In meinem Proxmox-Cluster habe ich eine Node, auf der ein Linux-Container als Proxmox Backup Server läuft.

Zur Jahresmitte zeichnet sich für Deutschlands digitale Wirtschaft ein stabiles Wachstum ab, teilt der Digitalverband Bitkom mit.

EndeavourOS, eine beliebte, auf Arch Linux basierende Linux-Distribution feiert ihr fünfjähriges Bestehen. Mit dieser Ausgabe kehr auch der zuvor eingestellte ARM-Zweig wieder zurück.

Quelle

Während einer Aktionswoche Ende Juni, die von der Europol-Zentrale aus koordiniert wurde, haben die Strafverfolgungsbehörden den Missbrauch des legitimen Sicherheitstools Cobalt Strike durch…

Die auf Debian basierende Distribution Nitrux liegt in einer neuen Version 3.5.1 vor, die zahlreiche kleine Änderungen mitbringt.

Ein kleines Videoexperiment zum Thema: Quellcode-Öffnung von Videospielen.

Die auf Debian basierende Distribution Nitrux liegt in einer neuen Version vor, die zahlreiche kleine Änderungen mitbringt.

Um zu sehen, welche Clients in seinem heimischen WLAN ein- und ausgehen, schreibt Mike Schilli ein Werkzeug für die Kommandozeile, das die Messwerte über ein ORM-Interface in SQLite ablegt und…

Zum Ende seiner Amtszeit fasst der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, mit klaren Worten seine Amtsführung und die Herausforderungen der…

Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen. Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet. Über 14 Millionen Systeme im Internet sind potentiell durch „regreSSHion“ gefährdet.

Konkurrenz belebt bekanntermaßen das Geschäft. Somit ist der neue Browser Ladybird hochwillkommen. Gerade hat die Entwicklung verstärkt Fahrt aufgenommen.

Quelle

Mit Debian 12.6 landen eine ganze Reihe von Paketupdates bei den Anwendern. Damit werden diverse Sicherheitslücken geschlossen und Fehler ausgebügelt.

Netcraft hat in seinen Messungen zur Beliebtheit von Webservern für den Juni Antworten von 1,1 Milliarden Websites gewertet und sieht Nginx auf Platz eins.

Nicht immer lässt sich zeitnah über jede Neuigkeit rund um das freie Betriebssystem berichten, manche Ereignisse sind es aber dennoch wert, Erwähnung zu finden. In dieser Zusammenfassung überblickt die Redaktion alle wichtigen Meldungen aus der Linux-Welt der vorangegangenen Woche.

Sicherheitsforscher haben eine fast zwanzig Jahre alte Schwachstelle im OpenSSH-Server wiederentdeckt. Darüber kann ein Angreifer an Root-Rechte auf dem System gelangen.

Eine Umfrage des US-Marktforschers Gartner unter rund 1800 Führungskräften hat ergeben, dass 55 Prozent der Unternehmen einen KI-Vorstand haben.

Der Sicherheitsexperten Qualys hat mit der RegreSSHion getauften Sicherheitslücke in OpenSSH eine Schwachstelle gefunden, die sich remote ausnutzen lässt, um Code darüber auszuführen.

Scientific Linux 7 hat am 30. Juni 2024 das End of Life erreicht. Es gibt nun keine weiteren Updates für Scientific Linux 7.

Linux Mint 22 Beta steht mit Cinnamon 6.2. zum Test bereit. Viele GNOME-Apps wurden auf GTK3 zurückgeführt, um der Designbibliothek Libadweita zu entgehen.

Quelle

Eine von Qualys entdeckte Sicherheitslücke im OpenSSH-Server mit einem CVSS-Score von 9 wurde geschlossen. Erfolgreiche Angreifer erhalten automatisch Root-Rechte.

