Der Wandel in der Technologielandschaft erfordere neue Bug Bounty-Programme, um das GenAI-Ökosystem voranzutreiben und Schwachstellen in den Modellen selbst zu beheben, teilt Mozilla mit.

In der digitalen Welt klaffen große Lücken beim Verbraucherschutz. Das zeigt der Verbraucherreport 2024 des Verbraucherzentrale Bundesverbands (vzbv).

Meta, das Unternehmen hinter Facebook und Instagram, will nach Auffassung der Datenschutzorganisation Noyb persönliche Posts, private Bilder oder Daten aus dem Online-Tracking für eine nicht…

TrueNAS SCALE ist eine Open-Source-Storage Lösung, die auch Container und Virtuelle Maschinen unterstützt. Gerade wird TrueNAS SCALE 24.10 vorbereitet.

Quelle

Mit ØDin, kurz für Zero-Day Investigation Network, hat Mozilla ein Bug-Bounty-Programm für Generative Künstliche Intelligenz (GenAI) gestartet.

Unter einem Bug-Bounty-Programm versteht man Initiativen, welche für das Melden von Sicherheitsproblemen Belohnungen ausloben. Mit dem Zero-Day Investigation Network, kurz ØDin, hat Mozilla nun ein Bug-Bounty-Programm für sogenannte Generative Künstliche Intelligent (GenAI) gestartet.

Während es bereits andere Bug-Bounty-Programme wie HackerOne und BugCrowd gibt, beschränken diese sich auf Sicherheitsprobleme in der Software selbst. Bei ØDin soll es um die Absicherung des gesamten Ökosystems und explizit um Schwachstellen gehen, welche andere Programme ausschließen. Dies schließt vor allem Schwachstellen in den KI-Modellen mit ein. So soll ØDin die erste und bisher einzige Bug-Bounty-Plattform sein, welche offen Anreize für die Modellforschung schafft.

Da sich die Technologielandschaft ständig weiterentwickelt, sehen wir die Notwendigkeit für die nächste Evolution der Bug-Bounty-Programme, um das GenAI-Ökosystem weiter voranzutreiben und die Schwachstellen in den Modellen selbst zu beheben. Zu diesen Schwachstellen gehören Prompt Injection, Training Data Poisoning, Denial of Service und mehr. Mozilla investiert in die nächste Generation der GenAI-Sicherheit mit dem 0Day Investigative Network (0Din), einem Bug-Bounty-Programm für große Sprachmodelle (LLMs) und andere Deep Learning Technologien. 0Din erweitert die Möglichkeiten zur Identifizierung und Behebung von GenAI-Sicherheit, indem es über die Anwendungsebene hinausgeht und sich auf neu entstehende Klassen von Schwachstellen und Schwachstellen in diesen neuen Generationen von Modellen konzentriert.

Mozilla

Der Beitrag ØDin – Mozilla startet Bug-Bounty-Programm für Generative Künstliche Intelligenz (GenAI) erschien zuerst auf soeren-hentzschel.at.

Mike Schilli verfolgt live, wo die Besucher herkommen, die seine Webauftritte abrufen. Statt Google Analytics nutzt er dazu ein simples Terminalprogramm in Go.

Für den Raspberry Pi 5 ist ein offizielles KI-Kit verfügbar, dass den Einsatz neuronaler Netze und maschinellem Lernen auf dem kleinen Rechner erheblich beschleunigen soll.

Quelle

Als Fork des Container-Managers LXD entstanden, entfernt sich die Version 6.2 von Incus weiter von seinem Vorbild.

Die aktualisierte Version der Virtualisierungsbibliothek Libvirt bringt vor allem Neuerungen für Nutzer des Qemu-Backends. So gibt es einen SSH Proxy und Unterstützung für das Virtio Sound Model.

Mit Version 6.2 des Container- und Virtual-Machine-Manager Incus kommt unter anderem das neue Kommando “incus top” , das Systeminformationen ausgibt.

Die aktualisierte Version der Virtualisierungsbibliothek Libvirt bringt vor allem Neuerungen für Nutzer des Qemu-Backends. So gibt es einen SSH Proxy und Unterstützung für das Virtio Sound Model.

Ein Sicherheitsforscher hat Troy Hunt, dem Gründer von Der Service Have I been Have I Been Pwned (HIBP) einen Datensatz mit 122 GByte zukommen lassen.

Die Open-Source Monitoring-Suite Zabbix ist in Version 7.0 freigegeben worden. Um weiterhin als Open Source verfügbar zu bleiben, erfolgte ein Wechsel zur AGPL als neuer Lizenz.

Quelle

Die Autotools helfen immer noch in zahlreichen Projekten bei der Kompilierung, gelten aber als umständlich und nicht sicher.

Die Autotools helfen immer noch in zahlreichen Projekten bei der Kompilierung, gelten aber als umständlich und nicht sicher.

Nach rund sechs Jahren Entwicklungszeit liegt eine neue Version des Editors LyX vor.

Mozilla hatte zu Jahresbeginn angekündigt, seine Online-Plattform Hubs für virtuelle Treffpunkte Ende Mai endgültig einzustellen. Jetzt springt die Hubs Foundation in die Bresche.

Nach rund sechs Jahren Entwicklungszeit liegt eine neue Version des Editors LyX vor.

Debian soll mit systemd-boot eine Alternative zum Bootloader GRUB erhalten. Ein entsprechender Merge-Request liegt vor und wird bisher wohlwollend diskutiert.

