-Kerneln beteiligt. Während reguläre LTS-Kernel auf 2 Jahre Wartung zurückgingen, seien CIP-Kernel auf 10 Jahre ausgelegt. Um diese verlängerte Lebensdauer zu ermöglichen, würden die CIP-Kernel in Bezug auf aktiv unterstützte Kernel-Funktionen und Zielarchitekturen eingeschränkt. Gleichzeitig akzeptierten CIP-Kernel nicht-invasive Backports von neueren Mainline-Kerneln, die neue Hardware ermöglichen. Die Mitglieder des CIP-Projekts legen diesen Umfang fest.

Der Beitrag Civil Infrastructure Platform-Projekt betreut Kernel 6.1 bis 2032 erschien zuerst auf Linux-Magazin.

Die OpenWrt-Community hat die erste stabile Version der OpenWrt 23.05 Stable-Serie angekündigt. Das OpenWrt-Projekt ist ein Linux-Betriebssystem, das auf Embedded-Geräte ausgerichtet ist und als Ersatz für die vom Hersteller gelieferte Firmware einer breiten Palette von drahtlosen Routern und Nicht-Netzwerkgeräten dient.

Wie die Entwickler mitteilen, enthält OpenWrt 23.05.0 über 4300 Änderungen seit dem Branch der vorherigen Version OpenWrt 22.03 und wird seit über einem Jahr entwickelt. Wie gewohnt sind neue Geräte hinzugekommen. OpenWrt 23.05 unterstütze nun über 1790 Geräte und in dieser Version seien 200 neue Geräte hinzugefügt.

Zudem hat OpenWrt seine kryptographische Standardbibliothek von wolfssl auf mbedtls umgestellt. Das hat diverse Auswirkungen. Unter anderem wird damit TLS 1.3 nicht mehr unterstützt.

Bei den Komponenten sind ebenfalls Updates enthalten. An Bord sind: Musl Libc 1.2.4, Glibc 2.37, Gcc 12.3.0, Binutils 2.40 und der Linux-Kernel 5.15.134.

Der Beitrag Stabile Version: OpenWRT 23.05 erschien zuerst auf Linux-Magazin.

Die aktuelle WordPress-Version bringt diverse Updates, darunter auch Patches für acht Sicherheitsprobleme.

Produktpflege und Sicherheit sind die Hauptmerkmale von WordPress 6.3.2. Eines der genannten Sicherheitsprobleme könne dafür sorgen, dass Kommentare zu privaten Beiträgen an andere Nutzer weitergegeben werden könnten. Weiterhin haben Experten eine Lücke entdeckt, die es einem angemeldeten Benutzer erlaubt einen beliebigen Shortcode auszuführen. XSS-Schwachstellen in der Passwortseite der Anwendung und im Fußnotenblock sind ebenfalls genannt.

Mit dem Maintenance-Teil von WordPress 6.3.2 behebt das Wartungs-Team zudem 22 Bugs im Block-Editor und 19 Fehler im Core. Das komplette Changelog steht derzeit noch aus.

Der Beitrag WordPress 6.3.2 schließt Lücken erschien zuerst auf Linux-Magazin.

Die offizielle Distribution für den Einplatinencomputer Raspberry Pi basiert ab sofort auf Debian 12. Die Desktop-Umgebung startet zudem in einer Wayland-Sitzung und bietet neue Plugins. Unter der Haube arbeitet PulseAudio, ins Internet geht auf Wunsch eine angepasste Fassung von Firefox.

Abgesehen von aktualisierter Software bietet der Umstieg auf Debian 12 keine großen Neuerungen, so die Entwickler von Raspberry Pi OS in ihrer Ankündigung. Das betrifft allerdings nur das Basissystem.

Die Desktop-Umgebung von Raspberry Pi OS 2023-10-10 zeichnet erstmals Wayland anstelle von X11 auf den Bildschirm. Konkret kommt der Compositor Wayfire zum Einsatz, der seinerseits auf der Wayland-Bibliothek Wlroots basiert. In dieser Kombination soll der Desktop deutlich stabiler und auch flotter arbeiten. Daher kommt Wayland auf dem Raspberry Pi 4 und 5 ab sofort standardmäßig zum Einsatz. Auf den älteren Raspberry-Pi-Modellen schrauben die Entwickler noch an der Performance von Wayfire. Mittelfristig soll Wayfire aber auch dort standardmäßig zum Einsatz kommen.

