Die auf Debian basierende Distribution Nitrux liegt in einer neuen Version vor, die zahlreiche kleine Änderungen mitbringt.

Um zu sehen, welche Clients in seinem heimischen WLAN ein- und ausgehen, schreibt Mike Schilli ein Werkzeug für die Kommandozeile, das die Messwerte über ein ORM-Interface in SQLite ablegt und…

Zum Ende seiner Amtszeit fasst der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, mit klaren Worten seine Amtsführung und die Herausforderungen der…

Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen. Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet. Über 14 Millionen Systeme im Internet sind potentiell durch „regreSSHion“ gefährdet.

Konkurrenz belebt bekanntermaßen das Geschäft. Somit ist der neue Browser Ladybird hochwillkommen. Gerade hat die Entwicklung verstärkt Fahrt aufgenommen.

Quelle

Mit Debian 12.6 landen eine ganze Reihe von Paketupdates bei den Anwendern. Damit werden diverse Sicherheitslücken geschlossen und Fehler ausgebügelt.

Netcraft hat in seinen Messungen zur Beliebtheit von Webservern für den Juni Antworten von 1,1 Milliarden Websites gewertet und sieht Nginx auf Platz eins.

Nicht immer lässt sich zeitnah über jede Neuigkeit rund um das freie Betriebssystem berichten, manche Ereignisse sind es aber dennoch wert, Erwähnung zu finden. In dieser Zusammenfassung überblickt die Redaktion alle wichtigen Meldungen aus der Linux-Welt der vorangegangenen Woche.

Sicherheitsforscher haben eine fast zwanzig Jahre alte Schwachstelle im OpenSSH-Server wiederentdeckt. Darüber kann ein Angreifer an Root-Rechte auf dem System gelangen.

Eine Umfrage des US-Marktforschers Gartner unter rund 1800 Führungskräften hat ergeben, dass 55 Prozent der Unternehmen einen KI-Vorstand haben.

Der Sicherheitsexperten Qualys hat mit der RegreSSHion getauften Sicherheitslücke in OpenSSH eine Schwachstelle gefunden, die sich remote ausnutzen lässt, um Code darüber auszuführen.

Scientific Linux 7 hat am 30. Juni 2024 das End of Life erreicht. Es gibt nun keine weiteren Updates für Scientific Linux 7.

Linux Mint 22 Beta steht mit Cinnamon 6.2. zum Test bereit. Viele GNOME-Apps wurden auf GTK3 zurückgeführt, um der Designbibliothek Libadweita zu entgehen.

Quelle

Eine von Qualys entdeckte Sicherheitslücke im OpenSSH-Server mit einem CVSS-Score von 9 wurde geschlossen. Erfolgreiche Angreifer erhalten automatisch Root-Rechte.

Quelle

Linux Mint hat die Beta-Version der mit Spannung erwarteten kommenden 22-Version “Wilma” veröffentlicht. Es handelt sich um eine LTS-Version, die bis 2029 Updates und Unterstützung verspricht. Mit Ubuntu 24.04 LTS und dem Linux-Kernel 6.8 bietet Linux Mint 22 zahlreiche Verbesserungen zur Optimierung des Benutzererlebnisses. Dazu gehören eine bessere Lokalisierung und ein verbessertes Festplattenmanagement, bei dem […]

Der Beitrag Linux Mint 22 Beta erschienen erschien zuerst auf fosstopia.

Dem Forscherteam von Qualys ist es gelungen, eine ältere Sicherheitslücke in OpenSSH, die schon eigentlich längst geschlossen war, erneut auszunutzen. Die neue Lücke wird als CVE-2024-6387 geführt und ist deswegen brisant, weil Sie bei Erfolg dem Angreifer Root-Rechte ohne vorherige Authentifizierung ermöglicht. Die nötigen Bedingungen für ein Ausnutzen der Lücke sind allerdings nicht ganz trivial.

Die gesamte Erläuterung der Sicherheitslücke ist im Bericht von Qualys umfangreich erläutert wollen. Wenn wir es schaffen, werden wir diesen schon Mittwoch im Risikozone-Podcast detaillierter erläutern.

So viel sei gesagt: die Lücke existierte schon mal als CVE-2006-5051, wurde dann gefixt und konnte jetzt (erstmals) ausgenutzt werden, da der eigentlich kritische Teil 2020 wieder versehentlich eingebaut wurde. Der Fehler selber baut darauf, dass syslog() zur Protokollierung asynchron aufgerufen wird, obwohl die Funktion nicht "async-signal-safe" ist. Kann ein Angreifer Timingeigenschaften ausnutzen, wird er in die Lage versetzt, Code einzuschleusen, der in einem privilegierten Teil von OpenSSH ausgeführt wird. Der Zeitaufwand ist allerdings hierfür nicht zu unterschätzen, da das Codefragment nur bei einem Verbindungstimeout aufgerufen wird.

Es ist gemäß des Qualys-Berichtes hervorzuheben:

• Die OpenSSH-Versionen vor 4.4p1 (2006) sind angreifbar, sofern sie nicht explizit gepatcht wurden.
• Die OpenSSH-Versionen zwischen 4.4p1 und 8.5p1 (2021) hatten nicht den besagten Code drin.
• Die OpenSSH-Versionen ab 8.5p1 hatten den Code wieder drin.
• Mit OpenSSH 9.8p1 wurde die Lücke gepatcht.

