Mit DCS werden bekannte Desktop-Paradigmen neu sortiert. Wer sich darauf einlässt, erhält ein spannendes und innovatives Retro-Betriebssystem auf Debian-Basis.

Mit einer Sicherheitsinitiative geht OpenAI in Konkurrenz zu Anthropics Mythos und bietet zudem einen Sicherheits-Review-Service für Open-Source-Projekte.

Canonical erweitert seinen Livepatch Dienst nun auch auf ARM64 Systeme und ermöglicht damit sicherheitsrelevante Kernel Updates ohne Neustart auf performanter ARM-Hardware. Die neue Unterstützung richtet sich vor allem an Betreiber großer Serverlandschaften. Livepatch hält kritische Kernel Lücken geschlossen, während Dienste weiterlaufen. Das senkt Ausfallzeiten und schützt sensible Systeme an entfernten Standorten. Besonders ARM-Server und Edge-Geräte […]

Der Beitrag Ubuntu Livepatch erhält offizielle ARM64 Unterstützung erschien zuerst auf fosstopia.

KDE liefert mit Plasma 6.7.1 ein erstes wichtiges Wartungsupdate, das zahlreiche Fehler beseitigt und die Stabilität des aktuellen Desktops verbessert. Die neue Version verfeinert den Wechsel zwischen globalen Designs durch einen sanften Übergangseffekt. Zudem wird das Gamepad‑Plugin standardmäßig deaktiviert, da es bei einigen Nutzern zu Störungen führte. Auch die Zwischenablage‑Synchronisation in Remote‑Sitzungen arbeitet nun wieder […]

Der Beitrag KDE Plasma 6.7.1 bringt wichtige Korrekturen erschien zuerst auf fosstopia.

Mit einer nur 50 KByte großen Videodatei können Angreifer Server- und Desktop-Anwendungen zum Absturz bringen oder gar Schadcode einschleusen. (Sicherheitslücke, Film)

Die Europäische Kommission hat das Konsortium EUROPA unter Führung der italienischen KI-Firma Domyn zum Sieger des Wettbewerbs “Frontier AI Grand Challenge” gekürt.

System76 bietet den 16-Zoll-Laptop Serval-WS ab sofort mit Intel-CPUs der Core-Ultra-2-Reihe an. Zur Wahl stehen der Core Ultra 9 290HX Plus und Ultra9 275HX. Die Standardkonfiguration des High-End-Laptops mit Linux als Betriebssystem startet bei rund 3.600 US-Dollar.

Die Zahl erfolgreicher Ransomware-Angriffe ist im Jahr 2025 deutlich gestiegen.

Die jetzt veröffentlichte Vollversion von OpenAIs neuestem Sicherheitsmodell GPT-5.5 Cyber soll das entsprechende Modell Mythos 5 von Anthropic hinter sich lassen, das eben noch nur ausgewählten…

Mit dem gPodder API kompatiblen goPodder kann man recht einfach seinen eigenen Podcast Sync-Server hosten.

Die Entwicklung der Xfce-Desktopumgebung verläuft langsamer als bei GNOME oder KDE. So lässt man sich auch Zeit beim Umstieg auf Wayland. Gerade erschien die erste Alpha eines eigenen Compositors.

Im Rahmen einer Cybersicherheitskampagne “Daybreak” will OpenAI zusammen mit der New Yorker Cybersicherheitsfirma Trail of Bits Open-Source-Maintainern helfen, in ihrer Software…

Wer die DNS-Verwaltung im eigenen Netz selbst in die Hand nehmen und dabei über die Funktionalität von Pi-hole oder Adguard Home hinaus möchte, sollte einen Blick auf den Technitium DNS-Server werfen.

Mitte Juni 2026 wurden über 1500 AUR-Pakete kompromittiert (siehe auch den vorigen Blog-Beitrag zu diesem Thema). Es zeugt natürlich von großer Überheblichkeit, als Mitautor eines Hacking-Buches zu glauben, selbst immun gegen Angriffe zu sein. Ein Update zum falschen Zeitpunkt hat mich auf den Boden der Tatsachen zurückgeholt und mir — einen Tag vor Urlaubsantritt — eine Menge sinnloser Arbeit beschert. Ich habe Anthropic- und OpenAI-Keys widerrufen, die SSH-Keys des betroffenen Notebooks von diversen Servern und Dienstleistern gelöscht und unzählige Passwörter geändert. Sch***!

