Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeLinux-Magazin

Unicode-Standards in Version 15.0 verfügbar

16. September 2022 um 10:06

Version 15.0 des Unicode-Standards ist jetzt verfügbar, einschließlich der Kernspezifikation, Anhänge und Datendateien. Diese Version fügt 4489 Zeichen hinzu.

Damit erhöhe sich die Gesamtzahl auf 149.186 Zeichen, teilt das Unicode Consortium mit. Darunter befinden sich auch zwei neue Skripte und damit insgesamt 161 Skripte, 20 neue Emoji-Zeichen und 4193 CJK-Ideogramme (Chinesisch, Japanisch und Koreanisch). Bei den neue Emojis finden sich Haarsträhnen, Maracas, Quallen, Khanda und rosa Herzen.

Der Unicode-Standard bildet die Grundlage für die Verarbeitung, Speicherung und den nahtlosen Datenaustausch von Textdaten in beliebigen Sprachen in allen modernen Software- und Informationstechnologieprotokollen. Er bietet eine einheitliche, universelle Architektur und Kodierung für alle Sprachen der Welt.

Der Beitrag Unicode-Standards in Version 15.0 verfügbar erschien zuerst auf Linux-Magazin.

EndeavourOS-Startmedium mit Änderungen bei Grub

16. September 2022 um 08:02

Die Macher der Rolling-Release-Distribution EndeavourOS haben in Version 22.9 das Startmedium überarbeitet. Es bringt aktualisierte Softwarepakete mit und ändert das Verhalten des Bootmanagers Grub. Darüber hinaus bekommt das EndeavourOS-Repository einen höheren Stellenwert.

Bislang stand das Repository in der Konfigurationsdatei „/etc/pacman.conf“ unter denen von Arch Linux, auf dem die Distribution basiert. Dies hatte unter anderem Abhängigkeitsprobleme zur Folge. Aus diesem Grund wandert das EndeavourOS-Repository in der Konfigurationsdatei ab sofort an die erste Stelle. Auch bei bestehenden Installationen wird diese Umstellung mit einem Update erfolgen.

Grub kommt jetzt (fast) unmodifiziert zum Einsatz. Dazu gehört insbesondere, dass die „grub-tools“ nicht mehr zur Verfügung stehen. „os-prober“ ist zudem bei neuen Installation deaktiviert. Die Distribution erkennt somit nicht mehr automatisch weitere installierte Betriebssysteme. Wer dies dennoch erreichen möchte, muss in der Datei „/etc/default/grub“ die Einstellung „GRUB_DISABLE_OS_PROBER=false“ hinterlegen. Des Weiteren haben die Entwickler das eigene Grub Theme entfernt und es durch ein entsprechendes Hintergrundbild ersetzt. Abschließend nutzt die Installation keine zufällige Zahl mehr für die „bootloader-id“. Die Auswirkungen aller dieser Änderungen beschreibt ausführlich die Ankündigung der neuen Version.

EndeavourOS 22.9 (alias Artemis Nova) bringt zudem frische Software mit. Dazu gehören Calamares 3.2.61, Firefox 104.0.2-1, Mesa 22.1.7-1 und der Linux Kernel 5.19.7.arch1-1. Wer EndeavourOS bereits installiert hat, sollte automatisch über die Softwareaktualisierung diese Programmversionen bekommen. Eine Neuinstallation ist nicht notwendig.

Der Beitrag EndeavourOS-Startmedium mit Änderungen bei Grub erschien zuerst auf Linux-Magazin.

Lenovo-Rechner haben BIOS-Lücke

15. September 2022 um 11:13

Hardwarehersteller Lenovo meldet Sicherheitslücken im BIOS seiner PC-Modelle. Nach Angaben des Herstellers kann darüber Schadcode ausgeführt werden.

Betroffen sind laut der Auflistung der einzelnen Geräte von Lenovo die nahezu gesamte Rechnerpalette. Der Anbieter stuft das Risiko der Lücken als hoch ein. Insgesamt seien es fünf Sicherheitsprobleme, so Lenovo. Nicht alle Geräte seien aber von allen Lücken betroffen.

Um die Lücken auszunutzen brauchen Angreifer laut Lenovo lokalen Zugang zu den Rechnern mit nicht genauer beschriebenen erweiterten Rechten, was die Gefährdung abmildert. Gelingt der Zugang, ist in einem Fall das Ausführen von Code möglich. Andere Lücken ermöglichen etwa den Zugriff auf den System-Management-Mode-Speicher (SMM) und damit unter Umständen auch auf das Betriebssystem.

Von der Lücke zum Ausführen von Code (CVE-2021-28216) ist TianoCore EDK II betroffen. Dieser quelloffene UEFI-Code werde in der gesamten Industrie in allen modernen Computern verwendet schreibt Lenovo. Im Bugzilla des betroffenen Projekts heißt es , dass für einen erfolgreichen Angriff ein Angreifer bereits das SMM kompromittiert oder UEFI Secure Boot umgangen haben müsse, um bei letzterem die Attributprüfung zu umgehen.

Lenovo erläutert in seiner Warnmeldung wie vorzugehen ist. Außerdem enthält sie eine Tabelle mit betroffenen Geräten und den abgesicherten Firmware-Versionen dafür.

Der Beitrag Lenovo-Rechner haben BIOS-Lücke erschien zuerst auf Linux-Magazin.

Open-Source-Chips von Google und NIST

15. September 2022 um 10:32

Das National Institute of Standards and Technology (NIST) des US-Handelsministeriums hat mit Google einen Kooperationsvertrag unterzeichnet, um Chips zu entwickeln und zu produzieren. Die Designs der Chips sind dann Open Source und sollen Forschern zur Entwicklung neuer Nanotechnologie- und Halbleitergeräte dienen.