Quelle

Der Mint-Report für den Monat Mai ist da und befasst sich prominent mit Flatpak. Die Anzeige von nicht verifizierten Flatpaks ist im Software-Manager künftig standardmäßig deaktiviert.

Quelle

Bilder sind eingefrorene persönliche Erinnerungen, die eigentlich auf Google Photos nicht zu suchen haben. Die Fotoverwaltung Immich ist angetreten, das zu ändern.

Quelle

In den vergangengenen Wochen habe ich die erste »echte« Ubuntu-Server-Installation durchgeführt. Abgesehen von aktuelleren Versionsnummern (siehe auch meinen Artikel zu Ubuntu 24.04) sind mir nicht allzu viele Unterschiede im Vergleich zu Ubuntu Server 22.04 aufgefallen. Bis jetzt läuft alles stabil und unkompliziert. Erfreulich für den Server-Einsatz ist die Verlängerung des LTS-Supports auf 12 Jahre (erfordert aber Ubuntu Pro); eine derart lange Laufzeit wird aber wohl nur in Ausnahmefällen sinnvoll sein.

Update 1 am 25.6.2024: Es gibt immer noch keinen finalen Fix für fail2ban, aber immerhin einen guter Workaround (Installation des proposed-Fix).

Update 2 am 29.6.2024: Es gibt jetzt einen regulären Fix.

fail2ban-Ärger

Recht befremdlich ist, dass fail2ban sechs Wochen nach dem Release immer noch nicht funktioniert. Der Fehler ist bekannt und wird verursacht, weil das Python-Modul asynchat mit Python 3.12 nicht mehr ausgeliefert wird. Für die Testversion von Ubuntu 24.10 gibt es auch schon einen Fix, aber Ubuntu 24.04-Anwender stehen diesbezüglich im Regen.

Persönlich betrachte ich fail2ban als essentiell zur Absicherung des SSH-Servers, sofern dort Login per Passwort erlaubt ist.

Update 1:

Update 2: Der Fix ist endlich offiziell freigegeben. apt update und apt full-upgrade, fertig.

/tmp mit tmpfs im RAM

Das Verzeichnis /tmp wird unter Ubuntu nach wie vor physikalisch auf dem Datenträger gespeichert. Auf einem Server mit viel RAM kann es eine Option sein, /tmp mit dem Dateisystemtyp tmpfs im RAM abzubilden. Der Hauptvorteil besteht darin, dass I/O-Operationen in /tmp dann viel effizienter ausgeführt werden. Dagegen spricht, dass die exzessive Nutzung von /tmp zu Speicherproblemen führen kann.

Auf meinem Server mit 64 GiB RAM habe ich beschlossen, max. 4 GiB für /tmp zu reservieren. Die Konfiguration ist einfach, weil der Umstieg auf tmpfs im systemd bereits vorgesehen ist:

systemctl enable /usr/share/systemd/tmp.mount

Mit systemctl edit tmp.mount bearbeiten Sie die neue Setup-Datei /etc/systemd/system/tmp.mount.d/override.conf, die nur Änderungen im Vergleich zur schon vorhandenen Datei /etc/systemd/system/tmp.mount bzw. /usr/share/systemd/tmp.mount enthält.

# wer keinen vi mag, zuerst: export EDITOR=/usr/bin/nano
systemctl edit tmp.mount

In diese Datei einbauen:

# Datei /etc/systemd/system/tmp.mount.d/override.conf
[Mount]
Options=mode=1777,strictatime,nosuid,nodev,size=4G,nr_inodes=1m

Mit einem reboot werden die Einstellungen wirksam.

PS: In Debian 13 wird /tmp mit tmpfs standardmäßig aktiv sein (Quelle). Ubuntu wird in zukünftigen Versionen vermutlich folgen.

Links/Quellen

• https://ubuntu.com/download/server
• https://discourse.ubuntu.com/t/ubuntu-24-04-lts-noble-numbat-release-notes/39890#ubuntu-server-42
• https://canonical.com/blog/canonical-expands-long-term-support-to-12-years-starting-with-ubuntu-14-04-lts
• https://bugs.launchpad.net/ubuntu/+source/fail2ban/+bug/2055114 (fail2ban-Fehler)
• https://askubuntu.com/questions/1232004/mounting-tmp-as-tmpfs-on-ubuntu-20-04
• https://ubuntu.com/blog/data-driven-analysis-tmp-on-tmpfs
• https://www.rosehosting.com/blog/email-server-on-ubuntu-24-04/
• https://kofler.info/ubuntu-24-04
• https://lists.debian.org/debian-devel/2024/05/msg00456.html

Freie Software wird oft mit Datenschutz assoziiert. Das ist vermutlich einer der Gründe, warum es immer wieder zu offenen Fragen bei dem Thema private Nachrichten und Verschlüsselung auf Mastodon kommt.

In den Versionen 5.6.0 und 5.6.1 enthielt das Packprogramm XZ eine Backdoor, die Angreifer dort eingeschleust hatten.

Die neuen Prozessoren der Snapdragon-X-Serie von Qualcomm werden aktuell vor allem mit Windows on Arm und dem Thema „Copilot+ PC“ in Verbindung gebracht. Alle Vorstellungen der Partner setzen bislang ausschließlich auf Windows. Tuxedo will für den Snapdragon X Elite jedoch auch „Linux on Arm“ anbieten, wie ein Prototyp zeigt.