Eine native Kompilierung von Python soll eine Programmgeschwindigkeit wie bei C und C++ ermöglichen.

Die Programmiersprache Python gilt zwar als vergleichsweise einfach zu erlernen und wird auch deshalb viel verwendet, die Nutzung des Interpreters in der Standardimplementierung hat aber Nachteile bei der Geschwindigkeit. Mit dem Codon-Projekt versucht ein Team des MIT (Massachusetts Institute of Technology) einen nativen Compiler für Python zu erstellen, um die Sprache deutlich zu beschleunigen.

In der Ankündigung des MIT sagt der Hauptautor von Codon zu der Umsetzung: “Der Benutzer schreibt einfach Python, so wie er es gewohnt ist, ohne sich um Datentypen oder Leistung kümmern zu müssen, was wir automatisch erledigen – und das Ergebnis ist, dass sein Code 10 bis 100 Mal schneller läuft als normales Python. Codon wird bereits kommerziell in Bereichen wie quantitative Finanzen, Bioinformatik und Deep Learning eingesetzt.”

Der neue Python-Compiler Codon basiere auf der LLVM-Compiler-Infrastruktur, biete natives Multithreading und die Geschwindigkeit damit erzeugter Programme reiche gar an C oder C++ heran, schreiben die Beteiligten auf Github. Das Multithreading und die Nebenläufigkeit werden in der Standardimplementierung von Python derzeit effektiv vom sogenannten Global Interpreter Lock (GIL) verhindert, der aber entfernt werden soll.

In einem Vortrag beschreibt das Team Codon als “einen domänenerweiterbaren Compiler und DSL-Framework (Domain Specific Language) für leistungsstarke DSLs mit der Syntax und Semantik von Python.” Neu sei dabei vor allem eine Intermediate Representation die Optimierungen und Analysen erleichtere.

Zwar unterstützte Codon fast die gesamte Python-Syntax, ein kompletter Ersatz für die Standardimplementierung sei das Projekt aber nicht, heißt es. So werden einige Python-Module noch nicht unterstützt und die Nutzung einiger dynamischer Funktionen von Python ist schlicht nicht erlaubt, so dass bestehende Programme teils zur Nutzung mit Codon angepasst werden müssen.

Der Beitrag Python-Compiler verspricht 10- bis 100-fache Leistung erschien zuerst auf Linux-Magazin.

Mit Version 9.3 der freien SSH-Suite OpenSSH beheben die Entwickler unter anderem Sicherheitsprobleme.

Die neue Version enthalte Korrekturen für ein Sicherheitsproblem und ein Speicher Sicherheitsproblem, teilen die Entwickler mit. Das Speichersicherheitsproblem sei wohl nicht ausnutzbar, heißt es in der Ankündigung, man melde aber die meisten netzwerkerreichbaren Speicherfehler als Sicherheitslücken.

Das Problem stecke im portablen OpenSSH, das eine Implementierung der “getrrsetbyname”-Funktion zur Verwendung durch die VerifyHostKeyDNS-Funktion biete, falls die Standardbibliothek sie nicht zur Verfügung. Eine speziell gestaltete DNS-Antwort könnte diese Funktion dazu veranlassen ein Out-of-Bounds-Read von benachbarten Stack-Daten durchzuführen. Mehr als ein Denial-of- Service beim SSH-Client sei damit wohl aber nicht zu erreichen.

Zu den neuen Funktionen zähle, dass “ssh-keygen” und “ssh-keyscan” akzeptieren nun die Option “-Ohashalg=sha1|sha256” bei der Ausgabe von SSHFP-Fingerprints, um so die Auswahl des Algorithmus zu ermöglichen.

Der Beitrag OpenSSH 9.3 schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Der niederländische Navigationsspezialist TomTom hat bekannt gegeben, dass er die Openstreetmap Foundation (OSMF) als Platin-Mitglied unterstützt. Im vergangenen Jahr hat das Unternehmen seine Strategie bekannt gemacht, in der Openstreetmap-Daten eine entscheidende Rolle beim Aufbau einer intelligenten Karte der Welt über die TomTom Maps Platform spielen soll.

Mit dem Schritt, das nach eigenem Bekunden erste Platin-Mitglid bei Openstreetmap (OSM) zu werden, bekräftigt man das Engagement für das globale OSM-Projekt. TomTom spendet dafür jährlich 20.000 Euro an die OSMF.

Mit dieser Finanzspritze an die Stiftung leiste TomTom direkte finanzielle Unterstützung für den Betrieb und die Infrastruktur von OSM, einschließlich Hardware, Cloud-Kosten und Ingenieurstunden, teilt das Unternehmen mit.