Wie das NIST mitteilt, werden die Chips von SkyWater Technology in Minnesota hergestellt. Google trage die anfänglichen Kosten für den Aufbau der Produktion übernehmen und den ersten Produktionslauf. Das NIST wiederum entwickle in Zusammenarbeit mit Universitäten die Schaltkreise für die Chips, teilt das Institut mit. Die Schaltkreisentwürfe stünden dann als Open Source zur Verfügung. Forscher an Hochschulen und in kleinen Unternehmen sollen sie ohne Einschränkungen oder Lizenzgebühren nutzen können.

Große Unternehmen, die Halbleiter entwickeln und herstellen, hätten oft leichten Zugang zu diesen Chips. Da die Kosten jedoch in die Hunderttausende Dollar gehen, stellten sie eine große Hürde für die Innovation von Forschern an Universitäten und in Start-ups dar, heißt es weiter. Diese Hürde soll das Programm beseitigen.

Nist und Google informieren am 20. und 21. September bei einem Workshop zu den Plänen. Informationen  zur Anmeldung finden sich auf der NIST-Website.

Der Beitrag Open-Source-Chips von Google und NIST erschien zuerst auf Linux-Magazin.

Koozali SME Server verbessert Sicherheit

15. September 2022 um 07:11

Die Server-Distribution Koozali SME  für KMUs basiert auf CentOS 7.9.2009 und aktualisiert in Ausgabe 10.1 einige Programme. So meldet sich MariaDB in Version 5.5. Der Apache Webserver verwendet nicht mehr das PHP-Modul, sondern standardmäßig PHP-FPM.

Zur Auswahl stehen dabei die PHP-Versionen 5.4 bis 5.6, 7.0 bis 7.4, sowie 8.0 und 8.1. Offiziell unterstützt werden allerdings nur die Versionen 5.4, 8.0 und 8.1, die Version 7.4 nur noch bis zum November 2022. Des Weiteren nutzt die Access Control des Apache Webservers jetzt die Syntax von httpd 2.4.

Die meisten Dienste hat das Team auf Systemd migriert. Die Befehle “yum update” und “yum install” sollen jetzt keinen Neustart mehr benötigen. Bei der Verzeichnisfreigabe via CIFS/SMB kommen standardmäßig nur noch die Protokolle SMB2 und SMB3 zum Einsatz.

Die SME-Server-Entwickler haben nicht nur die Zusammenarbeit zwischen journalctl und rsyslog verbessert, sondern auch die Logrotate-Skripte überarbeitet. Die “bglibs” und “cvm-unix” liegen in jüngeren Versionen bei. Um IMAP, IMAPS, POP3 und POP3S kümmert sich ab sofort Dovecot.

Darüber hinaus verbessert der SME Server 10.1 den Umgang mit SSL-Zertifikaten. Die meisten Dienste nutzen zudem konsequenter die Verschlüsselung. Unter anderem ist der FTP-Server standardmäßig nur noch über eine TLS-Verbindung erreichbar. Dies soll verhindern, dass sensible Daten per Klartext über das Netzwerk wandern.

Sämtliche Neuerungen verraten die Ankündigung sowie die Release Notes.

Der Beitrag Koozali SME Server verbessert Sicherheit erschien zuerst auf Linux-Magazin.

Neue Linux-Malware spielt verstecken

14. September 2022 um 11:07

Forscher haben eine neue Linux-Malware entdeckt, die sich besonders gut tarnt. Dabei kann sie sowohl als Kryptominer oder Spionage-Werkzeug agieren.

Forscher von AT&T Alien Labs haben eine neue Linux-Malware entdeckt, die sich auf besondere Weise tarnt und es auf Internet-of-Things-Geräte (IoT) und Server abgesehen hat. So wird der Payload mehrfach encodiert und zur Kommunikation werden bekannte Clouddienste eingesetzt. Zuerst berichtete das Onlinemagazin Ars Technica.

“Bedrohungsakteure suchen immer wieder nach neuen Möglichkeiten, Malware zu verbreiten, um unter dem Radar zu bleiben und nicht entdeckt zu werden”, schreibt der Forscher Ofer Caspi von AT&T Alien Labs. “Die Malware verwendet den polymorphen XOR-Codierer Shikata Ga Nai mit additiver Rückkopplung, der zu den beliebtesten Encodern in Metasploit gehört. Mithilfe des Encoders durchläuft die Malware mehrere Dekodierschleifen, wobei eine Schleife die nächste Ebene dekodiert, bis die endgültige Shellcode-Payload dekodiert und ausgeführt wird.”

Das eigentliche Ziel der Schadsoftware bleibt jedoch unklar. Einerseits verwendet sie eine Kryptomining-Software, die unter anderem zu heimlichem Kryptojacking genutzt werden kann. Andererseits lädt die Shikitega jedoch das Metasploit-Paket Mettle herunter und führt es aus. Damit lassen sich beispielsweise die Webcam steuern oder Anmeldeinformationen stehlen. Zudem bündelt das Paket mehrere Reverse-Shells. Entsprechend dürfte es nicht das Einzige Ziel der Malware sein, heimlich Monero zu schürfen.

Um eine Entdeckung zu erschweren, setzen die Bedrohungsakteure auf legitime Clouddienste als Command-and-Control-Instanz. Die von dort erhaltenen Befehle sowie das Mettle-Paket werden zudem nicht auf der Festplatte beziehungsweise SSD gespeichert, sondern nur im Arbeitsspeicher vorgehalten.

