Die quelloffene Cloud-Office-Lösung Onlyoffice Workspace ist in Version 12.5 mit neuen Sicherheitsfeatures erschienen.

Ein Limit für erfolglose Anmeldeversuche, Login-Sperrzeiten oder erweiterte Einstellungen für Passwörter und die Zwei-Faktor-Authentifizierung (2FA) zählen dazu. Überarbeitet zeigt sich auch das Dokumentenmanagement. Es baut nun auf die aktuelle Version der Dokumenteneditoren und bringt die Option mit, ganze Ordner inklusive Unterordnern per externen Links zu teilen sowie den Zugriff auf geteilte Dokumente zeitlich zu begrenzen und mit Passwortschutz zu versehen.

Neu ist auch ein Dark Mode, eine alternative Benutzeroberfläche mit einer dunkleren Farbpalette. Benutzer können den Dark Mode in den Profileinstellungen aktivieren. Sobald er aktiviert ist, werden alle Dokumente ebenfalls im Dark Mode geöffnet.

Neu ist zudem eine Impersonationsoption, die es Administratoren erlaubt, sich im Namen bestimmter Benutzer einzuloggen. Onlyoffice Workspace 12.5 steht ab sofort auf der offiziellen Website zum Download zur Verfügung. Onlyoffice Workspace lässt sich als Cloud-Version mit fünf Nutzern kostenlos testen. Ansonsten gibt es eine Bezahlvariante, deren Preis von der Zahl der Nutzer abhängt.

Der Beitrag Onlyoffice Workspace 12.5 verbessert Sicherheit erschien zuerst auf Linux-Magazin.

Über seine Mailingliste hat Canonical das Team hinter der Distribution Ubuntu Cinnamon Remix darüber informiert, dass dieses Derivat ab Ubuntu 23.04 als offizielles Flavour anerkannt wird.

Laut der entsprechenden E-Mail habe das zuständige Technical Board für die Aufnahme gestimmt. Damit erhalten die Ubuntu Cinnamon Remix-Entwickler zukünftig Unterstützung von Canonical. Darüber hinaus erscheinen neuen Versionen stets zusammen mit neuen Ubuntu-Ausgaben. Sollten diese einen Long Term Support erhalten, gilt er auch für den Ubuntu Cinnamon Remix.

Zu den offiziellen Flavours zählen bereits Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Kylin, Ubuntu Mate, Ubuntu Studio, Ubuntu Unity und Xubuntu.

Ubuntu Cinnamon Remix nutzt als Basis das jeweils aktuelle Ubuntu, nutzt jedoch den Cinnamon-Desktop. Dieser stammt wiederum vom Linux-Mint-Team.

Der Beitrag Ubuntu Cinnamon Remix wird offizielles Derivat erschien zuerst auf Linux-Magazin.

Das National Institute of Standards and Technology (NIST) hat die Programmiersprache Rust in die Liste der “Safer Languages” aufgenommen.

Rust verfüge über ein Ownership-Modell, das sowohl Speicher- als auch Threadsicherheit zur Kompilierzeit garantiere, ohne dass ein Garbage Collector erforderlich sei, begründet das NIST seine Wahl. Dieses Modell ermöglicht es den Benutzern, leistungsstarken Code zu schreiben und gleichzeitig viele Fehlerklassen zu eliminieren, heißt es weiter. Und obwohl Rust auch über einen unsicheren Modus verfüge, sei dessen Verwendung explizit, und erlaube nur einen engen Bereich von Aktionen.

Das 1901 gegründete NIST untersteht dem US-Handelsministerium und gilt als eine der ältesten naturwissenschaftlichen Forschungseinrichtungen in den USA. Eine der vielen Initiativen des NIST ist das Projekt Software Assurance Metrics And Tool Evaluation (SAMATE). Dieses Gremium “widmet sich der Verbesserung der Software Assurance durch die Entwicklung von Methoden zur Bewertung von Software-Tools, der Messung der Effektivität von Tools und Techniken sowie der Identifizierung von Lücken in Tools und Methoden”, heißt es auf der NIST-Website.

Die Safer Languages wiederum sind eine Kategorie der SMATE “Klassen von Software-Sicherheitsfunktionen”. Das NIST empfiehlt dort die Verwendung von Programmiersprachen mit eingebauten Sicherheitsfunktionen, die von den Entwicklern aktiv überwacht und unterstützt werden.

Neben Rust sind bei den Safer Languages auch die Programmiersprachen und Sprach-Tools SPARK, Escher C Verifier Language, Fail-Safe C, Safe-Secure C/C++ (SSCC), die CERT Coding Standards und CCured aufgeführt.

Der Beitrag NIST macht Rust zur Safer Language erschien zuerst auf Linux-Magazin.

Verbraucher in Deutschland würden laut einer Umfrage des Digitalverbandes Bitkom für mehr Klimaschutz beim Online-Handel auf Annehmlichkeiten wie einer Lieferung am nächsten verzichten.

60 Prozent der Befragten würden beim Onlineshopping für mehr Nachhaltigkeit längere Lieferzeiten in Kauf nehmen und 56 Prozent auch Mindestbestellwerte oder Mindestmengen. 40 Prozent wären bereit, einen Aufpreis für umweltfreundliche Verpackungen zu zahlen und 39 Prozent würden kostenpflichtige Retouren akzeptieren. Zusätzliche Gebühren für einen klimafreundlichen Versand sind für 36 Prozent akzeptabel. Zu diesen Ergebnisse kommt eine Befragung im Auftrag des Digitalverbands Bitkom unter 1024 Online-Shoppern ab 16 Jahren in Deutschland.

