Mit dem Mozilla VPN bietet Mozilla in Zusammenarbeit mit Mullvad sein eigenes Virtual Private Network an und verspricht neben einer sehr einfachen Bedienung eine durch das moderne und schlanke WireGuard-Protokoll schnelle Performance, Sicherheit sowie Privatsphäre: Weder werden Nutzungsdaten geloggt noch mit einer externen Analysefirma zusammengearbeitet, um Nutzungsprofile zu erstellen.

Jetzt Mozilla VPN nutzen

Die Neuerungen vom Mozilla VPN 2.21

Mit dem Update auf das Mozilla VPN 2.21 hat Mozilla ein neues Onboarding für neue Nutzer direkt nach der Anmeldung eingeführt, über welches sich grundlegende Einstellungen konfigurieren lassen.

Der Bereich „Tipps und Tricks“ in den Einstellungen wurde entfernt. Dafür gibt es in den einzelnen Bereichen jetzt jeweils ein Hilfe-Symbol, über welches Erklärungen eingeblendet werden können.

Ersatzlos entfernt wurde der Geschwindigkeitstest innerhalb der App. Die Checkboxen in den Einstellungen wurden durch sogenannte „Toggle“-Buttons ersetzt. Ansonsten bringt das Update wie immer auch Fehlerbehebungen sowie weitere Verbesserungen unter der Haube.

Der Beitrag Mozilla VPN 2.21 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Schleswig-Holstein setzt auf Open Source Software, beginnend mit LibreOffice, um die digitale Souveränität der öffentlichen Verwaltung zu stärken. Die Umstellung umfasst auch Linux und weitere Open Source Lösungen, fördert den Datenschutz, die IT-Sicherheit und die lokale Digitalwirtschaft. Ein Schulungsprogramm unterstützt die Beschäftigten bei der Anpassung. Ziel ist eine unabhängige und zukunftsfähige IT-Infrastruktur.

Quelle

Spiele erkunden vielfältige Aspekte der Menschheitsgeschichte, darunter auch die Kolonialzeit. FreeCol, ein Open-Source-Spiel, widmet sich dieser Ära voller Entdeckungen und Eroberungen.

Hans-Jürgen Schönig von CYBERTEC, einem auf PostgreSQL spezialisierten Unternehmen, hebt die Bedeutung digitaler Souveränität hervor und erläutert die Mitgliedschaft bei der OSB Alliance als Engagement für offene Standards und die Förderung digitaler Sicherheit.

Quelle

Schlechte Nachrichten für die, die diese Woche auf die Veröffentlichung von Ubuntu 24.04 LTS Beta hofften. Zur Qualitätssicherung wurde die Freigabe der Beta verschoben. Ursprünglich war die Veröffentlichung der Ubuntu 24.04 Beta für den 4. April geplant, um Entwicklern, Testern und Enthusiasten mehrere Wochen Zeit zu geben, die neuen Funktionen zu testen, Probleme zu finden...

Der Beitrag Beta von Ubuntu 24.04 verzögert sich erschien zuerst auf MichlFranken.

Microsoft bietet künftig erstmals kostenpflichtige Updates für Windows 10 auch für Privatkunden an, nachdem der Support für das Betriebssystem eingestellt wurde. Sowohl Unternehmen als auch Einzelpersonen haben Zugang zu diesem Programm, wobei zunächst Informationen für Firmenkunden verfügbar sind. Ab Oktober 2025 wird Microsoft keine kostenlosen Fehlerbehebungen, Sicherheitsupdates oder technischen Support mehr anbieten, es sei denn...

Der Beitrag Windows 10 Extended Security Updates: Erste Preisindikation erschien zuerst auf MichlFranken.