Außerdem versucht die Schadsoftware über zwei bekannte Sicherheitslücken Root-Rechte zu erlangen. Hierzu setzt sie auf die Sicherheitslücke Pwnkit (CVE-2021-4034), die rund 12 Jahre im Linux-Kernel lauerte, ehe sie Anfang des Jahres gepatcht wurde.

Die zweite Sicherheitslücke zur Rechte-Ausweitung wurde bereits im April 2021 aufgedeckt und ebenfalls vor geraumer Zeit gepatcht. Allerdings dürften insbesondere Internet-of-Things-Geräte die Patches nicht selten noch nicht eingespielt haben. Persistenz erlangt die Malware über Crontab-Einträge.

Der Beitrag Neue Linux-Malware spielt verstecken erschien zuerst auf Linux-Magazin.

Phishingangriffe nutzen Energiepauschale aus

14. September 2022 um 08:48

Die Verbraucherzentrale Nordrhein-Westfalen warnt vor Phishing-Mails und -Kurznachrichten, in denen Angreifer sich betrügerisch als Banken und Behörden ausgeben, die Informationen zur Energiepauschale benötigen, damit diese ausgezahlt werden kann.

Die Betrüger behaupten per E-Mail und SMS, man müsse persönliche Daten verifizieren. Eine E-Mail sei den Verbraucherschützern aufgefallen, die angeblich von der Sparkasse stammt. Die Empfänger sollen damit dazu gebracht werden, eine betrügerische Internetseite zu öffnen und persönliche Daten einzutippen, teilt die Verbraucherzentrale mit. Es werde in den Mails und Nachrichten behauptet, dass man erst dadurch die Energiepauschale der Bundesregierung erhalten würde.

Betrügerische Mail zu Phishing-Zwecken.

Anders als oft üblich, sei die betrügerische Mitteilung nahezu ohne Rechtschreibfehler und in guter Grammatik geschrieben, heißt es weiter. Vergleichbare Behauptungen seien inzwischen auch mit den Logos anderer Banken im Umlauf– zum Beispiel der Volksbanken und Raiffeisenbanken.

Der Beitrag Phishingangriffe nutzen Energiepauschale aus erschien zuerst auf Linux-Magazin.

Ladybird wird zum Cross-Plattform-Browser ausgebaut

14. September 2022 um 08:11

Auf Basis der Browser-Engine LibWeb hat der Entwickler Andreas Kling einen Browser namens Ladybird entwickelt. Dieser läuft bereits unter Linux, mittelfristig soll er aber auch weitere Betriebssysteme unterstützten.

LibWeb ist eine komplette Neuentwicklung und basiert nicht auf bereits existierenden Engines. Ursprünglich für das unixoide Betriebssystem SerenityOS entwickelt, portierte sie die Community auch auf Linux. Andreas Kling wiederum schuf bereits im Sommer eine Benutzeroberfläche in Qt. Das Ergebnis war der Browser Ladybird. Zunächst sollte er primär als Debugging-Werkzeug anderen Entwicklern bei der Arbeit an LibWeb dienen.

Jetzt hat Andreas Kling in einem Blog-Post angekündigt, Ladybird auch auf andere Betriebssysteme zu portieren. Derzeit läuft der Browser bereits unter Linux, MacOS, Windows (im WSL-Subsystem) und Android. Die Basis bilden neben LibWeb einige weitere Komponenten, wie etwa die JavaScript-Engine LibJS. Ladybird und die Engine stehen unter einer BSD-Lizenz.

Obwohl der Browser schon den Acid3-Test besteht, fehlen im noch viele Funktionen. Alltagstauglich ist Ladybird daher noch nicht, viele Seiten lassen sich noch nicht nutzen. Den Quellcode können Interessierte auf GitHub einsehen.

Der Beitrag Ladybird wird zum Cross-Plattform-Browser ausgebaut erschien zuerst auf Linux-Magazin.

IBM stellt den LinuxONE Emperor 4 vor

13. September 2022 um 11:34

IBM hat seinen neuen Mainframe vorgestellt. Der LinuxONE Emperor 4 basiert ausschließlich auf Linux und soll Energie sparen.

Das System ist mit einem IBM Telum Dual-Prozessor-Chip mit 16 Kernen bestückt. Der Chip ist in 7nm-Technologie gefertigt und läuft mit 5,2 GHz. Die Einsparungen bezeichnet IBM als enorm. Ein IBM LinuxONE Emperor 4 soll den CO2-Fußabdruck um etwa 75 Prozent pro Jahr senken können, im Vergleich zu x86-Servern, auf denen dieselben Linux-Workloads unter ähnlichen Bedingungen ausgeführt werden.

LinuxOne-System von IBM. Quelle: IBM

Das System ist mit bis zu 200 konfigurierbaren Kernen in einem Modell erhältlich. IBM bietet für Optionen an: Max39, Max82, Max125, Max168 und das Spitzenmodell Max200. Der Emperor 4 ist als Plattform für Linux und Kubernetes konzipiert und baut auf IBMs z16-Technologie auf. Erste Modelle sollen bereits im September erhältlich sein.

Der Beitrag IBM stellt den LinuxONE Emperor 4 vor erschien zuerst auf Linux-Magazin.

Android Schwachstellen korrigiert

13. September 2022 um 10:48

Google hat mehrere Sicherheitslücken in Android 10, 11, 12 und 12L korrigiert.

Viele dieser Schwachstellen können von einem Angreifer ausgenutzt werden, um höhere Rechte auf dem System zu erlangen. Unter Umständen kann ein Angreifer damit auch Android-Geräte komplett übernehmen.  Neben diesen kritischen Sicherheitslücken wurden auch Schwachstellen korrigiert, die es einem entfernten Angreifer erlauben, an gesicherte Informationen der Android-Systeme zu gelangen. Auch ein Problem in der WLAN-Firmware von Qualcomm wurde korrigiert. Dadurch konnte ein Angreifer ebenfalls Schadcode auf dem System ausführen.