Verbraucher für mehr Umweltschutz beim Shopping. Quelle: Bitkom

Nahezu einstimmig von 93 Prozent der Befragten heißt es, Händler sollten darauf achten, möglichst viele Waren in einen Karton zu packen. 70 Prozent sagen, dass Händler keine Werbeprospekte aus Papier mehr versenden sollten und 59 Prozent wünschen sich die Paketzustellungen nur noch mit Elektrofahrzeugen.

Die Umfrage hat ergeben, dass es den Online-Shoppern vor allem bei der Lieferung um den Umweltschutz geht und weniger bei den Waren selbst. 77 Prozent der Online-Shopper bündeln einzelne Online-Bestellungen aus Umweltschutzgründen, 70 Prozent schicken weniger Waren zurück und 67 Prozent wählen umweltfreundliche Verpackungen, wenn diese angeboten werden.

Der Beitrag Verbraucher für mehr Nachhaltigkeit beim Online-Handel erschien zuerst auf Linux-Magazin.

Das Kiosk-System Porteus Kiosk frischt in Version 5.5 den Kernel, die Browser und viele weitere Kernkomponenten auf. Des Weiteren unterstützt die neue Version das exFAT-Dateisystem sowie die MD5-Authentifizierung in WLAN-Netzen, die nach dem 802.1x-Protokoll funken.

Wer mit Porteus Kiosk aufsetzt, kann jetzt einen Watchdog Timer aktivieren. Dieser prüft regelmäßig im Hintergrund, ob ein (größeres) Problem vorliegt. In diesem Fall startet der Watchdog das System automatisch neu. Die Funktion lässt sich zudem bei unbeaufsichtigten Deployments nutzen. So kann der Watchdog beispielsweise das System neu starten, wenn sich Zertifikate geändert haben.

Des Weiteren erlaubt Porteus Kiosk 5.5.0 jetzt standardmäßig in Chrome das Protokoll „zoommtg“. Damit sind über den Browser Zoom-Verbindungen möglich. Chrome selbst liegt jetzt in der Version 108.0.5359.124 vor, als Alternative steht Mozilla Firefox 102.9.0 ESR parat. Unter der Haube arbeitet der Kernel 6.1.20.

Neben diesen größeren Neuerungen haben die Entwickler ein paar kleinere Anpassungen vorgenommen. So startet die X11 Session auf der ersten Konsole (tty1/VT1) anstelle der normalerweise genutzten Konsole 7 (VT7). Damit möchten die Entwickler ein hin- und herwechseln zwischen den virtuellen Terminals verhindern, was wiederum zu einem schnelleren und sanfteren Boot-Vorgang führen soll.

Weitere Änderungen betreffen die kostenpflichtigen Dienste. So kann der Porteus Kiosk Server in der Premium-Ausgabe die Batteriekapazitäten der angebundenen Clients beobachten. Das Kiosk-System lädt zudem Komponenten und Systemupdates ab sofort auch von Spiegelservern. Porteus wählt dabei automatisch den schnellsten Mirror in der Nähe.

Der Beitrag Porteus Kiosk 5.5 bietet Watchdog-Funktion und erlaubt Zoom erschien zuerst auf Linux-Magazin.

Dank einer Investition von und Kooperation von Starfive mit Baidu soll RISC-V fit werden für das Rechenzentrum.

Der chinesische RISC-V-Spezialist Starfive (Saifang Technology) gibt eine weitere erfolgreiche Finanzierungsrunde bekannt. Diese werde vollständig durch den Cloudanbieter Baidu über ein strategisches Investment umgesetzt, wie das Unternehmen in dem chinesischen Social-Media-Angebot QQ schreibt. Zusätzlich dazu haben die beiden Unternehmen eine weitgehende Kooperation vereinbart, die Hochleistungschips mit RISC-V für den Einsatz im Rechenzentrum bringen soll.

Dabei bleibt zunächst völlig offen, ob dies auch langfristig CPUs für den Host-Einsatz in Cloudumgebungen umfasst. Das wäre – wenn überhaupt – wohl nur langfristig erreichbar, da die Leistungsfähigkeit von RISC-V-CPUs trotz der schnellen Entwicklung derzeit nicht vergleichbar ist zur Konkurrenz von x86- oder ARM-Chips. RISC-V wird dabei aber als historische Chance für Innovationen der chinesischen Chip-Branche beschrieben. Tatsächlich setzen zahlreiche chinesische Unternehmen auf RISC-V.

Größere, auch internationale Bekanntheit erlangte Starfive vor allem durch den Single Board Computer (SBC) Visionfive 2, der die PowerVR-3D-Grafikeinheit BXE-4-32-MC1 vom Imagination integriert. Die CPUs von Starfive basieren dabei größtenteils auf den E-, S- und U-Serien von den RISC-V-Pionieren von Sifive. Hinzu kommen die offenbar selbst erstellte Dubhe-Serie, die Befehlssatzerweiterungen zur Bitmanipulation, für Vektoren sowie für den Einsatz als Hypervisor bietet, ebenso wie Bus- und Speichersysteme sowie Chiplet-Techniken.

Laut Starfive selbst soll sich die Dubhe-Serie für Edge-Szenarien oder SmartNICs ebenso nutzen lassen wie für verschiedene KI-Anwendungsfälle. Die Kooperation könnte aus Sicht von Baidu vor allem für Letztere von größerem Interesse sein, immerhin arbeitet das Unternehmen mit Ernie an zahlreichen KI-Techniken.

Der Beitrag Starfive will RISC-V ins Rechenzentrum bringen erschien zuerst auf Linux-Magazin.

Mozilla hat seinen Datensatz von Sprachmustern für das Training von Sprachtechnologien aktualisiert. Mit Common Voice Corpus 13.0 stehen noch einmal mehr Beispiele  von Sprachdateien für Entwickler von Spracherkennungsanwendungen zur Verfügung.