Das Team von Nextcloud hat ein großes Update für den Nextcloud KI-Assistenten zur Verfügung gestellt. Ab sofort gibt es Context Chat und Context Write. Zudem ist GPU-Beschleunigung möglich und der Nextcloud-Server lässt sich vom KI-Server abspalten. Ferner arbeitet das Nextcloud-Team mit mehreren bekannten europäischen Hosting-Unternehmen zusammen, darunter IONOS und OVHcloud, um KI-as-a-Service-Lösungen anzubieten, die Privatsphäre und digitale Souveränität respektieren. In diesem Fall benötigst Du selbst keine teuren GPUs, um KI und Nextcloud zu vereinen. Nextcloud Assistant 2.0 Die Oberfläche wurde […]

Der Beitrag Nextcloud veröffentlicht großes Update für KI-Assistant – 2.0 ist von bitblokes.de.

Linux-Bordmittel zur Datenrettung bieten ein robustes Instrumentarium, um nach einem Datenverlust zu reagieren. Während Backup- und Archivierungstools, Festplatten- und Dateisystem-Tools sowie spezialisierte Anwendungen eine erste Hilfe leisten, stoßen sie bei schweren Schäden an ihre Grenzen. Frühzeitige präventive Maßnahmen und ein fundiertes Verständnis der Datenrettungstechnologien unter Linux sind unerlässlich, um Daten effektiv zu sichern und wiederherzustellen. In Extremfällen wird die Konsultation von Datenrettungsspezialisten unvermeidlich, um verlorene Daten zurückzugewinnen und den Schaden zu minimieren.

Der Beitrag Strategien zur Datenrettung unter Linux: Wie weit können Bordmittel helfen? erschien zuerst auf Linux Abos.

Das Videoschnittprogramm Flowblade kann in seiner neuen Version erzeugte Titel jederzeit nachbearbeiten sowie einige ausgewählte Jog/Shuttle-Geräte einbinden.

Das Linux Mint Projekt kündigte im neuesten monatlichen Newsletter u.a. eine interessante Neuerung für Linux Mint 22 in Bezug auf Thunderbird an. Linux Mint 22 (Codename Wilma) befindet sich derzeit in der Entwicklung und soll voraussichtlich im Juni oder Juli 2024 veröffentlicht werden. Die Basis ist Ubuntu 24.04 LTS (Noble Numbat) von Canonical. Im Februar...

Der Beitrag Linux Mint 22 liefert Thunderbird als natives DEB-Paket erschien zuerst auf MichlFranken.

Mozilla hat Firefox 124.0.2 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 124.0.2

Mit dem Update auf Firefox 124.0.2 behebt Mozilla das Problem, dass Lesezeichen-Backups nicht wiederhergestellt werden konnten, wenn das Backup mehr als 32.766 Lesezeichen beinhaltet.

Ein möglicher Absturz des GPU-Prozesses wurde behoben, der verursachte, dass Firefox-Fenster leer erschienen, während Videos auf manchen Seiten wie zum Beispiel Netflix abgespielt wurden.

Eine Kompatibilitäts-Anpassung wurde vorgenommen, damit die geänderte AppArmor-Konfiguration im kommenden Ubuntu-Update auf Version 24.04 nicht verursacht, dass keine Websites mehr geladen werden können, wenn Firefox über Mozillas .tar-Archiv installiert worden ist. Außerdem wurde ein Absturz behoben, der aufgetreten ist, wenn Linux auf einem System mit AArch64-CPU genutzt wird.

Darüber hinaus wurden zwei weitere mögliche Absturzursachen behoben, es wurden Verbesserungen für die Yelp-Integration in den USA vorgenommen und es wurde eine fehlerhafte Entwickler-Warnung in der Konsole behoben.

Der Beitrag Mozilla veröffentlicht Firefox 124.0.2 erschien zuerst auf soeren-hentzschel.at.

Das Videoschnittprogramm Flowblade kann in seiner neuen Version erzeugte Titel jederzeit nachbearbeiten sowie einige ausgewählte Jog/Shuttle-Geräte einbinden.

Eure Meinung ist gefragt, wenn es um neue Ideen bei GNU/Linux.ch geht. Wir erwägen die besten Artikel des Monats zu prämieren.