Zusätzlich erhielten Smartphones der Google Pixel-Serie noch einige weitere Sicherheitspatches, die ebenfalls kritische Schwachstelle schließen, die ein Angreifer zum Erlangen höherer Rechte ausnutzen kann.

Der Beitrag Android Schwachstellen korrigiert erschien zuerst auf Linux-Magazin.

Retbleed: Linux-Patches verursachen hohe Leistungseinbuße

13. September 2022 um 07:59

Patches gegen CPU-Fehler im Zusammenhang mit spekulativer Ausführung machen Linux-Code langsamer. VMware berichtet nun aber von massiven Leistungseinbrüchen.

Die aktuelle Linux-Kernel-Version 5.19 enthält standardmäßig Patches gegen eine neuartige Variante der Spectre-Lücke, die als Retbleed bezeichnet wird. Unter bestimmten Umständen sorgen diese jedoch für massive Leistungseinbußen, wie sich nun im Test von VMware zeigt. Bei der Art der Sicherheitslücke und den damit verbundenen Gegenmaßnahmen sind Leistungseinbrüche zwar zu erwarten, VMware spricht aber von Verschlechterungen um bis zu 70 Prozent, was durchaus überrascht.

In einer Nachricht an die Mailing-Liste des Linux-Kernels berichtet der VMware-Angestellte Manikandan Jagatheesan davon, dass VMware diese Werte im Rahmen seiner standardmäßigen Tests der offiziellen Versionen des Hauptzweigs des Linux-Kernels erhalten habe. Die Leistung von Linux 5.19 sei dabei im Vergleich zu Linux 5.18 bewertet worden.

Linux-VMs, die auf dem ESXi-Hypervisor von VMware ausführt werden, hätten dabei eine um 70 Prozent geringere Rechenleistung. Zusätzlich dazu sei die Geschwindigkeit des Netzwerks um 30 Prozent reduziert und die Leistung des Festspeichers um 13 Prozent verringert. Laut dem Bericht kann dies direkt auf den Patch zurückgeführt werden, der die Retbleed-Lücke schließt. Ohne den Patch und die Spectre-Vorkehrungen seien die Leistung von Version 5.18 und 5.19 vergleichbar.

 

Die spekulative Ausführung von CPUs ist explizit dazu gedacht, deren Funktionen zu beschleunigen. Seit der koordinierten Veröffentlichung von Informationen zu den Lücken Spectre und Meltdown ist klar, dass Gegenmaßnahmen nicht nur schwierig sind, sondern auch, dass ein konsequentes Vorgehen die Leistung teils massiv drosselt. Doch schon bei den ersten Arbeiten an ursprünglichen Patches zeigten sich Möglichkeiten zur Verbesserung. Ob und inwiefern dies nun auch für die Retbleed-Patches gelten kann, ist derzeit noch nicht abzusehen. Die Daten von VMware könnten aber dafür sorgen, dass auch die Retbleed-Patches verbessert werden.

Der Beitrag Retbleed: Linux-Patches verursachen hohe Leistungseinbuße erschien zuerst auf Linux-Magazin.

Smart City Index mit drei Aufsteigern

13. September 2022 um 07:41

Aachen, Düsseldorf und Nürnberg sind erstmals unter den zehn Bestplatzierten des Smart City Index, dem Digital-Ranking der deutschen Großstädte des Digitalverbands Bitkom. Wie der Digitalverband mitteilt, sind Berlin, Freiburg im Breisgau und Karlsruhe aus den Top 10 verdrängt worden.

Der Aufsteiger Aachen habe im Vorjahr auf Rang 17, Düsseldorf auf dem 19. und Nürnberg auf dem 16. Platz gelegen, heißt es weiter. Dem Städtevergleich liegt eine Analyse zugrunde, für die Bitkom Research rund 11.000 Datenpunkte erfasst, überprüft und qualifiziert. Die folgenden Städte haben es in alphabetischer Reihenfolge unter die Top 10 geschafft:

  •     Aachen
  •     Bochum
  •     Darmstadt
  •     Dresden
  •     Düsseldorf
  •     Hamburg
  •     Köln
  •     München
  •     Nürnberg
  •     Stuttgart

 

Das komplette Ranking wird Ende September im Vorfeld der Smart Country Convention veröffentlicht. Der Smart City Index analysiert und bewertet die Städte in fünf Kategorien: Verwaltung, IT-Infrastruktur, Energie/Umwelt, Mobilität und Gesellschaft. Für jede Stadt wurden 133 Parameter untersucht – von Online-Bürger-Services über Sharing-Angebote für Mobilität und intelligente Ampelanlagen bis hin zur Breitbandverfügbarkeit. In den fünf Kategorien wurden für jede Stadt Index-Werte errechnet, aus denen sich Gesamtwert und Gesamtrang ergeben.

Der Beitrag Smart City Index mit drei Aufsteigern erschien zuerst auf Linux-Magazin.

Chrome: Attacke über Mojo-Komponente

12. September 2022 um 13:21

Eine Sicherheitslücke in Google Chrome hat zur Folge, dass Angreifer betroffene Browser attackieren können. Das Advisory von Google enthält nur wenige Details zur Schwachstelle. Allerdings gibt das Unternehmen an, dass ein Exploit-Code zum Ausnutzen der Sicherheitslücke bereits im Umlauf ist. Es ist daher ratsam ein Update schnellstmöglich durchzuführen. Der verantwortliche Programmierfehler liegt in der Mojo-Komponente, die eine Plattform für verschiedene Sandbox-Services bereitstellt.