Der zum Download angebotene deutsche Sprachdatensatz umfasst Sprachdateien im Umfang von 1340 Stunden. Er ist 31,5 GByte groß und liefert 17.867 Stimmen. Jeder Eintrag im Datensatz besteht aus einer eindeutigen MP3- und zugehörigen Textdatei. Viele der aufgezeichneten Stunden im Datensatz enthielten auch demografische Metadaten wie Alter, Geschlecht und Akzent, mit deren Hilfe die Genauigkeit von Spracherkennungs-Engines trainiert werden könne, teilt Mozilla mit.

Der komplette Datensatz bestehe derzeit aus 17.690 bestätigten Stunden in 108 Sprachen. Mozilla Common Voice ist eine Open-Source-Initiative, um den Zugang zu Sprachtechnologie allgemein zu erleichtern. Die Teilnehmer am Projekt spenden Sprachdaten für einen freien, öffentlichen Datensatz, der von jedermann genutzt werden kann, um sprachgesteuerte Technologien zu trainieren. Das Projekt versucht damit, einzelnen Entwicklern und kleinen Unternehmen einen Datensatz zu bieten, denen ein solcher Zugang wegen fehlender finanzieller Mittel sonst verwehrt wäre.v

Der Beitrag Mozilla veröffentlicht Common Voice Corpus 13.0 erschien zuerst auf Linux-Magazin.

Das Europäische Polizeiamt Europol sieht Kriminelle die Fähigkeiten des Large Language Models (LLM) ChatGPT für ihre Zwecke missbrauchen.  Die von ChatGPT erzeugten realistisch wirkenden Texte etwa, seien ideal für Phishing und Social Engineering einzusetzen, teilt Europol mit.

Sorgen macht der europäischen Polizei besonders der Einsatz von ChatGPT in den drei Kriminalitätsbereiche Betrug und Social Engineering; Desinformation und Cybercrime. Im Fall des Social Engineering seien die Fähigkeit von ChatGPT, sehr realistische Texte zu verfassen sehr nützlich für Phishing-Zwecke. Zudem lasse sich die Fähigkeit von LLMs, Sprachmuster nachzubilden, nutzen, um den Sprachstil bestimmter Personen oder Gruppen zu imitieren. Diese Fähigkeit lasse sich im großen Stil missbrauchen, um potenzielle Opfer zu verleiten, kriminellen Akteuren zu vertrauen.

Dass ChatGPT authentisch klingende Texte produzieren könne, macht das Modell auch ideal für Propaganda- und Desinformationszwecke, da es mit relativ geringem Aufwand Nachrichten erstellen könne, die ein bestimmtes Narrativ widerspiegeln.

Nicht zuletzt sei ChatGPT in der Lage auch Code in einer Reihe verschiedener Programmiersprachen zu erzeugen. Für einen potenziellen Kriminellen mit geringen technischen Kenntnissen sei dies eine unschätzbare Ressource, um bösartigen Code für Angriff zu generieren.

Als Reaktion auf die wachsende öffentliche Aufmerksamkeit, die ChatGPT erregt, hat das Europol Innovation Lab eine Reihe von Workshops mit Fachleuten veranstaltet um zu untersuchen, wie Kriminelle LLMs missbrauchen können und wie sie Ermittler bei ihrer täglichen Arbeit unterstützen können. In einem Report zu ChatGPT sind die Ergebnisse dieser Sitzungen enthalten und zudem wichtige Informationen für Strafverfolgungsbehörden, die weiterhin nach neuen und aufkommenden Technologien Ausschau halten, die ihre Arbeit beeinflussen, teilt Europol mit.

Der Beitrag Europol warnt vor kriminellem Missbrauch von ChatGPT erschien zuerst auf Linux-Magazin.

Identitätsdiebstahl und der Missbrauch persönlicher Daten sind für fast die Hälfte der Internetnutzer die größte Sorge, so lautet das Ergebnis einer repräsentativen Umfrage des IT-Sicherheitsunternehmens Eset.

45,5 Prozent der Befragten sind laut der Umfrage besorgt, dass sie Opfer von Identitätsdiebstahl oder vom Missbrauch ihrer persönlichen Daten werden könnten. Jeder Vierte (25,8 Prozent) fürchtet sich vor einer Infektion mit Schadprogrammen, jeder Fünfte vor Betrug etwa durch Fake-Shops. Ransomware spiele bei Privatanwendern eine geringe Rolle, hat die Umfrage ergeben. Nur 8,1 Prozent befürchten, dass sie von solchen Verschlüsselungstrojanern betroffen sein könnten.

Aber auch der Schutz der Daten hat einen höheren Stellenwert erreicht. 34,2 Prozent der Befragten setzen bei jeder Gelegenheit auf die Zwei-Faktor-Authentifizierung – ein Zuwachs von 6,4 Prozent im Vergleich zur Umfrage aus dem vergangenen Jahr. 45,8 Prozent setzen zumindest teilweise auf die Zwei-Faktor-Authentifizierung. Und nur jeder Fünfte verzichte komplett darauf. Im Vergleich zum letzten Jahr sei das ein Rückgang um sechs Prozent, teilt Eset mit.

Jeder Dritte setzt auf einen Passwort-Manager (30,6 Prozent) ein Anstieg um fünf Prozent im Vergleich zur ESET Umfrage 2022. 21,4 Prozent der Internetnutzer haben ein klassisches Notizbuch im Einsatz, um sich ihre Passwörter aufzuschreiben. 32,2 Prozent der Befragten haben angegeben, dass Sie sich ihre Passwörter ohne Hilfsmittel merken. Den Browser als Speicherort für die Kennwörter nutzen 9,2 Prozent. Nur 6,6 Prozent nutzen identische Passwörter für mehrere Online-Dienste.