Die Document Foundation hat die allgemeine Verfügbarkeit von LibreOffice 24.2.2 bekannt gegeben, dem zweiten Wartungsversion der neuesten LibreOffice 24.2-Büroanwendungsserie, das mehr als 70 Fehler behebt. Dieses Update kommt ca. einen Monat nach LibreOffice 24.2.1 und behebt weitere lästige Fehler, Abstürze und andere Probleme, die von Benutzern in der neuesten LibreOffice 24.2-Büroanwendungsserie gemeldet wurden. Insgesamt wurden...

Der Beitrag LibreOffice 24.2.2 erschienen erschien zuerst auf MichlFranken.

Die zunehmende Abhängigkeit von externen IT-Anbietern stellt ein Risiko für die EU dar. Grommunio bietet eine Lösung durch den Wechsel von proprietärer Software wie Microsoft Exchange zu Open Source-Alternativen, die digitale Souveränität durch Unabhängigkeit und erweiterte Funktionen fördern. Eine effektive Strategie erfordert jedoch auch Plattformunabhängigkeit und strenge Datenkontrolle.

Quelle

Die Bundesregierung bevorzugt in neuen Rahmenverträgen proprietäre Software großer IT-Firmen gegenüber Open Source-Lösungen, entgegen früherer Versprechen, was Kritik wegen potenzieller Abhängigkeit und Vernachlässigung von Open Source nach sich zieht. Die Investitionen in Open Source bleiben minimal, was Fragen zur digitalen Souveränität und den Prioritäten der Regierung aufwirft.

Quelle

openSUSE baut Tumbleweed komplett neu, Debian verschiebt ein Point-Release. Auswirkungen eines gerade noch rechtzeitig entdeckten Angriffsszenarios.

Quelle

Der Monatsbericht von Linux Mint ist da und es gibt einige Neuigkeiten bezüglich Linux Mint 22, das bekanntlich auf Ubuntu 24.04 LTS Noble Numbat basieren wird. Zunächst einmal gibt es Verbesserungen, dass sich Installationen von Linux Mint 22 besser lokalisieren lassen und weniger Speicherplatz als bisher benötigen. Vorinstallierte Pakete für andere Sprachen als Englisch und die von Dir gewählte Sprache werden am Ende der Installation entfernt. Laut eigenen Angaben wird durch das Entfernen dieser Pakete in Linux Mint 22 nach […]

Der Beitrag Linux Mint 22 wird Thunderbird als .deb-Paket bieten ist von bitblokes.de.

Die Hölle friert zu: Microsoft kündigt Office 2024 für Linux an. Details und weitere Informationen erfahrt ihr nach dem Klick auf Weiterlesen!

Quelle

Aus guten Gründen hat sich das GNOME-Team für den Ersatz ihrer Benutzerumgebung durch den COSMIC-Desktop entschieden.

Nach der Entdeckung einer Hintertür im XZ Tarball haben sich die Entwickler von Debian entschieden, die Veröffentlichung von Version 12.6 zu verzögern, um eine gründliche Analyse der Auswirkungen des CVE-2024-3094 durchzuführen. Ohne Zweifel hat die absichtliche Einschleusung von mit Backdoor versehenen XZ-Tarballs aus dem Upstream in das Debian Sid-Repository vor einigen Tagen eine echte Kontroverse...

Der Beitrag Debian 12.6 wird verschoben erschien zuerst auf MichlFranken.

Bei Technik-affinen Leuten wie die Leser dieses Blogs dürfte sich bereits wie ein Lauffeuer verbreitet habe, dass das weit verbreitete Paket xz-utils (Datenkompressions-Tools), beginnend mit den Versionen 5.6.0 bis 5.6.1, eine Backdoor hat (CVE-2024-3094). Diese Hintertür könnte es einem böswilligen Akteur ermöglichen, die sshd-Authentifizierung zu kompromittieren. Damit könnte sie oder er unbefugten Fernzugriff auf das gesamte System erhalten. Die gute Nachricht ist, dass aktuelle LTS-Versionen von Ubuntu nicht betroffen sind. Das gilt auch für Linux Mint und die stabile Version […]

Der Beitrag Kali von xz-utils Backdoor betroffen, Debian / Ubuntu nicht ist von bitblokes.de.