Das Problem wurde in Chrome 105.0.5195.102 korrigiert.

Der Beitrag Chrome: Attacke über Mojo-Komponente erschien zuerst auf Linux-Magazin.

BSI veröffentlicht Mobile Device Management 2.0

12. September 2022 um 10:31

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard für Mobile Device Management (MDM) in der neuen Version 2.0 veröffentlicht. Der MDM trifft Vorgaben zur Integration und zentralen Verwaltung mobiler Endgeräte in der IT-Infrastruktur der Bundesverwaltung.

Wie das BSI mitteilt, wurde die Struktur des neuen Mindeststandards von Grund auf neugestaltet. Das sei daran zu erkennen, dass die : Sicherheitsanforderungen nun nach Themen anstatt wie bisher nach Adressat sortiert seien. Außerdem habe man die Sicherheitsanforderungen stärker mit den Bausteinen des IT-Grundschutz-Kompendiums verzahnt. Viele Sicherheitsanforderungen seien zudem aktualisiert und mit dem jüngst veröffentlichten Common-Criteria-Schutzprofil für Mobile Device Management – Trusted Server abgeglichen worden. Zu den Themen Strategie, Arbeitsweise des MDMs, Vertrauenswürdige Kommunikation, Sichere Konfiguration der mobilen Endgeräte und Betriebsprozesse seien zudem neue Sicherheitsanforderungen erarbeitet worden.

Der Mindeststandard des BSI für Mobile Device Management steht zum Download (PDF).

Der Beitrag BSI veröffentlicht Mobile Device Management 2.0 erschien zuerst auf Linux-Magazin.

Klausel für Preisanpassungen bei Spotify unwirksam

12. September 2022 um 07:40

Die Preisanpassungsklausel in den Abonnementbedingungen des Musik-Streamingdienstes Spotify ist unzulässig. Das hat das Landgericht Berlin nach einer Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden.

Das in Schweden ansässige Unternehmen hatte sich in den Nutzungsbedingungen vorbehalten, die Abonnementgebühren und sonstigen Preise zu erhöhen, um “die gestiegenen Gesamtkosten” für die Bereitstellung der Streamingdienste auszugleichen. Zu den Gesamtkosten zählten zum Beispiel Produktions- und Lizenzkosten, Personal-, Verwaltungs- und Finanzierungskosten sowie Steuern, Gebühren und sonstige Abgaben. Eine Preissenkung infolge gesunkener Kosten sah die Klausel nicht vor. Das hatte die vzbv vor das Landgericht Berlin ziehen lassen.

Das Landgericht Berlin schloss sich der Auffassung des vzbv an, dass Kunden durch die unausgewogenen Klausel des Streamingdienstes benachteiligt werden. Kostensenkungen seien bei Preisänderungen ebenso zu berücksichtigen wie Kostenerhöhungen und diese nach denselben Maßstäben an die Kund:innen weiterzugeben, urteilte das Gericht. Dem werde die Spotify-Klausel nicht gerecht.

Das Berliner Landgericht stellte klar: Das Recht des Kunden, den Vertrag jederzeit zu kündigen, gleiche die Benachteiligung durch die Preisänderungsklausel nicht aus. Kunden hätten in der Regel kein Interesse an einer Kündigung, weil sie mit einem Anbieterwechsel ihre gespeicherten Playlists sowie weitere Einstellungen verlieren und ihnen bei einem anderen Anbieter nicht die gleichen Inhalte zur Verfügung stehen würden. Das Unternehmen hat gegen die Entscheidung des Landgerichts Berufung eingelegt.

Der Beitrag Klausel für Preisanpassungen bei Spotify unwirksam erschien zuerst auf Linux-Magazin.

Debian 11.5 bringt Sicherheitsupdates

12. September 2022 um 07:30

Mit einem weiteren Point-Release für die Ausgabe 11 hebt das Projekt seine Distribution auf den Versionsstand Debian 11.5 an. Das Release behebe hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme, teilt das Projekt mit.

Daneben sind auch einige Aktualisierungen für Pakete dabei, etwa das aktuelle Clamav. Bei den Fehlerbehebungen ist das Projekt mit Debian 11.5 ebenfalls aktiv. 58 Bugfixes zählt die Ankündigung auf. Außerdem sind 53 Security-Updates enthalten.

Debian 11.5 Bullseye bekommt mit dem Update auch neue Images, die aber nur für Neueinsteiger interessant sind. Wer Debian 11 nutzt und regelmäßig Updates macht, muss nur wenig nachinstallieren.  Vorhandene Installationen könnten auf diese Revision angehoben werden, indem das Paketverwaltungssystem auf einen der vielen HTTP-Spiegel von Debian verwiesen werde, empfiehlt die Ankündigung.

Der Beitrag Debian 11.5 bringt Sicherheitsupdates erschien zuerst auf Linux-Magazin.

CCC kritisiert E-Rezept wegen mangelhaftem Datenschutz

09. September 2022 um 09:01

Sicherheitsforscher des Chaos Computer Clubs (CCC) haben sich die Technik hinter dem vor der Einführung stehenden E-Rezept angeschaut, mit ernüchterndem Ergebnis: Im Klartext gespeicherte medizinische Gesundheitsdaten, mangelhafte Verfügbarkeit und Datenschutz und keine Sicherheit beim Abruf des E-Rezeptes.

Die Gematik ist eine von den Spitzenorganisationen des Gesundheitswesens gegründete Gesellschaft, deren Aufgabe die Entwicklung technischer Spezifikationen der erforderlichen Datenformate, Dienste und Komponenten für die Telematikinfrastruktur (TI) ist. Sie ist für die Entwicklung des E-Rezeptes zuständig.