Mit anderen Worten: abhängig von eurem System ist die Schwachstelle vorhanden, weswegen ihr in eure Distribution schauen solltet, ob es Updates gibt.

OpenSSH ist nichtsdestotrotz im Hinblick auf seine Rolle und Exposition eines der sichersten Programme der Welt. Die Software ist ein sehr stringent abgesicherter Dienst, der u. a. auf Sandboxing-Mechansimen setzt, um den Umfang der Codesegmente, die als root ausgeführt werden, gering zu halten. Diese Lücke ist eine der seltenen Situationen, in der trotzdem ein Security-Bug vorhanden ist. Dabei ist eine Ausnutzung vergleichsweise aufwändig.

Sommer, Sonne, Fediverse. Bereits zum 3. Mal findet das Fedicamp in Gedelitz statt. Was ist so besonders an dem freien Netzwerk, dass sich jedes Jahr Menschen nicht nur online sondern auch offline treffen und ihren Urlaub miteinander verbringen?

Die OpenEU-Allianz bringt 14 Universitäten und 13 akademische, wirtschaftliche, ländliche, kommunale und zivilgesellschaftliche Verbände aus Europa zusammen, um eine paneuropäische offene…

Ab sofort hat Debian 10 LTS alias Buster das End of Life (EoL) erreicht. Buster ist im Juli 2019 erschienen. Schon 2022 war Debian 10 vom LTS-Team übernommen worden.

Die Raspberry Pi Foundation bietet mit Raspberry Pi Connect Zugriff über den Browser. Die aktuelle Beta-Version erweitert den Dienst auf alle Raspberry Pi-Modelle.

Quelle

Das Firefox Add-on Enterprise Policy Generator hilft Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Die Version 6.0.0 bringt neue Funktionen.

Ein Kurztest des auf der Engine Webkit basierten Browsers GNOME Web. Taugt er als Firefox-Ersatz?

Die Macher des Vivaldi-Browsers entziehen sich dem Hype um KI und werden derzeit keine Large Language Models in den Browser einbauen.

Quelle

Total verrückte Zeiten! Während Canonical kürzlich den Support für Ubuntu LTS via Ubuntu Pro auf 12 Jahre insgesamt ausdehnte, kontert SUSE nun und macht einen dicken fetten grünen Strich durch die Rechnung. Denn künftig werden SUSE Linux Enterprise (SLE) – Produkte insgesamt 19 Jahre lang unterstützt. Den längsten LTS Supportzeitraum gibts bei SUSE Die derzeit […]

Der Beitrag SUSE Linux Enterprise: Künftig 19 Jahre LTS Support erschien zuerst auf fosstopia.

Kurz notiert: Debian 10 mit dem Codenamen "buster" erreicht heute das End of Life. Die Unterstützung wurde bis 2022 vom Debian-Team bereitgestellt und dann bis zum heutigen Tage durch das LTS-Team sichergestellt. Damit wurde Debian 10 knapp fünf Jahre durchgängig unterstützt.

Debian 10 wurde am 6. Juli 2019 und somit vor knapp fünf Jahren veröffentlicht. Ausgeliefert wurde das Betriebssystem mit dem Linux-Kernel 4.19. Der letzte Point-Release erfolgte am 10. September 2022, damit endete auch der klassische Security-Support.

Anschließend hat das LTS-Team die Unterstützung am 1. August 2022 mit einer Teilmenge von Architekturen (amd64, i386, amd64, armhf) übernommen, damit Nutzer wichtige Sicherheitsupdates noch erhalten und die Gelegenheit haben, auf den Folge-Release umzustellen. Diese Unterstützung läuft am heutigen Tage aus.

Es ist somit an der Zeit, auf Debian 11 mit dem Codenamen "bullseye" umzustellen. Die Migrationsanleitung ist in den Release Notes für Debian 11 zu finden. Hier wird auch erläutert, mit welchen Breaking Changes zu rechnen ist. Wie üblich, lässt sich der Release über die APT-Konfiguration anheben, gefolgt von einem Upgrade über APT. Die wichtigste Änderung dabei ist, dass das Security-Archiv ein neues Layout hat. Ich habe einige Systeme schon aktualisiert, dabei gab es bei mir keine Probleme. Das sollte auch bei anderen Systemen keine Schwierigkeiten bereiten, wenn sich an den offiziellen Debian-Paketquellen orientiert wird. Die Backports sollte man aber kontrollieren, wenn z. B. ein Backports-Kernel genutzt wurde, um WireGuard schon mit Debian 10 nutzen zu können (erst Debian 11 hat eine Kernelversion, in der WireGuard integriert ist).

Aktuell werden vom Debian-Team die Versionen 11 (bullseye) und 12 (bookworm) als Hauptversionen gepflegt. Das LTS-Team ist eine Gruppe von Freiwilligen, die sich zum Ziel gesetzt hat, eine fünfjährige Unterstützung für Debian-Versionen sicherzustellen. Wer eine zehnjährige Unterstützung benötigt, kann auf entgeltliche ELTS-Angebote wie z. B. von Freexian zurückgreifen.