In einem bedeutenden Sicherheitsalarm wurde eine Hintertür in den XZ Utils gefunden, einer Reihe von Kompressionsdienstprogrammen für das XZ-Format, die häufig in zahlreichen Linux-Distributionen integriert sind. Diese Schwachstelle, als CVE-2024-3094 katalogisiert, birgt ein ernsthaftes Risiko, da sie unbefugten Remote-Zugriff auf betroffene Systeme ermöglicht. Die Sicherheitslücke betrifft die Versionen 5.6.0, veröffentlicht Ende Februar, und 5.6.1, veröffentlicht...

Der Beitrag Achtung Linux Nutzer: Backdoor in XZ-Tarballs entdeckt erschien zuerst auf MichlFranken.

Die weitverbreiteten Datenkompressionswerkzeuge XZ Utils (früher LZMA Utils) enthalten in Version 5.6 eine Backdoor. Ziel der Backdoor ist nach aktuellem Kenntnisstand eine Kompromittierung von SSH-Servern. Dies wurde gestern auf der oss-security-Mailingliste von Andres Freund nebst einer umfangreichen Analyse des Sachverhalts bekannt gegeben. Durch den Einsatz der Werkzeuge in Linux-Distributionen haben wir hier einen Fall einer Supply-Chain-Attacke. Red Hat hat dem Vorfall die CVE-Nummer CVE-2024-3094 vergeben.

Vorab eine Liste mit weiteren Links:

• Stellungsnahmen von verschiedenen Distributoren
  • Arch Linux
  • Debian
  • Red Hat
  • SUSE
• FAQ
• Hacker-News-Diskussion
• Zeitleiste

Wirkungsweise

Dabei wird die Backdoor nur unter bestimmten Bedingungen ausgeführt, wie das FAQ beschreibt. Im Wesentlichen muss argv[0] auf /usr/sbin/sshd gesetzt sein und eine Reihe an Umgebungsvariablen entweder gesetzt oder nicht gesetzt sein. Normalerweise hängt OpenSSH nicht von liblzma ab. Einige Distributoren patchen OpenSSH allerdings so, dass systemd-Notifcations funktioniert, welches wiederum auf liblzma setzt und die Backdoor möglich macht. Technisch werden einige Checks durchgeführt und anschließend mittels IFUNC Bibliotheksaufrufe umgeleitet. Dies betrifft nach aktuellem Stand auch Aufrufe während der Kryptoroutinen bei der SSH-Authentifizierung.

Betroffenheit

Der Wirkungsweise der Payload ist noch nicht abschließend geklärt. Besonders auch aus diesem Grund wird ein unverzügliches Update angeraten. Im Folgenden einige unverbindliche Faktoren, die eine Verwundbarkeit wahrscheinlich machen. Auf diese Weise kann man priorisieren, welche Systeme zuerst aktualisiert werden sollten.

Versionierte Distros wie z. B. Debian oder RHEL sind nach aktuellem Kenntnisstand mit ihren stabilen Versionen nicht direkt betroffen, da die Versionen 5.6 noch keinen Einzug in das System gefunden haben. Die Testing-Versionen dieser Distros wie z. B. Debian Sid wurden allerdings aktualisiert und sind betroffen.

Rolling-Release-Distros sind naturgemäß auch betroffen, wenn sie schon Version 5.6 in ihre Pakete aufgenommen haben. Dies betrifft zum Beispiel Arch Linux oder Gentoo. Da allerdings einige Distributionen wie Arch Linux OpenSSH nicht gegen liblzma linken, wird die Bibliothek nicht direkt in die Ausführung der Komponenten eingebunden.