Im Einzelnen bemängelt der CCC die mangelnde Verfügbarkeit. Die Anforderungen an die Verfügbarkeit im Sektor “Medikamentenversorgung” der Kritischen Infrastrukturen (Kritis) seien mit dem vorliegenden E-Rezept-System nicht realisierbar. Käme es, wie im Jahr 2020 geschehen, zu einem Ausfall zentraler Dienste der Telematikinfrastruktur, wäre es wochenlang unmöglich, E-Rezepte einzulösen, bemängelt der CCC. Und ob bei einer wie geplant verpflichtenden Einführung des E-Rezeptes die Papierverfahren für den Havarie- oder Katastrophenfall bestehen bleibe, sei ungewiss.

Dass beim E-Rezept an zentraler Stelle medizinische Daten im Klartext anfallen, ist ein weiterer Kritikpunkt. Eine Ende-zu-Ende-Verschlüsselung, wie sie längst industrieüblich sei, sehe die Gematik beim E-Rezept nicht vor. Das Statement der Gematik dazu laute: “Die E-Rezepte werden von der Arztpraxis verschlüsselt an einen zentralen Dienst übertragen, dort verschlüsselt gespeichert und verarbeitet und wieder verschlüsselt von der Apotheke abgerufen. Damit sind die E-Rezepte vor unbefugtem Zugriff geschützt.”

Der CCC kritisiert, dass der entscheidende Teil – die Verarbeitung – unverschlüsselt erfolge. Die Gematik verspreche zwar, die Daten in einer „vertrauenswürdigen Ausführungsumgebung“ (VAU) zu verarbeiten, überprüfen können dies der Nutzer jedoch nicht. Zudem handle es sich bei dieser VAU um eine veraltete und mehrfach erfolgreich angegriffene Technologie mit dem Namen „Intel SGX“, die primär für Kopierschutz eingesetzt werde.

Dass es ausreicht, das E-Rezept mit der elektronischen Gesundheitskarte (eGK) über die Krankenversichertennummer in einer Apotheke abzurufen, sehen die CCC-Forscher als inakzeptabel an.

Und dass auf Prüfungen im Backend – also auf dem zentralen Datenlager der gematik – verzichtet werde und man sich darauf verlasse, dass die (Online-)Apotheke die Präsenz der eGK schon irgendwie prüfe, sei unzureichend und lasse selbst simple Betrügereien zu. Ein Mitarbeiter aus dem Bereich der Online-Versandapotheken könnte bei bekannt gewordenen Versichertennummern Prominenter Zugriff auf deren Verschreibungen nehmen und sie an die Boulevardpresse verkaufen, teilt der CCC mit.

Die Gematik müsse sich klar zu einer Ende-zu-Ende-Verschlüsselung bekennen und an der Sicherheit arbeiten, fordert der CCC. Zudem sollten dass BSI und der BfDI künftig die Spezifikationen kritischer begutachten und sich nicht von Formulierungen wie „durchgängig verschlüsselt“ täuschen lassen.

Der Beitrag CCC kritisiert E-Rezept wegen mangelhaftem Datenschutz erschien zuerst auf Linux-Magazin.

Low-Code for Good-Hackathon sucht Teilnehmer

09. September 2022 um 08:31

Die Siemens-Tochter Mendix veranstaltet am 23. und 24. September den Low-Code for Good-Hackathon, mit dem gemeinnützige Organisationen unterstützt werden sollen. Nun stehen die designierten gemeinnützigen Organisationen fest, die am MxHacks 2022: Low-Code for Good teilnehmen, teilt das Unternehmen mit.

Die die Welcome App Netherlands Foundation (EMEA), die New Hope Community Services (APAC) und Project Alianza (Amerika) sind die auserwählten. Es hätten sich für den ersten globalen Mendix-Hackathon rund 1000 Teilnehmer aus 45 Ländern angemeldet, heißt es weiter. Der Hackathon werde an vier Orten auf drei Kontinenten stattfinden: Boston, London, Rotterdam und Singapur. Zudem kann online teilgenommen werden.

Durch die Auswahl echter Anwendungsbeispiele von gemeinnützigen Organisationen für den Hackathon möchte Mendix eine Plattform und eine Community schaffen, die für jeden zugänglich ist.

Teams von bis zu vier Personen und einzelne Entwickler können unabhängig voneinander teilnehmen oder sich vor der Veranstaltung in einer Matchmaking-Sitzung zu einem Team zusammenschließen, teilt Mendix mit. Auch gemischte Teams seien zugelassen, bei denen einige Mitglieder vor Ort teilnehmen, während andere sich per Remote-Zugriff anmelden. Entwickler können sich auf der MxHacks-Seite für den Hackathon anmelden.

Der Beitrag Low-Code for Good-Hackathon sucht Teilnehmer erschien zuerst auf Linux-Magazin.

Kein Internet: Bundesnetzagentur verpflichtet Provider zum Ausbau

09. September 2022 um 08:15

Die Bundesnetzagentur hat für einige Haushalte in Niedersachsen eine Unterversorgung mit Telekommunikationsdiensten nach dem neuen Recht auf Versorgung festgestellt. Nach dem Telekommunikationsgesetz haben Bürger einen Rechtsanspruch auf Versorgung mit einem Mindestangebot an Sprachkommunikation, also Telefon, und einem schnellen Internetzugangsdienst, teilt die Bundesnetzagentur mit.

Die Feststellung betreffe die Gemeinden Mittelstenahe, Halvesbostel, Brackel sowie Stuhr in Niedersachsen, in denen eine Versorgung mit Telekommunikationsdiensten weder aktuell noch in objektiv absehbarer Zeit angemessen oder ausreichend erbracht wird, heißt es seitens der Bundesnetzagentur. Es ist das erste Mal, dass die Bundesnetzagentur dieses neue Instrument anwendet.