Der Beitrag Deutsche fürchten Identitätsdiebstahl erschien zuerst auf Linux-Magazin.

Die JavaScript-Runtime Deno bietet Neuerungen beim Befehl „deno compile“, ändert einige APIs, kann TypeScript 5.0 ausführen und kommt Node.js-Entwicklern weiter entgegen. Aufgrund eines Bugs sollte man jedoch zur Version 1.32.1 greifen.

Laut den Deno-Entwicklern erhält die zunächst veröffentlichte Version 1.32.0 eine kritische Sicherheitslücke. Die tritt auf, wenn man einen vergrößerbaren „ArrayBuffer“ an eine eingebaute, asynchron arbeitende Funktionen übergibt. Diese könnte den ArrayBuffer schrumpfen, was wiederum zu einer Out-Of-Bound Schreib-/Leseoperation führt. Deno-Nutzer sollten daher direkt auf die fehlerkorrigierte Version 1.32.1 aktualisieren. Die resizable ArrayBuffer führt die aktualisierte V8-Engine ein, die jetzt in der Version 11.2 den eigentlichen JavaScript-Code ausführt.

Deno 1.32 verbessert die Kompatibilität zum Konkurrenten Node.js an gleich mehreren Stellen. Die meisten Änderungen beziehen sich dabei auf die Konfigurationsdatei „package.json“. So installiert Deno nur dann Pakete, wenn der Code einen Specifier verwendet, zu dem ein Eintrag in der Konfigurationsdatei existiert. Stolpert Deno beim Parsen der „package.json“ über Abhängigkeitsfehler, behandelt sie die Runtime jetzt „lazy“, was Unterbrechungen minimieren soll (Lazy Error Surfacing). Weiterhin lässt sich die Auto-Discovery-Funktion für die „package.json“ deaktivieren. Dazu gibt man Deno die Parameter „–no-config“ und „–no-npm“ mit auf den Weg. Entwickler sollen so eine bessere Kontrolle über den Prozess erhalten. Abschließend existiert die neue Umgebungsvariable „DENO_NO_PACKAGE_JSON“. Mit ihr kann man Deno davon abhalten, die „package.json“ zu berücksichtigen.

Deno 1.32 unterstützt erstmals in „node:crypto“ die Crypto-Schnittstellen „createCipheriv“ und „createDecipheriv“. Dies erweitert die Zahl der bereitstehenden Kryptografiefunktionen.

Das Kommando „deno compile“ erlaubt die Nutzung von dynamischen Importen und der WebWorker API. Dies wiederum vereinfacht den Bau von Multi-Threading-Programmen. „deno run“ erlaubt zudem den Start von JavaScript-Dateien, die keine Endung besitzen. Dazu gibt man die Endung im Parameter „–ext“ vor.

Die API „Deno.FileInfo.dev“ steht ab sofort auch unter Windows bereit. Dies hat jedoch gleichzeitig zur Folge, dass sich die Typings für das „Deno.FileInfo.dev“-Feld von „number | null“ zu „number“ geändert haben. Neu an Bord sind die APIs „Deno.DatagramConn.joinMulticastV4“ und „Deno.DatagramConn.joinMulticastV6“. Bei den Web APIs ist „URLSearchParams.size()“ hinzugekommen. Nicht mehr dabei ist hingegen die instabile WebGPU-Schnittstelle – hier waren vor allem Performance-Problemen ausschlaggebend.

Umbauarbeiten gab es in der Standardbibliothek: Insgesamt sechs Module aus „std/encoding“ hat das Deno-Team direkt unter „std“ einsortiert. So ist jetzt etwa „std/encoding/csv“ über „std/csv“ zu erreichen. Die Deno-Entwickler wollen damit die Konsistenz in der Modulstruktur verbessern. Neben „csv“ betroffen sind „yaml“, „toml“, „json“, „jsonc“ und „front_matter“.

Der Beitrag Aktualisiertes Deno verbessert Kompatibilität zu Node.js erschien zuerst auf Linux-Magazin.

Mit der Distribution Proxmox VE lässt sich schnell eine Umgebung für virtuelle Maschinen und Container aufsetzen. Die neue Version 7.4 offeriert ein neues dunkles Theme. Darüber hinaus liegen die Kernkomponenten QEMU, LXC und ZFS in frischen Versionen bei.

Als Basis dient weiterhin Debian 11.6 („Bullseye“), im Hintergrund arbeitet jedoch wahlweise der Kernel 5.15 oder 6.2. Mit an Bord sind QEMU 7.2, LXC 5.0.2 und ZFS 2.1.9. Beim verteilten Dateisystem Ceph kann man sich zwischen der Version Quincy 17.2.5 und Pacific 16.2.11 entscheiden. GUI und API bieten zudem detaillierte Ceph OSD-Informationen an.

Task Logs darf man ab sofort als Textdateien herunterladen. Der Resource Tree lässt sich zudem nach Name oder VMID sortieren. Der HA-Manager hat ein CRM-Kommando spendiert bekommen, über das man einen aktiven Knoten manuell und ohne Neustart in den Maintenance-Modus versetzen kann. CRS re-balanciert virtuelle Maschinen und Container automatisch beim Start. Sämtliche Neuerungen listen detailliert die offiziellen Release Notes auf.

Der Beitrag Proxmox VE 7.4 aktualisiert Unterbau erschien zuerst auf Linux-Magazin.

Eine kritische Sicherheitslücke wurde in Deno  korrigiert. Die Schwachstelle betrifft anpassbare ArrayBuffers, die an asynchrone native Funktionen übergeben werden.  Wenn die Buffer während der asynchronen Operation verkleinert werdenund,  kann das zu einem Out-of-Bound Read/Write führen.