Im Rahmen ihrer Platinmitgliedschaft hat Shaundrea Kenyon, Leiterin des Teams für Gemeinschaft und Partnerschaften in der Kartenabteilung von TomTom, einen Sitz im OSMF-Beirat eingenommen.

Im November 2022 hatte TomTom angekündigt, dass Daten aus Open-Source-Projekten wie OSM eine der Hauptquellen für seine Kartenplattform sein werden. Zu dieser Zeit kündigte TomTom auch seine Unterstützung für ein anderes wichtiges Open-Source-Geodatenprojekt an, MapLibre.

Der Beitrag TomTom wird Platin-Sponsor von Openstreetmap erschien zuerst auf Linux-Magazin.

Das Ruffle-Projekt reimplementiert den Flash-Player in der Programmiersprache Rust. Auf diese Weise sollen alte Flash-Anwendungen weiterbetrieben werden können. Bei der Entwicklung gab es jetzt größere Fortschritte.

Das berichtet das Team in seinem frisch eröffneten Blog. Demnach emuliert die AVM1-Engine ihr Vorbild aus Adobe Flash deutlich besser. Damit laufen wiederum viele ActionScript-2-Spiele unter Ruffle. Als Beispiele nennen die Entwickler Bubble Bobble: The Revival, The Powerpuff Girls: Attack of the Puppybots und Cube Colossus.

Fortschritte gibt es auch bei der AVM2-Engine, die sich um die Ausführung von ActionScript-3-Code kümmert. Welche Funktionen im einzelnen wie weit implementiert sind, listet eine eigene Seite detailliert auf. Besonders gut voran kommt derzeit die XML-Unterstützung. Des Weiteren haben die Entwickler verschiedene Probleme behoben, die in einigen Fällen das Anklicken von Schaltflächen verhindert hatten. Insgesamt ist die Entwicklung so weit, dass sich viele Spiele von Flipline spielen lassen. Dazu zählen Papa’s Burgeria und Jacksmith. Ebenfalls funktionieren unter anderem die Spiele Canabalt, Diggy und Dino Run: Marathon of Doom.

Wer Ruffle auf Mobilgeräten nutzt, kann nun Text in die entsprechenden Felder eingeben. Tippt man ein solches Feld an, fährt die Bildschirmtastatur aus, alternativ lässt sich eine Bluetooth-Tastatur nutzen. Auf iOS-Geräten öffnen sich zudem endlich Kontextmenüs. Um sie hervorzuholen, drückt man etwas länger auf den Bildschirm.

Der Beitrag Ruffle-Projekt erhält Flash-Player in Rust am Leben erschien zuerst auf Linux-Magazin.

Über den Darknet-Dienst Chipmixer sollen 2,8 Milliarden Euro in Bitcoin geschleust worden sein. Nun ist die Infrastruktur in Deutschland beschlagnahmt worden.

Die Polizei hat die Serverinfrastruktur des weltweit umsatzstärksten Krypto-Mixers in Deutschland beschlagnahmt. Der Chipmixer genannte Dienst war über das Darknet erreichbar und diente zur Verschleierung der Eigentümerschaft von Bitcoins – darunter sollen auch die Gelder aus den FTX- und Axie-Infinity-Hacks sein.

Gemeinsam mit dem Bundeskriminalamt (BKA) beschlagnahmte die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) die Server sowie Daten im Umfang von rund 7 TByte und Bitcoins im Wert von derzeit 44 Millionen Euro. Damit handelt es sich um die bisher höchste Sicherstellung von Kryptowerten durch das BKA.

“Bei Chipmixer handelte es sich um einen seit Mitte 2017 bestehenden Dienst, der insbesondere Bitcoin kriminellen Ursprungs entgegennahm, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen”, erklärte das BKA. Dabei wurden die entgegengenommenen Bitcoins in Kleinstbeträge verteilt und vermengt, um die Herkunft der Gelder zu verbergen.

Der Dienst soll nach einer Schätzung insgesamt 154.000 Bitcoin im Wert von 2,8 Milliarden Euro gemixt haben. Ein erheblicher Teil stammt dabei laut BKA aus betrügerisch erlangten Kryptowährungen, darunter etwa die Ransomwaregruppen Zeppelin, Suncrypt, Mamba, Dharma und Lockbit sowie die illegale Handelsplattform Hydra Market.

Auch die Gelder aus den Hacks der Kryptowährungsbörse FTX sowie dem Kryptospiel Axie Infinity sollen über die Plattform gewaschen worden sein. Der Chipmixer-Betreiber wurde durch das FBI zur Fahndung ausgeschrieben, ihm wird gewerbsmäßige Geldwäsche sowie der Betrieb einer kriminellen Handelsplattform vorgeworfen.