Das weitere Verfahren sieht vor, dass Telekommunikationsanbieter sich nun in ein einem nächsten Schritt innerhalb eines Monats gegenüber der Bundesnetzagentur zur Versorgung der betroffenen Haushalte verpflichten können. Sollte kein Unternehmen ein Angebot machen, verpflichte die Bundesnetzagentur innerhalb von vier Monaten eines oder mehrere Unternehmen dazu, die betroffenen Haushalte mit einem Telekommunikationsanschluss zu versehen und Telekommunikationsdienste anzubieten.

Die so verpflichteten Anbieter müssen dann spätestens nach drei Monaten beginnen, die Voraussetzung für die Anbindung zu schaffen, heißt es in der Mitteilung der Agentur weiter. In der Regel sollte das Mindestangebot dann innerhalb von weiteren drei Monaten zur Verfügung stehen. Wie lange es dann dauere, bis ein Anschluss zur Verfügung stehe, hängt zum Beispiel davon ab, ob erhebliche Baumaßnahmen erforderlich seien, teilt die Bundesnetzagentur mit.

Der Beitrag Kein Internet: Bundesnetzagentur verpflichtet Provider zum Ausbau erschien zuerst auf Linux-Magazin.

OpenWRT 22.03 bringt viel Neues

08. September 2022 um 09:36

Das als Firmware-Ersatz für WLAN-Router und sonstige Geräte gedachte Linux-Betriebssystem OpenWRT ist in Version 22.03 erschienen. Die neue Version enthält rund 3800 Änderungen gegenüber der Vorgängerversion 21.02 und ist seit rund einem Jahr in Entwicklung.

Eine neue Firewall-Implementierung mit nftables ist eine der größeren Neuerungen. Firewall4 werde nun standardmäßig verwendet und ersetze die iptables-basierte Firewall3-Implementierung in den OpenWrt-Standardimages. Firewall4 verwende nftables anstelle von iptables zur Konfiguration des Linux-Netfilter-Regelsatzes, teilen die OpenWRT-Macher mit.

Wie gewohnt ist die Zahl der unterstützten Geräte gewachsen. OpenWrt 22.03 unterstützt insgesamt 1580 Geräte und davon seien 180 neue Geräte gegenüber dem Vorgänger hinzugekommen. Darunter seien mehr als 15 Geräte, die Wifi 6 unterstützen.

Vorausschauend löst OpenWRT in der neuen Version auch das Jahr 2038-Problem für 32-Bit-Systeme. OpenWrt 22.03 verwende musl 1.2.x, wodurch der time_t-Typ auf 32-Bit-Systemen von 32 auf 64 Bit geändert wurde, auf 64-Bit-Systemen sei er immer schon 64 Bit lang. Das 2038-Prtoblem besteht darin, dass ein Unix-Zeitstempel, der in einer 32-Bit-Ganzzahl gespeichert ist, am 19. Januar 2038 überläuft. Mit der Umstellung auf 64 Bit geschehe dies 292 Milliarden Jahre später, heißt es in der Ankündigung. Wegen der Änderung der musl libc ABI sei aber eine Neukompilierung aller User-Space-Anwendungen, die gegen musl libc gelinkt sind nötig. Dies gelte nicht für 64-Bit-Systeme, wo dies bereits bei der Definition der ABI vor vielen Jahren gemacht wurde, die glibc ARC ABI habe bereits eine 64-Bit time_t.

Der Beitrag OpenWRT 22.03 bringt viel Neues erschien zuerst auf Linux-Magazin.

Raspberry Pi OS 2022-09-06 erlaubt Umstieg auf NetworkManager

08. September 2022 um 08:45

Raspberry Pi OS, die offizielle Distribution für den Minicomputer, bietet in Version 2022-09-06 ein durchsuchbares Startmenü und einen überarbeiteten Lautstärkeregler für das Mikrofon. Verfügbar sind zudem erstmals Picamera2 und der NetworkManager.

Bislang kümmerte sich Dhcpcd um den Aufbau einer WLAN-Verbindung sowie viele weitere Netzwerkaufgaben. In Raspberry Pi OS 2022-09-06 steht alternativ der NetwortkManager zur Verfügung. Dieser bietet deutlich mehr Funktionen als Dhcpcd. Letztgenannter kommt derzeit noch standardmäßig zum Einsatz, in zukünftigen Raspberry Pi OS Releases soll aber der NetworkManager übernehmen. Um schon jetzt zu wechseln, muss man lediglich im Terminal „sudo raspi-config“ aufrufen und unter den „Advanced Options“ und der „Network Config“ auf den NetworkManager umstellen.

Wer die Windows-Taste drückt, öffnet die neue Suchfunktion des Startmenüs. Bei der Eingabe eines Begriffs erscheinen umgehend die dazu passenden Anwendungen. Die neue Tastenkombination [Strg]+[Alt]+[B] öffnet das Bluetooth-Menü, während [Strg]+[Alt]+[W] das WLAN-Menü auf den Bildschirm holt.

Die Lautstärkeregelung besteht jetzt aus zwei Symbolen: Ein Klick auf das erste öffnet den Lautstärkeregler für die Audio-Ausgabe. Sobald man ein Mikrofon anstöpselt, erscheint ein zweites Symbol. Das präsentiert nach einem Klick einen Regler für die Aufnahmelautstärke.

Abschließend steht Python-Programmierern mit Picamera2 eine weitere Kameraschnittstelle zur Verfügung. Dabei handelt es sich um ein High Level Interface, das einfacher als „libcamera“ zu nutzen sein soll.