ArrayBuffers sind Speicherbereiche, die sich dynamisch in der Größe anpassen lassen. Out-of-Bound Read/Write bezieht sich darauf, dass auf Speicherbereiche zugegriffen wird, die außerhalb des zugewiesenen Bereichs liegen, was unerwartetes Verhalten oder Sicherheitsprobleme verursachen kann.

Obwohl das Deno-Team der Ansicht ist, dass diese Lücke bisher nicht ausgenutzt wurde, wird den Nutzern dringend geraten, auf die neue Version 1.32.1 zu aktualisieren, um die Sicherheit ihrer Anwendungen zu gewährleisten.

Der Beitrag JavaScript-Runtime: Kritische Schwachstelle in Deno erschien zuerst auf Linux-Magazin.

Die Entwickler des Linux-Desktopumghebung Gnome haben Version 44 mit dem Codenamen “Kuala Lumpur” veröffentlicht. Zu den Highlights zählen sie Verbesserungen der Einstellungen-App, ein verbessertes Menü für die Schnelleinstellungen und eine optimierte Software-App.

Der Punkt Device-Security war in der vorangegangenen Version 43 in die Einstellungen-App integriert worden. Seitdem gab es dafür größere Aktualisierungen, heißt es in den Release Notes. In der neuen Version werde der Sicherheitsstatus des Geräts als Beschreibung angezeigt, etwa. “Prüfung fehlgeschlagen”, “Prüfung bestanden” oder “Geschützt”. Dadurch sei das Panel leichter verständlich, teilen die Entwickler mit.

Die Einstellungen für Accessibility seien ebenfalls neu gestaltet worden. Die verschiedenen Abschnitte der Einstellungen für die Barrierefreiheit seien nun aufgeteilt, um die Navigation zu erleichtern. Das Design der einzelnen Einstellungen wurde ebenfalls verbessert, um klarer und konsistenter mit dem Rest der Einstellungen zu sein. Außerdem wurden zu vielen Einstellungen Beschreibungen hinzugefügt, heißt es seitens des Gnome-Projekts.

Neue Apps im Circle von Gnome. Quelle: Gnome

Außerdem haben die Gnome Circles, eine Sammlung von Apps, die im Rahmen von Gnome entwickelt werden, Zuwachs bekommen. Zehn neue Anwendungen stehen dort bereit. Die Einstellungsmöglichkeiten für Sound und Tastatur und Maus seien ebenfalls stark überarbeitet worden, steht in den Release Notes. Die führen weitere Verbesserungen und Neuerungen auf.

Der Beitrag Gnome 44, “Kuala Lumpur” veröffentlicht erschien zuerst auf Linux-Magazin.

Die OpenStack-Community hat heute mit OpenStack Antelope die 27. Version der Open-Source-Cloud-Infrastruktursoftware veröffentlicht und kehrt damit zum “A” in ihrem alphabetischen Release-Namensprotokoll zurück und führt einen neuen Release-Prozess ein.

OpenStack Antelope sei die erste Version eines neuen Release-Zyklus, der die Anforderungen an die Nutzer, alle sechs Monate ein Upgrade durchzuführen, verringern soll, teilt die federführende Opneinfrastructure Foundation mit. OpenStack ließe sich nun für einen jährlichen Upgrade-Zyklus einrichten um dann mit jedem Skip Level Upgrade Release Process, kurz “SLURP”-Release ein Upgrade durchzuführen, heißt es in der Ankündigung. Die “Nicht-SLURP”-Releases werden weiterhin im Sechsmonatszeitraum für diejenigen verfügbar sein, die häufiger aktualisieren möchten. Antelope sei die erste SLURP-Version; OpenStack Bobcat, die 28. Version von OpenStack, sei dann eine Nicht-SLURP-Version, die für Oktober 2023 geplant sei.

Die Antelope-Version umfasst zudem 9794 Änderungen, die von über 601 Autoren aus mehr als 110 Organisationen und über 40 Ländern vorgenommen worden seien, teilt die Foundation mit.

Kendall Nelson, Senior Advocate für Upstream-Entwickler bei der OpenInfra Foundation sagte, dass Antelope Sicherheitsverbesserungen in Neutron und Glance mitbringe und Fortschritte beim Hardware-Enablement in Cyborg und der Rezertifizierung von Magnum als Kubernetes-Orchestrator. Dies stehe für die Verbesserungen bei der Stabilität und dem Support für die Integration von neuer Hard- und Software, so Nelson.

Laut der OpenStack-Benutzerumfrage 2022 wird Kubernetes inzwischen in über 85 Porzent der OpenStack-Deployments eingesetzt: 73 Prozent durch Vanilla Kubernetes selbst. Der Anstieg der OpenStack- und Kubernetes-Integrationen in der Produktion wird auch durch einen Anstieg auf 21 Prozent (von nur 16 Prozent im letzten Jahr) der Benutzer deutlich, die Produktions-Workloads mit Magnum, dem OpenStack-Service für die Container-Orchestrierung, ausführen.

In Antelopehabe man Magnum aktualisiert, um Kubernetes v1.24 auf Fedora CoreOS 36 und 37 zu unterstützen, teilen die Entwickler mit. Magnum wurde außerdem als Kubernetes-Orchestrator rezertifiziert und hat die von der Cloud Native Computing Foundation (CNCF) durchgeführten Software-Konformitätstests bestanden, heißt es weiter. Diese Zertifizierung stelle sicher, dass die Kubernetes-Version eines jeden Anbieters die erforderlichen APIs unterstützet. Für Unternehmen, die Kubernetes einsetzen, ermögliche die Konformität die Interoperabilität zwischen verschiedenen Kubernetes-Installationen.