Der Beitrag BKA beschlagnahmt Server von Krypto-Mixer erschien zuerst auf Linux-Magazin.

Das Landeskriminalamt Niedersachsen hat vor einer Betrugswelle gewarnt, in der Betrüger per SMS behaupten, es sei zu Fehlern in der Paketszustellung von DHL gekommen. Cyberkriminelle würden auf diese Weise versuchen, einen Phishinglink zuzusenden.

Als Beispiel nennt das LKA Niedersachsen den folgenden Text einer Phshing-SMS: „Dhl: Bei der Zustellung Ihres Pakets ist ein Fehler aufgetreten. Um die Zustellung zu bestätigen, gehen Sie bitte auf : parcel-delivered.com“

Folge man dem Link aus dem Beispiel, lande man derzeit auf einer nicht erreichbaren Seite, die eventuell bereits abgeschaltet worden sei, so das LKA. Es köne aber auch sein, dass die Täter die SMS zu früh verschickt hätten.

Betrugsversuch via SMS. Quelle: LKA Niedersachsen

Besondere Vorsicht gelte bei sogenannten Short-Links, da bei diesen das eigentliche Ziel nicht erkennbar sei. Links aus solchen SMS führen in der Regel auf Phishingseiten, wo es den Tätern um persönliche Daten (Identitätsdiebstahl, Daten für Spam, Phishing…), um Zahlungsdaten (angeblich müssen Zoll-/Portgogebühren nachbezahlt werden) oder um die Verbreitung von Schadsoftware (Auslesen weiterer Daten/Manipulation von Smartphones, Computern…) gehe, so das LKA.

„Sollten Sie aktuell auf Pakete warten und sich bei einer Nachricht dieser Art nicht sicher sein, so schauen Sie in die Bestellbestätigungen/Auslieferungsnachrichten, die Ihnen in der Regel ein ordentlicher Onlineshop zuschickt/im Kundenbereich des Shops online zur Verfügung stellt. Dort finden Sie normalerweise auch die passende Sendungsnummer. Die gängigen Transportanbieter haben auf Ihrer Webseite oder in den zugehörigen Apps ebenfalls die Möglichkeit einer Sendungsverfolgung“, rät die Polizei.

Der Beitrag LKA warnt vor DHL-Phishing erschien zuerst auf Linux-Magazin.

Docker will kostenfreie Team-Accounts für den Hub nicht mehr anbieten. Für Open-Source-Projekte bringt das Verwirrung und Probleme. Das Unternehmen gesteht Kommunikationsfehler ein.

Container-Spezialist Docker hat mit einer E-Mail an verbliebene Nutzer kostenfreier Team-Accounts in seinem Hub für Irritation bei zahlreichen Open-Source-Projekten gesorgt. Demnach sollten die kostenfreien Accounts und deren Inhalte wie Images gelöscht werden, falls nicht auf ein zahlungspflichtiges Abo-Modell gewechselt werde. Schon kurz nach der Ankündigung versuchte Docker jedoch, zumindest die Open-Source-Community zu beschwichtigen.

Die versendete E-Mail und zunächst dazu verfügbare FAQ sorgten für zahlreiche Diskussionen, etwa auf Hackernews oder Twitter, aber auch im Issue-Tracker der Projekte selbst – vermutlich, weil sie viel zu vage formuliert waren und noch viele Fragen zum Ablauf offen ließen. Viele Projekte sahen sich nicht nur mit dem Problem konfrontiert, ein Abo abschließen zu müssen, sondern auch damit, dass Images und Daten gelöscht werden sollten, falls das nicht erfolgt. Das wiederum könnte CI-Systeme oder Ähnliches von Dritten beeinträchtigen.

In den inzwischen überarbeiten FAQ findet sich nun ein neuer Absatz speziell für Open-Source-Projekte. Darin heißt es, dass das Ende der kostenfreien Team-Accounts nicht für jene Projekte gelte, die Teil von Dockers Open-Source-Sponsoring-Programm seien. Das Unternehmen forderte betroffene Projekte auf, sich um Aufnahme in das Programm zu bemühen. Man habe außerdem die Zahl der Angestellten erhöht, die die Bewerbungen überprüfen.

Auf Github beschweren sich jedoch zahlreiche Open-Source-Entwickler, dass sie nach einer Bewerbung für das Sponsoring-Programm in der Vergangenheit nie eine Rückmeldung von Docker erhielten, wie etwa bei Rocky Linux. Ebenso heißt es, dass die Fragen oder Bestimmungen zur Aufnahme auf einige Projekte schlicht nicht zuträfen und eine Bewerbung so überhaupt nicht möglich sei.