Heute habe ich, natürlich ohne das System neuerlich zu booten, eine Analyse gemacht. Im Prinzip:

pacman --root /mnt/arch --dbpath /mnt/arch/var/lib/pacman -Qm

Ich habe 60 AUR-Pakete gefunden. Nur eines davon (libgdata, eine veraltete GNOME-Bibliothek für den Zugriff auf Google-Dienste) wurde kompromittiert. Ich habe es nur Stunden nach der Manipulation, aber eben noch vor der Berichterstattung über den Hack installiert. Extremes Pech im Timing!

Dieser Blog-Beitrag ist der Versuch einer persönlichen Aufarbeitung. Was ist passiert? Warum ist es passiert? Und was kann ich daraus lernen?

Eines vorweg. Dieser Artikel ist keine Kritik am Arch-Linux-Projekt. Dieses hat immer klar kommuniziert, dass AUR-Pakete — wie der Name schon sagt (Arch User Repository) — von den Benutzern selbst gepflegt werden und keiner Kontrolle unterliegen. Wer solche Pakete installiert, ist selbst verantwortlich, mit allen — dieses Mal sehr unerfreulichen — Konsequenzen.

Auch Updates können gefährlich sein

Die Sicherheitsempfehlung schlechthin lautet: »Installieren Sie regelmäßig Updates.« Aber diese Regel gilt nur für Pakete aus offiziellen Quellen.

Für extern gepflegte Pakete wäre eine Cool-Down-Phase sinnvoll. Im Prinzip: »Mach ein Update aller offiziellen Pakete sowie eines aller extern gepflegten Pakete, sofern dieses Update zumindest 4 Tage alt ist«. (Über die genaue Zeitspanne kann man streiten.) Ich kenne allerdings keinen Paketmanager, der so eine Funktion bietet.

In die richtige Richtung gehen die Auto-Update-Funktionen von Debian und Ubuntu: Unter Debian werden per Default ausschließlich offizielle Debian-Sicherheitsupdates berücksichtigt (Datei /etc/apt/apt.conf.d/50unattended-upgrades). Sonstige Updates werden ignoriert und müssen manuell installiert werden. Ubuntu ist etwas liberaler und installiert alle Updates aus offiziellen Quellen (aber ebenfalls keine aus externen Quellen).

Kurz gesagt: Ein blindes Update über alle Pakete ist nur sinnvoll, wenn Sie sich über die Herkunft aller Pakete sicher sind. Vielleicht werde ich in zukünftigen Blog-Artikeln Tipps zusammenfassen, wie Updates feiner gesteuert werden können.

Wozu überhaupt nicht-offizielle Pakete?

Eine andere Sicherheitsempfehlung lautet: »Verwenden Sie nur offiziell gepflegte Pakete.« Dennoch hat praktisch jede Distribution zusätzliche Paketquellen:

• Arch Linux: AUR
• Debian: externe Debian-Repositories
• Fedora: externe YUM-Paketquellen, COPR
• RHEL + Klone: EPEL, Remi und andere externe YUM-Paketquellen
• Ubuntu: externe Debian-Repositories, PPAs

Wenn externe Quellen unsicher sind, warum gibt es sie dann überhaupt? Weil sie manchmal der einzige und viel öfter der bequemste Weg sind, um Software zu installieren, die in den offiziellen Quellen fehlt. Für mich als Autor ist es wichtig, neue, nicht so bekannte Programme unkompliziert auszuprobieren. Viele Entwickler nutzen externe Pakete zur Installation von Tools, die nicht oder nur in veralteten Versionen zur Verfügung stehen. Schließlich fehlen kostenlose Programme mit kommerziellem Ursprung (also keine reine Open-Source-Software) wie Google Chrome in den offiziellen Quellen. Für »große« Distributionen gibt es zumeist »halb-offizielle« Pakete, aber für kleinere Distributionen wie Arch Linux sind Sie auf AUR-Pakete angewiesen.