Die Desktop-Umgebung erscheint auf den ersten Blick unverändert, dennoch gibt es auch hier einige Anpassungen. So stellt das Panel am oberen Bildschirmrand ab sofort die Anwendung „wf-panel-pi“ bereit, die ihrerseits auf der „wf-shell“ von Wayfire basiert. Die Abkürzung von „wf-panel-pi“ steht für „Wayfire Panel for Raspberry Pi“.

Des Weiteren zeigen die Fenster leichte Schatten und es gibt neue Plugins. Das standardmäßig aktive Power-Plugin warnt vor Stromproblemen – etwa wenn ein USB-Gerät zu viel Saft zieht. Das Plugin GPU wiederum zeichnet ein Diagramm mit der Auslastung der Grafikeinheit in das Panel.

Auch beim Ton gibt es eine Änderung: Raspberry Pi OS 2023-10-10 steigt von PulseAudio auf Pipewire um. Darüber hinaus können Anwender über das Konfigurationsprogramm Raspi-config die Netzwerkkonfiguration an den NetworkManager übergeben. Abschließend gibt es noch eine an den Raspberry Pi angepasste Fassung des Browsers Firefox.

Der Beitrag Neues Raspberry Pi OS wechselt Unterbau auf Debian Bookworm erschien zuerst auf Linux-Magazin.

Canonical hat turnusgemäß eine neue Version 23.10 seiner Distribution Ubuntu freigegeben. Der „mantische Minotaurus“ aktualisiert die Softwarepakete und spannt den Linux-Kernel 6.5 ein. Die Desktop-Umgebung basiert auf Gnome 45 und bietet einen neuen App-Store.

Wie immer verpasst Canonical dem Kernel ein paar Modifikationen. Unter anderem nutzt Ubuntu Zstd-komprimierte Module, was den Boot-Vorgang beschleunigen soll. Letztgenannten steuert Systemd v253.5.

Die Desktop-Umgebung basiert auf Gnome 45, dem standardmäßig die Uhren-Anwendung Gnome Clocks beiliegt. Das neue Ubuntu App Center ersetzt den alten Snap-Store. Wie der Installationsassistent basiert das App Center auf dem Flutter-Toolkit. Um Firmware Updates kümmert sich ab sofort die neue gleichnamige Anwendung. Damit müssen Anwender nicht gleich den kompletten App Store starten und im Hintergrund laufen lassen, nur weil eine Hardwarekomponente eine neue Firmware erhält.

Der Installationsassistent möchte jetzt standardmäßig die „minimal“ Fassung von Ubuntu einspielen. Steckt ein Trusted Platform Module der Version 2 (TPM 2.0) im Rechner, kann der Assistent zudem das System mit seiner Hilfe komplett verschlüsseln. Das TPM speichert den zum chiffrieren und dechiffrieren notwendigen Schlüssel, wodurch man ihn nicht mehr selbst beim Systemstart eintippen muss. Diese Form der Verschlüsselung gilt allerdings noch als experimentell. Gleiches gilt für eine zweite, wieder eingeführte Funktion: Auf Wunsch installiert der Assistent Ubuntu auf einem ZFS-Dateisystem.

Darüber hinaus frischt Ubuntu 23.10 vor allem die verfügbare Software auf. Firefox steht in Version 118 bereit und kommt zudem als native Wayland-Anwendung. Ebenfalls mit an Bord sind LibreOffice 7.6 und Thunderbird 115.2. Programmierer erhalten unter anderem GCC 13.2.0, Perl 5.36.0, Rust 1.71, Go 1.21 und Python 3.11.6, wobei sich Python 3.12 nachinstallieren lässt. LLVM meldet sich in Version 16, die Version 17 lässt sich auch hier nachholen. Java-Entwickler haben die Wahl zwischen dem gut abgehangenen OpenJDK 17 und dem noch recht neuen OpenJDK 21.

Auch Server-Betreiber erhalten im Wesentlichen einen Satz aktualisierter Software. Verfügbar sind unter anderem Apache 2.4.57, Nginx 1.24, Containerd 1.7.2, Samba 4.18, Qemu 8.0 und OpenLDAP 2.6.6. Docker kommt in Version 24.0.5, für das erstmals die zwei Plugins „docker-buildx“ und „docker-compose-v2“ bereitstehen.

Canonical pflegt Ubuntu 23.10 lediglich neun Monate. Eine deutlich längere Unterstützung erhält erst wieder Ubuntu 24.04, das im kommenden Jahr erscheint.