Quelle

Linux Mint hat die Beta-Version der mit Spannung erwarteten kommenden 22-Version “Wilma” veröffentlicht. Es handelt sich um eine LTS-Version, die bis 2029 Updates und Unterstützung verspricht. Mit Ubuntu 24.04 LTS und dem Linux-Kernel 6.8 bietet Linux Mint 22 zahlreiche Verbesserungen zur Optimierung des Benutzererlebnisses. Dazu gehören eine bessere Lokalisierung und ein verbessertes Festplattenmanagement, bei dem […]

Der Beitrag Linux Mint 22 Beta erschienen erschien zuerst auf fosstopia.

Dem Forscherteam von Qualys ist es gelungen, eine ältere Sicherheitslücke in OpenSSH, die schon eigentlich längst geschlossen war, erneut auszunutzen. Die neue Lücke wird als CVE-2024-6387 geführt und ist deswegen brisant, weil Sie bei Erfolg dem Angreifer Root-Rechte ohne vorherige Authentifizierung ermöglicht. Die nötigen Bedingungen für ein Ausnutzen der Lücke sind allerdings nicht ganz trivial.

Die gesamte Erläuterung der Sicherheitslücke ist im Bericht von Qualys umfangreich erläutert wollen. Wenn wir es schaffen, werden wir diesen schon Mittwoch im Risikozone-Podcast detaillierter erläutern.

So viel sei gesagt: die Lücke existierte schon mal als CVE-2006-5051, wurde dann gefixt und konnte jetzt (erstmals) ausgenutzt werden, da der eigentlich kritische Teil 2020 wieder versehentlich eingebaut wurde. Der Fehler selber baut darauf, dass syslog() zur Protokollierung asynchron aufgerufen wird, obwohl die Funktion nicht "async-signal-safe" ist. Kann ein Angreifer Timingeigenschaften ausnutzen, wird er in die Lage versetzt, Code einzuschleusen, der in einem privilegierten Teil von OpenSSH ausgeführt wird. Der Zeitaufwand ist allerdings hierfür nicht zu unterschätzen, da das Codefragment nur bei einem Verbindungstimeout aufgerufen wird.

Es ist gemäß des Qualys-Berichtes hervorzuheben:

• Die OpenSSH-Versionen vor 4.4p1 (2006) sind angreifbar, sofern sie nicht explizit gepatcht wurden.
• Die OpenSSH-Versionen zwischen 4.4p1 und 8.5p1 (2021) hatten nicht den besagten Code drin.
• Die OpenSSH-Versionen ab 8.5p1 hatten den Code wieder drin.
• Mit OpenSSH 9.8p1 wurde die Lücke gepatcht.

Mit anderen Worten: abhängig von eurem System ist die Schwachstelle vorhanden, weswegen ihr in eure Distribution schauen solltet, ob es Updates gibt.

OpenSSH ist nichtsdestotrotz im Hinblick auf seine Rolle und Exposition eines der sichersten Programme der Welt. Die Software ist ein sehr stringent abgesicherter Dienst, der u. a. auf Sandboxing-Mechansimen setzt, um den Umfang der Codesegmente, die als root ausgeführt werden, gering zu halten. Diese Lücke ist eine der seltenen Situationen, in der trotzdem ein Security-Bug vorhanden ist. Dabei ist eine Ausnutzung vergleichsweise aufwändig.

Sommer, Sonne, Fediverse. Bereits zum 3. Mal findet das Fedicamp in Gedelitz statt. Was ist so besonders an dem freien Netzwerk, dass sich jedes Jahr Menschen nicht nur online sondern auch offline treffen und ihren Urlaub miteinander verbringen?

Die OpenEU-Allianz bringt 14 Universitäten und 13 akademische, wirtschaftliche, ländliche, kommunale und zivilgesellschaftliche Verbände aus Europa zusammen, um eine paneuropäische offene…

Ab sofort hat Debian 10 LTS alias Buster das End of Life (EoL) erreicht. Buster ist im Juli 2019 erschienen. Schon 2022 war Debian 10 vom LTS-Team übernommen worden.