Nach aktuellem Stand wird eine Verwundbarkeit besonders kritisch, wenn auf dem betroffenen Host ein öffentlich erreichbarer SSH-Server läuft, da die oben beschriebenen Faktoren ein Laden der Payload auslösen können.

Wie kam es?

Aufgefallen ist die Backdoor nur durch Zufall durch das Debugging von Performanceproblemen, die durch die Backdoor verursacht wurden. Die Backdoor wurde obfuskiert im Rahmen von Buildskripten untergebracht, sodass aufgrund der Komplexität die Lücken noch nicht direkt aufgefallen sind.

Das Repository hinter xz kann als kompromittiert gesehen werden und ist auch auf GitHub schon gesperrt worden. Auffällig ist, dass die Backdoor in den Tarballs der Releases enthalten war, nicht jedoch im Repository-Dump selber. Auch personell gab es einige Auffälligkeiten, da es vor kurzem einen Maintainerwechsel beim Projekt gab und die Lücken vom neuen Maintainer, der seit 2 Jahren am Projekt mitarbeitet, zumindest begünstigt wurden. Die Art und Weise lässt auch auf ein koordiniertes, von langer Hand geplantes Vorgehen schließen.

Einfluss und Folgen

Das große Ganze ist ein Paradebeispiel von xkcd 2347 "Dependency". Wir sehen hier Live ein Beispiel einer Supply-Chain-Attacke. Ein kleines, scheinbar unbedeutendendes Projekt wird übernommen, nur um strategisch Commits zu platzieren, die automatisch "flussabwärts" ihren Weg in größere Distributionen finden, die allesamt auf das Projekt setzen. Alles passiert trotz Open Source. Besonders pikant: der Maintainer hat aktiv versucht, die Backdoor-begünstigenden Umgebungsfaktoren, konkret das Umbiegen von Bibliotheksaufrufen mittels ifunc, in Fuzzing-Projekten wie oss-fuzz, die aktiv nach sowas suchen, zu deaktivieren.

Software wird immer bedeutender und benötigt Vertrauen. Dabei ist jetzt schon klar, dass niemand selber solch komplexe Systeme von alleine bauen kann. Aber auch die Kontrolle der Quellen ist eine große Herausforderung. Neue Gesetzgebung wie der geplante Cyber Resilience Act in der EU versuchen in der Industrie Anreize zu schaffen, die Softwarequalität zu erhöhen.

Diese Attacke konnte einigermaßen abgewendet werden, sollte die umfassende Analyse der Payload keine belastenden Neuigkeiten hervorbringen. Eines ist aber auch klar: Die Angreifer studieren das Verhalten der Verteidiger und werden in Zukunft ihre Vorgehensweise dahingehend optimieren, nicht so einfach mehr gefunden zu werden. Es ist also möglich, Backdoors in so ein Ökosystem hineinzuschummeln. Umso besser müssen aber die Identifikations- und Abwehrmöglichkeiten werden, damit solche Angriffe wirksam verhindert werden können.

Es handelt sich um Wartungsversionen und die laufen normalerweise schnell und problemlos durch. Die Updates bringen verschiedene Korrekturen und Leistungsverbesserungen in allen unterstützten Versionen von Nextcloud Hub. In Versionsnummern gibt es ab sofort Nextcloud 26.0.13, 27.1.8 sowie 28.0.4. Ich habe es schon mehrmals erwähnt, finde den Mix aus Hub und Versionsnummern echt verwirrend, zumal eine große Versionsnummer nicht zwingend eine große Hub-Nummer repräsentiert. Klar, es ist ein kosmetisches Problem, aber weniger Verwirrung wäre dennoch besser. Nextcloud 26 hat ihr Lebensende […]

Der Beitrag Nextcloud – Updates für Hub 6 und 7 – EOL für Hub 4 ist von bitblokes.de.