Der Beitrag Ubuntu 23.10 „Mantic Minotaur“ veröffentlicht erschien zuerst auf Linux-Magazin.

HashiCorp, Anbieter von Automatisierungssoftware für Multi-Cloud-Infrastrukturen, hat bei der Anwenderkonferenz HashiConf in San Francisco Produktneuheiten für die HashiCorp Cloud Platform (HCP) angekündigt. KI-generierte Tests für HashiCorp Terraform Cloud ist eine davon.

Bei den KI-Tests sollen Large Language Models (LLMs) Tests für ein Modul ohne weitere Zuarbeit des Benutzers generieren, so dass Entwickler schnell mit dem Testen beginnen können. Neu sind auch das native Terraform Test-Framework und das dazu passende und integrierte Modul für die Veröffentlichung in Terraform Cloud. Damit seien automatisierte Unit- und Integrationstests von Terraform-Code möglich, heißt es in der Mitteilung von HashiCorp.

Neu sind auch die Terraform Stacks, die eine Verbesserung der Terraform Execution Engine darstellen und komplexe Deployments über mehrere Umgebungen und modulare Infrastrukturkomponenten hinweg ermöglichten.

Der Beitrag HashiCorp kündigt Updates an erschien zuerst auf Linux-Magazin.

Eine Lücke in Curl wäre laut dem Hauptentwickler mit einer sicheren Sprache vermeidbar gewesen. Der Weg dahin ist aber äußerst schwierig.

Der Hauptentwickler des Open-Source-Werkzeugs Curl, Daniel Stenberg, hat die aktuelle Version 8.4.0 veröffentlicht und dabei eine mehrere Jahre alte Sicherheitslücke (CVE-2023-38545) behoben. Laut Stenberg handelte es sich um die gravierendste Lücke in Curl seit Jahren.

Die Ursache ist ein Heap-Buffer-Overflow im Ablauf eines Socks5-Proxy-Handshakes. In seinem Blog beschreibt Stenberg, wie es zu dem Fehler kam, und geht dabei auch auf die fehlende Speichersicherheit von C ein, in dem Curl programmiert ist.

Der Entwickler, der das Projekt seit 1996 leitet und als profilierter C-Programmierer gilt, schrieb dazu: “Wenn man den Code jetzt liest, ist es unmöglich, den Fehler nicht zu sehen. Ja, es tut wirklich weh, die Tatsache akzeptieren zu müssen, dass ich diesen Fehler gemacht habe, ohne es zu merken, und dass der Fehler dann 1.315 Tage lang unentdeckt im Code blieb. Ich bitte um Entschuldigung. Ich bin auch nur ein Mensch.”

Weiter erklärte Stenberg, dass die Lücke wohl auch mit besseren Tests hätte entdeckt werden können. Aber schon jetzt nutze das Projekt zahlreiche Werkzeuge zur statischen Analyse und die Lücke sei dabei nicht aufgefallen. Wie der Entwickler aber ebenfalls selbst schrieb, hätte diese Art Lücke durch die Wahl einer Programmiersprache mit Speichersicherheit verhindert werden können.

Curl auf eine andere Sprache zu portieren, könne das Projekt, das fast ausschließlich von Stenberg selbst vorangetrieben wird, nicht leisten. Jedoch sollten mehr Abhängigkeiten mit einer speichersicheren Sprache genutzt werden, erklärte der Entwickler. Künftig könnten auch stückweise Teile von Curl ersetzt werden, wie dies mit Hyper geschehe.

Dabei handelt es sich um eine in Rust geschriebene HTTP-Bibliothek, die Curl als Backend nutzen kann. Diese Veränderungen geschähen derzeit aber nur sehr langsam und zeigten mit schmerzhafter Klarheit die damit verbundenen Probleme, so Stenberg.

Der Beitrag Curl-Entwickler entschuldigt sich für Speicherfehler erschien zuerst auf Linux-Magazin.

Die europäische Supercomputing-Initiative EuroHPC JU und das deutsch-französische Supercomputer-Konsortium ParTec-Eviden haben den Bau des Exascale-Supercomputers JUPITER vertraglich besiegelt. JUPITER wird als erster europäischer Superrechner der Exascale-Klasse mit einer Rechenleistung von mehr als einem Exaflop/s am Forschungszentrum Jülich in Nordrhein-Westfalen aufgebaut.