Die Release Notes zu OpenStack Antelope stellen die Neuerungen und Änderungen vor.

Der Beitrag OpenStack Antelope startet neuen Release-Prozess erschien zuerst auf Linux-Magazin.

Nachdem anderen Nutzern kurze Zusammenfassungen von ChatGPT-Konversationen angezeigt wurden, konnte OpenAI das Problem beheben.

Der ChatGPT-Entwickler OpenAI hat einen Fehler behoben, bei dem die Daten anderer Nutzer eingesehen werden konnten. Zwischenzeitlich deaktivierte das Unternehmen die Chatverlaufsfunktion von ChatGPT, da die Titel der Konversationen anderen Nutzern angezeigt wurden. Zuerst berichtete die Nachrichtenagentur Reuters.

Bekannt wurde der Fehler über Screenshots von fremden ChatGPT-Konversationen, die auf Reddit und Twitter veröffentlicht wurden. Ein Sprecher von OpenAI, dem ChatGPT-Hersteller, bestätigte der Nachrichtenagentur Bloomberg den Vorfall.

Er betonte, dass der Fehler nicht zu einer Weitergabe der vollständigen Transkripte von Unterhaltungen mit dem Chatbot geführt habe, sondern nur kurze beschreibende Titel weitergegeben worden seien.

Laut einem Tweet von OpenAI-CEO Sam Altman wurde das Problem durch “einen Fehler in einer Open-Source-Bibliothek” verursacht. Der Fehler in der nicht namentlich genannten Bibliothek sowie in ChatGPT sei behoben worden. Zwischenzeitlich wurde der ChatGPT-Dienst beziehungsweise die Chatverlaufsfunktion deaktiviert. In Folge des Fixes könnten Nutzer allerdings ihre Chatverläufe vom 20. März zum Teil nicht mehr einsehen, schreibt Altman.

Der Fehler sei eine wichtige Erinnerung daran, keine sensiblen Daten mit ChatGPT zu teilen, schreibt das Onlinemagazin The Verge und verweist auf eine entsprechende Stelle in den FAQ von OpenAI. Das Unternehmen könne bestimmte Eingaben nicht aus dem Verlauf löschen, zudem könnten die Unterhaltungen zu Schulungszwecken verwendet werden, heißt es in der FAQ.

Der Beitrag OpenAI behebt Fehler, der Nutzern fremde Daten anzeigte erschien zuerst auf Linux-Magazin.

Das Live-System Tails zum anonymisierten Surfen im Internet nutzt in Version 5.11 den Hauptspeicher effizienter, erlaubt die Aufnahme von Screencasts und frischt die Kernkomponenten auf.

Tails 5.11 komprimiert sämtliche Hauptspeicherinhalte über das Kernel-Modul Zram. Durch den so gewonnenen Platz lassen sich mehr Anwendungen gleichzeitig starten oder größere Dateien herunterladen. Wie viel Hauptspeicher zusätzlich zur Verfügung steht, hängt von den Inhalten und Anwendungen ab. Laut Tails-Team kann man das Live-System jedoch länger nutzen, bevor es aufgrund von Speichermangel in die Knie geht oder gar einfriert.

Des Weiteren aktiviert Tails 5.11 die Screencast-Funktion in Gnome. Damit lässt sich das Geschehen auf dem Desktop in kurzen Videos festhalten. Die Aufzeichnung startet und stoppt die Tastenkombination [Strg]+[Alt]+[Umschalt]+[R]. Die Anzahl der Screencasts ist nicht beschränkt.

Abschließend haben die Entwickler im Willkommen-Bildschirm den Unlocking-Bereich leicht umgestaltet, den Tor Browser auf die Version 12.0.4 gehoben und Thunderbird 102.9.0 beigelegt.

Der Beitrag Tails 5.11 komprimiert Hauptspeicher mit Zram erschien zuerst auf Linux-Magazin.

Bei dem Live-System SystemRescue arbeitet jetzt im Hintergrund der Linux-Kernel 6.1.20 mit Long Term Support. Wieder an Bord ist der Videotreiber “xf86-video-qxl”, da dessen Bugs mittlerweile ausgemerzt seien.

Über die neue Konfigurationsdatei “gui_autostart” lassen sich jetzt im YAML-Format Anwendungen vorgeben, die automatisch nach dem Hochfahren des X Window System starten. Im Gegenzug haben die Entwickler alle veralteten Autorun-Mechanismen entfernt.

Der Bootmanager Grub unterstützt die Konfigurationsdatei “loopback.cfg”, zudem haben die Entwickler Customization Hooks hinzugefügt. Letztere existieren auch für Syslinux.

Das Werkzeugarsenal in SystemRescue 10.00 umfasst die Passwortmanager “pass” und “qtpass”. Ebenfalls erstmals verfügbar sind die Pakete “casync”, “stressapptest”, “stress-ng” und “tk”.

Der Beitrag SystemRescue 10.00 schraubt an Konfiguration des Startvorgangs erschien zuerst auf Linux-Magazin.

Das kleine Netzwerk-Tool Curl gehört zum Werkzeugkasten zahlreicher Administratoren und Entwickler. Pünktlich zum 25. Geburtstag liegt die Version 8.0 vor, die allerdings keine Neuerungen bietet. 136 Gründe für ein Update gibt es dennoch.

Laut Curl-Erfinder Daniel Stenberg wollte man mit dem Versionssprung vor allem verhindern, dass die zweite Stelle der Versionsnummer zu groß wird. Er weist zudem explizit darauf hin, dass Curl 8.0 weder die API noch die ABI ändert.