Insofern ist der Rat, auf externe Quellen zu verzichten, für fortgeschrittene Benutzer und Software-Entwicklerinnen nur schwer umzusetzen.

Alles, worüber ich hier im Kontext von Linux-Paketen schreibe, gilt im Übrigen auch für die Erweiterungen/Bibliotheken aller wichtigen Programmiersprachen, Editoren und anderer Tools: also für Python-Module, NPM-Pakete, VSCode-Plugins etc. Der Überbegriff für Angriffe auf derartige Zusatzpakete lautet Software Supply Chain Attack (Lieferkettenangriff).

Weniger ist mehr

Für mich persönlich ist das AUR-Debakel ein Grund, die Nutzung externer Pakete viel stärker zu hinterfragen. Vorgenommen habe ich mir folgende Regeln:

• So wenig externe Pakete wie möglich! (Gibt es geeignete Alternativen in den offiziellen Quellen?)
• Ungenutzte externe Pakete deinstallieren. (Welche Pakete habe ich zwei, drei Monate nicht mehr gebraucht? Weg damit!)
• Eine stärkere Differenzierung zwischen Test- und Work-Systemen.

Schadensminimierung

Der AUR-Angriff hat auf Authentifizierungsdaten abgezielt, also Keys, Tokens, Passwörter etc. aus allen erdenklichen Quellen (.ssh-Verzeichnis, Passwörter diverser Browser usw.) Eine sehr detaillierte Analyse der Malware finden Sie auf ioctl.fail.

In meinem Fall war das größte Problem die Passwortsynchronisation von Google Chrome. Ich speichere im Webbrowser viele Passwörter. Die Passwort-Synchronisation ist durch ein zusätzliches, persönliches Passwort geschützt. Bookmarks und Passwörter sollten also für Google unlesbar sein. Wenn ich ein neues System einrichte (Linux, Windows, macOS, iOS oder Android), installiere ich Google Chrome, melde mich bei Google an, gebe das Master-Passwort für Bookmarks und Passwörter ein und synchronisiere die Daten. Das geht blitzschnell und ist komfortabel. Aber es ist eben ein riesiger Single Point of Failure! Das Master-Passwort schützt mich vor einem Passwort-Hack bei Google, aber es hilft nicht, wenn der Angreifer die lokale Passwort-Datenbank (sqlite-Format) auslesen kann. Und genau das war beim AUR-Angriff der Fall.

Die Konsequenz: Ich werde in Zukunft die Anzahl der so synchronisierten Passwörter auf ein absolutes Minimum reduzieren und länger nicht benutzte Passwörter löschen bzw. woanders speichern. Der naheliegende Ort wäre natürlich ein Passwort-Manager. Ich muss aber gestehen, dass ich diesen Programmen gegenüber auch skeptisch bin. Sie ersetzen einen Single Point of Failure durch einen anderen. Wer mit plattformübergreifenden Tools positive Erfahrungen gemacht hat, darf seine/ihre Erfahrungen gerne in den Kommentaren teilen :-)

Einmal mehr die Distributionsfrage

Auf meinem Linux-Notebook werde ich die aktuelle Parallel-Installation von Arch Linux und CachyOS bei nächster Gelegenheit durch Fedora ersetzen. Ich habe das Notebook zuletzt fast nur noch unterwegs verwendet. Im Büro habe ich mit dem Framework Desktop eine attraktivere Alternative. Dort habe ich mich im Rahmen meiner KI-Arbeiten gut an Fedora gewöhnt.

Zu glauben, Fedora sei frei von den skizzierten Gefahren, wäre natürlich naiv. Aber vermutlich sind die Risiken bei großen, weit verbreiteten Distributionen mit kommerziellem Hintergrund (Fedora ist ja eine Art offizielle Spielwiese von Red Hat) doch geringer als bei kleineren Distributionen — auch, was weit verbreitete, aber eben inoffizielle Paketquellen für Zusatzpakete angeht. Alleine schon die Trennung über mehrere Einzel-Repos anstelle des zentralen AUR-Verzeichnisses ist schon ein Vorteil.