Dort wird er vom Jülich Supercomputing Centre (JSC) betrieben, einem der drei nationalen Supercomputing-Zentren des Gauss Centre for Supercomputing (GCS). Das System soll bereits 2024 in Betrieb gehen und für rechenintensive Simulationen und KI-Anwendungen in Wissenschaft und Industrie konzipiert sei. JUPITER steht für „Joint Undertaking Pioneer for Innovative and Transformative Exascale Research“.

Die Kosten für das System und seinen Betrieb über einen Zeitraum von voraussichtlich sechs Jahren belaufen sich auf 500 Millionen Euro, teilt das Forschungszentrum Jülich mit. JUPITER werde zur Hälfte von der Europäischen Union und zu zwei Vierteln vom Bundesministerium für Bildung und Forschung (BMBF) sowie dem Ministerium für Kultur und Wissenschaft des Landes Nordrhein-Westfalen (MKW NRW) finanziert.

JUPITER basiere auf einer modularen Supercomputer-Architektur und verfüge über ein hochskalierbares Booster-Modul sowie ein eng damit verbundenes, universell einsetzbares Cluster-Modul. Das Cluster-Modul sei mit dem neuen, in Europa entwickelten und hergestellten Rhea-Prozessor von SiPearl ausgestattet. Die CPU soll eine außergewöhnlich hohe Speicherbandbreite für komplexe Arbeitslasten bieten. Beim Booster-Modul komme die beschleunigten Computing-Plattform von Nvidia zum Einsatz.

Die Komponenten werden Eviden in ihre direkt flüssigkeitsgekühlte BullSequana XH3000-Plattform integriert, und die Cluster- und Booster-Module würden dort dynamisch als ein einheitlicher Supercomputer unter Verwendung des modularen ParaStation Modulo-Betriebssystems von ParTec betrieben.

Der Beitrag Europäischer Exascale-Supercomputer kommt nach Jülich erschien zuerst auf Linux-Magazin.

Ein Programmierfehler in der libcue-Bibliothek führt zu einer Sicherheitslücke in Gnome. Ein Angreifer kann dadurch Befehle mit den Rechten des Anwenders ausführen. Bei CUE handelt es sich um Metadaten für CD-Abbilder, die immer noch beim FLAC Audio-Codec Verwendung finden.

Deshalb verarbeiten viele moderne Audio-Player wie Audacious immer noch solche Dateien. Zusätzlich integriert Gnome die Anwendung tracker-miners, die dazu dient, Dateien im Benutzer-Homeverzeichnis zu indexieren, um ihre Durchsuchbarkeit zu verbessern. Wenn Dateien in speziellen Unterverzeichnissen des Home-Verzeichnisses wie ~/Downloads abgelegt oder geändert werden, erfolgt automatisch eine Aktualisierung des Index durch tracker-miners. Der Angreifer muss lediglich sein Opfer dazu bringen, einen Link anzuklicken, der den Schadcode ausführt.

Libcue wies einen Fehler bei der Verarbeitung des “INDEX”-Elements in den Cue-Sheets auf. Dieser Fehler trat auf, wenn anstelle von “INDEX 01 00:00:00” (im Format Index, Tracknummer, Startzeit) beispielsweise “INDEX 4294567296 0” im Cue-Sheet erschien. Dies führte zu einem Integer-Überlauf, da die Funktionen den Wert 2^32 in -400000 umwandelten, anstatt ihn zu erkennen. Darüber hinaus überprüfte eine weitere Funktion namens “track_set_index” nicht, ob der Index positiv war, was dazu führte, dass der Code an einer Stelle außerhalb des beabsichtigten Speicherbereichs schreiben konnte.

Der Beitrag Gnome: Schadcode durch Klicken erschien zuerst auf Linux-Magazin.

Der siebte internationale Cyber Readiness Report des Spezialversicherers Hiscox zeigt, dass in Deutschland Cyberangriffe von 43 Prozent der Befragten erneut als größtes Geschäftsrisiko angesehen werden.

International sei aber ein leichter Stimmungsumschwung zu beobachten: Nur noch fünf von acht Ländern nennen Cyberrisiken als wichtigstes Risiko für Unternehmen. Doch die Fallzahlen bleiben konstant hoch: Mehr als jedes zweite Unternehmen (53%) war auch im vergangenen Jahr wieder Opfer einer Attacke.