Das Curl-Team hat jedoch insgesamt 130 Bugs erschlagen und sechs Sicherheitslücken gestopft. Fünf Sicherheitsprobleme stuft Daniel Stenberg als wenig und einen als mittelschwer ein. In seinem Blog-Post stellt er alle Lücken vor.

Mit der Version 8.0 feiert das Werkzeug gleichzeitig seinen 25. Geburtstag. Die Ursprünge gingen zurück auf das Werkzeug „httpget“, mit dem Daniel Stenberg eigentlich nur aktuelle Währungskurse automatisiert herunterladen wollte. Letztendlich übernahm er die Entwicklung als Maintainer, fügte weitere Protokolle und Funktionen hinzu und benannte das Tool in Curl um. Besonders langlebig war die Versionsreihe 7, die seit der Jahrtausendwende existierte. Die komplette Geschichte von Curl im Schnelldurchlauf liefert Daniel Stenberg in einem eigenen Blog-Beitrag.

Der Beitrag Curl 8.0 zum Jubiläum erschien zuerst auf Linux-Magazin.

Wenn die EU-Kommission am heutigen Mittwoch den Gesetzesentwurf für ein Recht auf Reparatur vorlegt, sind sich der Digitalverband Bitkom und die Verbraucherzentrale Bundesverband (vzb) einig, dass es Anreize für Verbraucher geben sollte.

Der Bitkom hat in einer Umfrage ermittelt, dass wenn das Smartphone einen Defekt hat, 52 Prozent der Nutzer auf eine Reparatur setzen. Befragt wurden 1003 Personen in Deutschland ab 16 Jahren, darunter 854 Nutzerinnen und Nutzer eines Smartphones oder Handys. Laut Umfrage werden für Reparaturen verschiedene Möglichkeiten genutzt: Ein Viertel (24 Prozent) hat einen Schaden schon einmal durch den Hersteller reparieren lassen. 19 Prozent haben die Reparatur-Dienste des Händlers in Anspruch genommen und 9 Prozent waren in einer spezialisierten Werkstatt. 10 Prozent haben auch schon einmal einen Schaden selbst repariert.

69 Prozent sprachen sich in der Umfrage aber generell für eine Mehrwertsteuersenkung auf Reparaturen aus. „Wer Reparaturen von Geräten fördern will, muss die richtigen Anreize setzen. Eine Mehrwertsteuersenkung auf Ersatzteile und Reparaturdienstleistungen für IT-Hardware wie Smartphones und Laptops ist ein solcher Anreiz, der direkt und unmittelbar wirkt“, so Bitkom-Hauptgeschäftsführer Bernhard Rohleder.

Bei den Verbraucherschützern sieht man das ähnlich. Berlin müsse nicht auf Brüssel warten, sagte Ramona Pop, Vorständin des Verbraucherzentrale Bundesverbands. Die deutsche Bundesregierung sollte im Sinne ihres Aktionsprogramms „Reparieren statt Wegwerfen“ eigene Maßnahmen vorlegen. Ein Reparaturbonus – also ein staatlicher Zuschuss zu den Reparaturkosten – seien ein erster Schritt und eine finanzielle Entlastung für Verbraucher und gut für Klima und Umwelt. Jede Reparatur verlängere die Lebensdauer eines Produkts. Das reduziere klimaschädliche Emissionen und schone die Umwelt, kommentierte Ramona Pop weiter.

Der Beitrag Recht auf Reparatur: Verbände fordern Bonus für Verbraucher erschien zuerst auf Linux-Magazin.

Cyber-Sicherheit sollte zum festen Bestandteil des Risikomanagements in Unternehmen werden, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI).  Im Handbuch „Management von Cyber-Risiken“ hat das BSI einen Leitfaden für Cyber-Sicherheit zusammengestellt.

Das Handbuch sei in Zusammenarbeit mit der Internet Security Alliance (ISA) und deutschen Expertinnen und Experten aus der Wirtschaft für die deutsche IT-Sicherheitslandschaft angepasst worden, teilt das BSI mit. Es erhalte nun ein weitreichendes Update und widme sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtige und so die Resilienz der Unternehmen erhöhe.

Das Thema Cyber-Sicherheit wurde im Handbuch bislang an fünf Prinzipien diskutiert. Mit der Neuauflage sei erstmals ein neues, sechstes Prinzip zum Schutz ganzer Branchen eingeführt. Dieses sei zuvor von der ISA/NACD mit dem World Economic Forum entwickelt worden, so das BSI.

Das Handbuch nebst Toolkit ist zum Download verfügbar. Die sechs Prinzipien werden auch anhand von Videos erläutert.

Die Prinzipien heißen:

• Cyber-Sicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen.
• Rechtliche Auswirkungen von Cyber-Risiken verstehen und genau untersuchen.
• Zugang zu Cyber-Sicherheitsexpertise sowie regelmäßigen Austausch sicherstellen
• Umsetzung geeigneter Rahmenbedingungen sowie Ressourcen für das Cyber-Risikomanagement sicherstellen
• Risikoanalyse erstellen sowie Definition von Risikobereitschaft in Abhängigkeit von Geschäftszielen und -strategien formulieren
• Unternehmensweite Zusammenarbeit und den Austausch von Best-Practice fördern

Der Beitrag BSI aktualisiert Handbuch „Management von Cyber-Risiken“ erschien zuerst auf Linux-Magazin.

Oracle hat das Java Development Kit (JDK) 20 veröffentlicht. JDK 20 ist ein so genanntes Short-Term-Release und erfährt sechs Monate Unterstützung. Produktionsreife Binärdateien unter der GPL sind von Oracle erhältlich.