Der Abschied von Arch Linux fällt mir schwer. Ich empfinde das Rolling-Release-Modell äußerst attraktiv. Arch Linux hat über mehrere Jahre sehr gut für mich funktioniert. Aber ich werde auch in Zukunft nicht ganz ohne externe Pakete auskommen. Mit AUR habe ich mir die Finger einmal verbrannt. Diese Art der Verwaltung externer Pakete ist vielleicht doch zu liberal; Paketmanager wie yay oder paru verschleiern das Risiko zu sehr. Ein zweites Mal will ich dieses Risiko nicht eingehen.

Quellen, Links

• https://ioctl.fail/preliminary-analysis-of-aur-malware/
• https://github.com/lenucksi/aur-malware-check (Test-Scripts, ob Sie betroffen sind)
• https://kofler.info/infos-zur-arch-linux-attacke

Ein Versionskontrollsystem speziell für Spiele- und Multimedia-Projekte gab es bislang nicht. Diese Lücke schließt Epic Games jetzt mit Lore.

Nordrhein-Westfalen wird Standort einer neuen Einheit innerhalb des European Laboratory for Learning and Intelligent Systems (ELLIS), einem der führenden europäischen Netzwerke für KI-Forschung.

Nach dem Release ist vor dem Release. Dementsprechend sind die KDE-Entwickler bereits fleißig bei der Entwicklung von Plasma 6.8, das im Oktober zur Veröffentlichung ansteht.

Als Highlight des Updates auf Mastodon 4.6 sehen die Entwickler die Funktion Collections, mit denen Nutzer kuratierte Profilsammlungen erstellen und teilen können.

Die Software Freedom Conservancy (SFC) hat Empfehlungen zur Nutzung von LLM-gestützten generativen KI-Systemen für FOSS-Beiträge veröffentlicht.

Mozilla hat eine öffentliche Entwicklungs-Roadmap für den Browser Firefox vorgestellt.

Canonical entwickelt Myna, eine lokale Spracherkennung für Ubuntu Desktop. Sie soll ab Version 26.10 eine Diktierfunktion bieten.

Angreifer können durch zwei Lücken in libssh2 Schadcode einschleusen oder SSH-Clients stören. Code-Patches gibt es, aber noch kein neues Release. (Sicherheitslücke, Server)

Pebble lädt geradezu dazu ein, dass man eigene Apps baut. Das kann richtig Spaß machen. Wir bauen ein simples GNU/Linux.ch Watchface.

Mit Yay 13.0 erscheint ein umfangreiches Update. Der beliebte AUR-Helfer erweitert Prüfmechanismen für Pakete, nachdem es zuletzt zu massiven Malwarebefall in AUR Paketen kam . Nutzer erhalten zusätzliche Werkzeuge vor Installationen und Aktualisierungen. Eine wichtige Neuerung zeigt das Änderungsdatum von PKGBUILDs. Suchergebnisse und Upgrade-Menüs enthalten nun Altersangaben. So werden kürzlich geänderte Pakete schneller sichtbar. Die […]

Der Beitrag Yay 13.0 für Arch Linux: Mehr Kontrolle nach AUR-Sicherheitsvorfällen erschien zuerst auf fosstopia.

Plasma 6.8 nimmt Form an und bringt früh erste sichtbare Verbesserungen für Alltag und Workflow. Die kommende Version soll Mitte Oktober erscheinen und langsam beginnt das Bild sich aufzuklaren. Die Entwickler arbeiten an einer besseren Monitor‑Erkennung. Künftig tragen Bildschirme farbige Nummern, die ihre Position eindeutig zeigen. Das erleichtert Setups mit mehreren gleichartigen Displays. Auch die […]

Der Beitrag KDE Plasma 6.8 rückt näher: Schwerpunkt liegt auf Multi-Monitor Verwaltung erschien zuerst auf fosstopia.