Die Zahl der angegriffenen Unternehmen ist laut dem Report im dritten Jahr in Folge gestiegen (53 Prozent 2023; 48 Prozent 2022; 43 Prozent 2021). Auch in Deutschland komme es häufiger zu Cyberangriffen. Die Ergebnisse zeigten sogar einen zweistelligen Anstieg von 46 Prozent im Jahr 2022 auf 58 Prozent im Jahr 2023. Auch die Zahl der Cyber-Attacken habe in Deutschland pro Unternehmen deutlich zugenommen: Im letzten Jahr habe der Median bei 6, in diesem Jahr bei 10 Angriffen gelegen, was Deutschland nach Irland zum zweithäufigsten angegriffenen Land mache.

Der siebte internationale Cyber Readiness Report des Spezialversicherers Hiscox, der seit 2017 jährlich von Forrester erstellt werde, basiere auf einer Umfrage unter insgesamt 5005 Führungskräften, Abteilungsleitern, IT-Managern und anderen Fachleuten, heißt es in der Mitteilung. Es handle sich um eine repräsentative Auswahl von Unternehmen verschiedenster Größen und Branchen aus acht Ländern (Belgien, Frankreich, Deutschland, die Niederlande, Spanien, Großbritannien, Irland und die USA). Der Cyber Readiness Report steht gegen Angabe von Namen und Mailadresse zum Download erhältlich.

Der Beitrag Cyber Readiness Report: Angriffszahlen steigend erschien zuerst auf Linux-Magazin.

Die deutsche Wirtschaft macht um Bitcoin, Ethereum & Co. bisher einen großen Bogen. Nur knapp 2 Prozent aller Unternehmen mit 50 oder mehr Beschäftigten nutzen Kryptowährungen. Das sind Ergebnisse einer Befragung von 653 Unternehmen im Auftrag des Digitalverbands Bitkom.

Gerade einmal weitere 3 Prozent können sich das für die Zukunft vorstellen. Die große Mehrheit von 87 Prozent setze nicht auf Kryptowährungen und könne sich das auch nicht vorstellen, hat der Bitkom erfragt.

„Kryptowährungen leiden unter einem gewissen Imageproblem. Weil sie sowohl hohe Gewinne als auch Verluste verzeichnen können, werden sie oft mit spekulativem Verhalten in Verbindung gebracht. Hinzu kamen einige Betrugsskandale, wie beispielsweise der Fall der Krypto-Börse FTX“, sagt Benedikt Faupel, Bereichsleiter Blockchain beim Bitkom.

Grundsätzlich sehen die Unternehmen durchaus Vorteile von Kryptowährungen. So meinen 45 Prozent, dass sich Kryptowährungen als langfristige Geldanlage eignen. Fast ebenso viele (44 Prozent) gehen davon aus, dass die Kurse von Kryptowährungen in den nächsten Jahren kräftig steigen werden. Ebenfalls 44 Prozent sehen Kryptowährungen als sinnvolle Geldalternative für Länder mit hohen Inflationsraten oder allgemein als sichere Alternative zum etablierten Geldsystem. Auf der anderen Seite sind 49 Prozent Kryptowährungen zu kompliziert, 41 Prozent halten sie nur für etwas für Spekulanten. Und 37 Prozent glauben sogar, dass von Kryptowährungen und deren Eigenschaften in erster Linie Kriminelle profitieren, etwa über Geldwäsche oder zur Terrorismusfinanzierung.

Der Beitrag Deutsche Wirtschaft meidet Kryptowährungen erschien zuerst auf Linux-Magazin.

Durch eine Speicherfehlfunktion in der Bibliothek libcue gelangt eine Sicherheitslücke in den Gnome-Desktop, die sich unter Umständen remote ausnutzen lässt.

Das Security-Problem (CVE-2023-43641) haben die Github Security Labs öffentlich gemacht und sich dabei mit Ilya Lipnitskiy, dem Betreuer von libcue und der Distros-Mailingliste abgestimmt. Den Experten ist es gelungen, einen Proof-of-Concept für Ubuntu und Fedora zu erstellen.

Die Bibliothek libcue dürfte den meisten Anwendern unbekannt sein, vermuten die Experten bei den Github Security Labs. Die Bibliothek dient zum Parsen von Cue Sheets, einem Metadatenformat zur Beschreibung des Layouts der Tracks auf einer CD. Cue Sheets werden oft in Kombination mit dem FLAC-Audiodateiformat verwendet, was bedeutet, dass libcue eine Abhängigkeit von einigen Audioplayern wie Audacious ist, berichten die Experten. Der Grund, warum man libcue auf Sicherheitslücken geprüft habe, sei, dass Tracker-Miners es verwende, eine Anwendung, die in Gnome enthalten sei. Zweck von Tracker-Miners sei es, die Dateien im Home-Verzeichnis zu indizieren, um sie leicht durchsuchbar zu machen.