Der Beitrag Raspberry Pi OS 2022-09-06 erlaubt Umstieg auf NetworkManager erschien zuerst auf Linux-Magazin.

Apache NetBeans 15 freigegeben

08. September 2022 um 08:03

Die Java-Entwicklungsumgebung NetBeans verfügt über eine recht lange Liste mit vielen kleineren Änderungen, die jedoch durchweg den Arbeitsalltag erleichtern. So unterstützt NetBeans erstmals Jakarta 9.1 und Programmierer beim Schreiben von Lambda-Ausdrücken.

Die Version 15 verbessert zudem die Einbindung von GlassFish, den JDK Downloader und die Maven-Integration. Die Unterstützung für das Language Server Protocol (LSP) haben die NetBeans-Entwickler ebenfalls überarbeitet. Unter anderem bietet NetBeans 15 jetzt eine Code-Completion für Javadoc.

Die IDE dient nicht nur als Java-Entwicklungsumgebung, sondern kann auch mit weiteren Programmiersprachen umgehen. Dazu gehört unter anderem PHP. Aus dessen Version 8.1 kennt NetBeans 15 einige weitere Sprachelemente. Auch YAML-Dateien lassen sich jetzt besser bearbeiten.

Eine Liste mit sämtlichen Neuerungen findet sich auf GitHub.

Der Beitrag Apache NetBeans 15 freigegeben erschien zuerst auf Linux-Magazin.

LLVM 15 mit experimentellem DirectX-Support

07. September 2022 um 09:34

Mit LLVM können nun auch GPU-Shader für DirectX kompiliert werden. Außerdem unterstützt die Werkzeugsammlung das neue ARMv9.

Die Compiler-Werkzeugsammlung LLVM ist in Version erschienen, wie das Projekt über sein Forum mitteilt. Neu hinzugekommen ist ein Backend für die Grafikschnittstelle DirectX aus Windows, das Microsoft zu dem Open-Source-Projekt hinzufügte. Noch ist die Unterstützung für das sogenannte DirectX-Target jedoch experimentell und wird nicht standardmäßig mit den Binärdateien verteilt, die das LLVM-Projekt selbst erstellt.

Vor mehr als fünf Jahren stellte Microsoft seinen Compiler für die Shader-Sprache HLSL als Open Source zur Verfügung. HLSL sowie der zugehörige Compiler sind Teil der 3D-Grafikbibliothek DirectX. Das freie Analogon in OpenGL heißt GLSL. Mit Hilfe dieser Shader-Sprachen können 3D-Effekte programmiert werden. Zuvor nutzte Microsoft als Shader-Compiler die Eigenentwicklung Fxc. Der neue Shader-Compiler basiert auf LLVM und das neue Backend unterstützt die der DXIL (DirectX Intermediate Language), die wiederum auf der LLVM IR basiert. Die Arbeiten daran hatte Microsoft im Frühjahr dieses Jahres bekannt gegeben.

Neu hinzugekommen ist außerdem die Unterstützung für die neuen ARM-Architektur-Versionen ARMv9-A, ARMv9.1-A und ARMv9.2-A. Diese Architektur hatte der britische Chip-Designer ARM bereits im Frühjahr 2021 vorgestellt (g+) und erweitert damit die ARMv8-Architektur. Neu hinzugekommen sind dabei mehrere Beschleunigereinheiten und die Architektur soll vom Microcontroller- über den Smartphone- bis hin zum Server-CPU-Kern skalieren. Mit LLVM 15 unterstützt wird zudem die Cortex-M85-CPU, die noch auf ARMv8.1 basiert. Änderungen gibt es außerdem an den Backends für RISC-V und x86.

Für das Compiler-Frontend für C-artige Sprachen, Clang, hat das Team mit LLVM 15 außerdem Techniken umgesetzt, die die Sicherheit damit kompilierter Programme erhöhen soll. So gibt es nun die Möglichkeit, auf x86-Chips bestimmte Register zunächst mit Null zu überschreiben, bevor Werte von einer Funktion zurückgegeben werden. Das soll ROP-Angriffe erschweren. Zudem kann das Layout von Strukturen in C nun zufällig erzeugt werden. Damit soll das Erlangen von Informationen aus den Strukturen durch Angreifer erschwert werden.

Der Beitrag LLVM 15 mit experimentellem DirectX-Support erschien zuerst auf Linux-Magazin.

Ubuntu Unity wird offizielle Variante

07. September 2022 um 08:27

Nachdem Canonical die eigene Desktop-Umgebung Unity eingestellt hatte, übernahm die Community die Pflege. Deren Ubuntu-Variante mit vorinstalliertem Unity gehört ab Ubuntu 21.10 zu den offiziellen Derivaten.

Ubuntu Unity erhält damit den gleichen Stellenwert wie unter anderem Kubuntu, Lubuntu und Xubuntu. Da diese Distributionen weitgehend den gleichen Entwicklungsprozess wie Ubuntu durchlaufen, wird Ubuntu Unity 21.10 gleichzeitig mit Ubuntu 21.10 erscheinen.

Zum Einsatz kommt derzeit Unity 7, das die Community primär mit Fehlerkorrekturen versorgt. Anders als das mittlerweile bei Ubuntu verwendete Gnome nutzt Unity weiterhin ausschließlich eine X11-Session und nicht Wayland. Eine überarbeitete Fassung der Desktop-Umgebung mit neuen Funktionen ist jedoch bereits in Arbeit.

Das Team hinter Ubuntu Unity stellt derzeit Startmedien auf Basis von Ubuntu 22.04.1 bereit, mit der sich schon jetzt das Derivat ausprobieren lässt.

Der Beitrag Ubuntu Unity wird offizielle Variante erschien zuerst auf Linux-Magazin.

❌
❌