Das neueste Upgrade von Standard-Java enthält sieben neuen Funktionen, die sich alle entweder in einer Inkubations- oder in einer Vorschauphase befinden. Ein Vektor-API, Virtual Threads, Record Patterns, Scoped Values und eine Foreign Function & Memory API zählen laut den Release Notes  dazu.

Die Funktionen in JDK 20 werden nach Angaben von Oracle jetzt zunehmend zu Standards weiterentwickelt. Die neuen Funktionen stammen aus Java-Projekten Amber, Panama und Loom stammen. Amber ist dabei für die Record Patterns und Pattern Matching für Switch zuständig. Panama für die Verbindung der JVM mit nativem Code (Foreign Function & Memory API nebst Vector API) und Loom entwickelt die neuen JVM-Funktionen und die darauf aufbauenden APIs (Scoped Values, Virtual Threads und Structured Concurrency).

Open-Source-Builds des Java Development Kit 20 sind hier verfügbar.

Der Beitrag Java Development Kit 20 mit neuen Funktionen erschien zuerst auf Linux-Magazin.

Exynos-Modemchips sind eine Art von Chipsatz, der von Samsung Electronics hergestellt wird und in verschiedenen mobilen Geräten wie Smartphones, Smartwatches und Tablets eingesetzt wird. Samsung nutzt Exynos-Modemchips nicht nur in eigenen Geräten, sondern auch in Vivo- und Google-Produkten. Google’s Project Zero entdeckte 18 Zero-Day-Sicherheitslücken in diesen Chips, die auch in Autos verwendet werden. Vier der Lücken ermöglichen die Ausführung von externen Programmen auf dem Mobilgerät, wenn die Telefonnummer bekannt ist. Diese kritischen Zero-Day-Lücken (CVE-2023-24033 und drei weitere) erlauben Internet-to-Baseband Remote Code Execution, was bedeutet, dass Angreifer ohne Benutzerinteraktion oder Kenntnis des Geräts Software auf dem Modem ausführen können.

Die folgenden Geräte sind von der Schwachstelle betroffen: Samsung Smartphones der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04, Vivo-Smartphones der Reihen S16, S15, S6, X70, X60 und X30, Googles Pixel 6 und 7, Wearables mit Exynos W920 Chip und Fahrzeuge mit Exynos T5123 Chip.

Der Beitrag Lücken in Samsungs Modemchips entdeckt: Angreifer können Software ausführen erschien zuerst auf Linux-Magazin.

Die Wahl des Debian-Projektleiters (DPL) wird in diesem Jahr wohl eine klare Angelegenheit. Zur Wahl steht nur der amtierende Projektleiter Jonathan Carter. Er bewirbt sich um eine vierte Amtszeit.

Jonathan Carter bewirbt sich wie bei Debian üblich über eine Wahlplattform, die online einzusehen ist. Er berichtet dort von dem Weg durch die Pandemie. Auch die Highlights wie das Release von Debian11 Bullseye ist in diese Zeit gefallen. Zu weiteren wichtigen Ereignissen zählt er die Entscheidung, unfreie Firmware auf den Installationsmedien von Debian zuzulassen.

Zu den Zielen für die kommende Wahlperiode ist eine Verkürzung der Wartezeit in der NEW Queue. Dort stauen sich derzeit neue oder bearbeitete Pakete, bei denen es um die Frage geht, ob sie den Debian-Richtlinien entsprechen und ins Archiv können. Die langen Wartezeiten dort hätten zu Unmut bei den Entwicklern geführt und für lange Verzögerungen gesorgt. Carter will nun rechtlichen Beistand in diese Diskussion einbringen, um die Wartezeiten zu verkürzen, wenn es etwa um Urheberrechtsfragen geht. In seiner ausführlichen Plattform nennt er weitere Vorhaben.

Die Wahlkampagne geht vom 11. bis 31. März, dann folgt vom 1. bis 14. April die Wahl. Der Zeitplan ist hier einzusehen.

Der Beitrag Wahl zum Debian Projektleiter steht an erschien zuerst auf Linux-Magazin.

Laut dem VPN-Anbieter Atlas VPN sind im Jahr 2022 Passwörter mit Bezug zu Prominenten wie Taylor Swift, Bad Bunny, Jennifer Lopez, Ben Affleck und Elon Musk beliebt gewesen.  AtlasVPN hat für seine Analyse mit Hilfe von SpyCloud Passwörter aus verschiedenen Listen im Dark Web extrahiert.

Auch Bad Bunny, der meistgestreamte Künstler auf Spotify im Jahr 2022, hat Nutzer dazu inspiriert, Bad Bunny, titi und verano als Passwörter zu nutzen, wobei die beiden letzteren Songs des Künstlers sind. Die Übernahme von Twitter durch Elon Musk führte ebenfalls dazu, dass twitter und elon musk als Passwörter verwendet wurden.

Die Beliebtheit von Streaming-Diensten spiegele sich in Passwörtern wie youtube, netflix und hulu wider und der Tod von Queen Elizabeth und andere Nachrichten über die königliche Familie führten zur Verwendung von queen, queen elizabeth und royal family als Passwörter, die insgesamt 167.000 Mal verwendet wurden.

Rangliste der Passwörter aus dem DarkWeb. Quelle: Spycloud

Passwörtern, die mit Familie und Liebe in Verbindung stehen, stellen laut AtlasVPN ebenfalls ein hohes Sicherheitsrisiko dar. Passwörter wie wife, husband, boyfriend und family fanden sich über 7 Millionen Mal in den durchsuchten Listen.

Und Passwörter, wie password, 123456, qwerty und ähnliche, sind und bleiben die unsicherste Wahl, um ein Konto zu schützen, warnt AtlasVPN.

Der Beitrag Queen Elizabeth und Taylor Swift inspirieren zu Passwörtern erschien zuerst auf Linux-Magazin.