Der Index werde automatisch aktualisiert, wenn der Nutzer eine Datei in bestimmten Unterverzeichnissen Ihres Home-Verzeichnisses hinzufüge oder ändere, insbesondere in /Downloads. Dies bedeute kurz gesagt, dass ein Klick auf einen bösartigen Link einem Angreifer genüge, um CVE-2023-43641 auszunutzen und Code auf dem Computer ausführen zu können.

Nutzer von Gnome sollten ein Update machen. Es stehen aktualisierte Versionen etwa für Ubuntu und Debian bereit. Im Beitrag der Experten sind weitere Details zu finden und es gibt ein Video zum Proof-of-Concept.

Der Beitrag Sicherheitslücke in Gnome erschien zuerst auf Linux-Magazin.

Eben Upton von der Raspberry Pi Foundation hat Teile der Dokumentation für den im eigenen Haus entwickelten RP1 I/O-Controller veröffentlicht.

Der Raspberry Pi 5 sei das bislang komplizierteste und teuerste Entwicklungsprogramm, das man fürRaspberry Pi je in Angriff genommen habe, berichtet Eben Upton. Es habe über sieben Jahre gedauert und rund 25 Millionen US-Dollar gekostet. Es sei auch das erstes Flaggschiffprodukt, das mit dem RP1-I/O-Controller ein bei Raspberry Pi entwickeltes Silizium verwende, so Upton.

Der RP1 besitze ein komplexes Design, das alle analogen Schnittstellen, die für den Bau eines Raspberry Pi erforderlich seien, und die entsprechenden digitalen Controller auf einem einzigen Chip vereint, der auf dem 40LP-Prozess von TSMC implementiert worden sei. Er biete einen MIPI-Kameraeingang und einen Display-Ausgang, USB 2.0 und 3.0, einen analogen Videoausgang und einen Gigabit-Ethernet-MAC; außerdem stelle er genügend 3V3-failsafe Allzweck-E/A-Pins und die verschiedenen digitalen Low-Speed-Peripheriegeräte zur Verfügung, um den 40-poligen Standard-GPIO-Header zu betreiben.

Nun veröffentliche man eine erste Dokumentation für das RP1-Silizium. Wie die Peripherie-Dokumentation für den Broadcom BCM2711, der den Raspberry Pi 4 antreibe, richte sich diese Veröffentlichung an Entwickler, die Treiber für den Raspberry Pi 5 implementieren. Das bedeute, dass diese Veröffentlichung nicht alles über das RP1-Silizium enthalte und stattdessen helfen soll, ein Betriebssystem zu portieren und die Funktionen des Raspberry Pi 5 zu nutzen.

Der Beitrag Dokumentation für den RP1 I/O-Controller des Raspberry Pi 5 erschien zuerst auf Linux-Magazin.

Das Linux Containers Projekt hat eine erste Veröffentlichung von Incus angekündigt. Incus ist ein Fork von Canonicals LXD, der der von Aleksa Sarai gestartet wurde und nun unter dem Dach des Linux Containers Projects angesiedelt ist.

Der Fork war der Entscheidung von Canonical gefolgt, LXD von Linux Containern zu trennen. Diese erste Version entspreche in etwa LXD 5.18, enthalte aber neben der offensichtlichen Umbenennung noch eine Reihe von Änderungen. Mit der ersten Version habe man unter anderem die Gelegenheit genutzt, eine Menge obnsoleter oder problematischer Funktionen aus LXD zu entfernen.

Dazu zähle etwa, dass LXD als reines Container-Projekt begonnen habe und seine REST-API /1.0/containers vberwendet habe. Als virtuelle Maschinen eingeführt worden seien, habe der neue Endpunkt /1.0/instances alle Operationen sowohl für Container als auch für virtuelle Maschinen übnernommen, dennoch sei  /1.0/containers für Legacy-Clients beibehalten. Darüber hinaus wurde auch ein Endpunkt /1.0/virtual-machines hinzugefügt, der jedoch nie verwendet worden sei. Mit Incus habe man diese beiden Legacy-Endpunkte entfernt und die einzige unterstützte Möglichkeit zur Interaktion mit Instanzen sei /1.0/instances.

Die Ankündigung nennt viele weitere Details und hilft beim Umstieg.

Der Beitrag Incus 0.1: Erstes Release des LXD-Forks erschien zuerst auf Linux-Magazin.