Das Docker-Unternehmen bittet inzwischen offiziell auf seinem Blog um Entschuldigung: “Wir entschuldigen uns für die Art und Weise, wie wir die Beendigung des kostenfreien Docker-Team-Abonnements kommuniziert und durchgeführt haben, was die Open-Source-Gemeinschaft alarmiert hat.” Das Unternehmen hat außerdem ausführliche FAQ zum weiteren Vorgehen veröffentlicht und bittet weiter um Feedback von Open-Source-Projekten.

Der Beitrag Docker irritiert Open-Source-Projekte mit Lösch-Ankündigung erschien zuerst auf Linux-Magazin.

Die Bundesnetzagentur hat den inzwischen siebten Bericht zur Breitbandmessung veröffentlicht.  “Die Ergebnisse sind nach wie vor nicht zufriedenstellend. Kunden erreichen oft nicht die versprochene Internetgeschwindigkeit”, sagt Klaus Müller, Präsident der Bundesnetzagentur.

Insgesamt seien im Berichtszeitraum vom 1. Oktober 2021 bis Ende September 2022 mittels Einzelmessungen der Desktop-App 398.747 valide Messungen durchgeführt worden. Da erstmalig im Bericht auch Gigabitanschlüsse betrachtet werden, sei ein Vergleich zum Vorjahr, in dem ausschließlich Anschlüsse bis unter 500 Mbit/s in die Auswertung eingeflossen seien, als aggregierte Darstellung nicht möglich.

Über alle Bandbreiteklassen und Anbieter hinweg erhielten laut dem Bericht im Download im 84,4 Prozent der Nutzer mindestens die Hälfte der vertraglich vereinbarten maximalen Datenübertragungsrate. Bei 42,3 Prozent der Nutzer sei diese voll erreicht oder überschritten worden.

Die meisten Kunden (78,2 Prozent) seien mit der Leistung ihres Breitbandanschlusses zufrieden gewesen, steht im Bericht und hätten die Noten 1 bis 3 vergeben. Weniger als 11 Prozent der Kunden bewerteten ihren Anschluss mit den Noten 5 oder 6.

Über alle Bandbreiteklassen und Anbieter hinweg hätten im Upload 88,5 Prozent der Nutzer mindestens die Hälfte der vertraglich vereinbarten maximalen Datenübertragungsrate erhalten. Bei 40,2 Prozent der Nutzer wurde diese voll erreicht oder überschritten, heißt es im Bericht.

Für mobile Breitbandanschlüsse seien 623.581 valide Messungen in die Auswertung einbezogen worden und damit deutlich mehr als im Vorjahresbericht 2020/2021, als es 441.233 waren.

Über alle Bandbreiteklassen und Anbieter hinweg erhielten 23,2 Prozent der Nutzer mindestens die Hälfte der vertraglich vereinbarten geschätzten maximalen Datenübertragungsrate bei 3,0 Prozent der Nutzer wurde diese voll erreicht, berichtet die Bundesnetzagentur. Trotz dieser ernüchternden Messungen bewerteten die Nutzer ihren Anbieter erneut überwiegend mit Noten von 1 bis 3 (70,8 Prozent). Im Vergleich zum Vorjahreszeitraum sei der Anteil jedoch zurückgegangen. 2020/2021 verteilten noch 75,7 Prozent der Nutzer ihre Noten von 1 bis 3.

Der Bericht zur Breitbandmessung ist in verschiedenen Fassungen online abrufbar.

Der Beitrag Jahresbericht Breitbandmessung nicht zufriedenstellend erschien zuerst auf Linux-Magazin.

Die Videokonferenzlösung Zoom braucht Updates. In der Software stecken laut dem Anbieter mehrere hochkritische Sicherheitslücken. Unter anderem wird damit das Ausführen von Schadcode möglich. Betroffen von den Lücken sind die Zoom-Versionen für Android, iOS, Linux, macOS und Windows vor Version 5.13.5.

Eine mit dem Risikopotenzial „hoch“ eingestufte Sicherheitslücke steckt in einer falschen Implementierung beim  Server-Message-Block-Protokoll (SMB) in den Zoom Clients. Wenn ein Opfer eine lokale Aufzeichnung an einem SMB-Speicherort speichert und sie später über einen Link vom Zoom-Webportal öffnet, könnte ein Angreifer, der sich in einem benachbarten Netzwerk des Opfer-Clients befindet, einen bösartigen SMB-Server einrichten, der auf Client-Anfragen antwortet und den Client dazu bringt, vom Angreifer kontrollierte ausführbare Dateien auszuführen, heißt es im Security Bulletin der Zoom-Entwickler.

Eine weitere hochriskante Lücke steckt im Windows-Installer des Zoom-Clients für IT-Admins vor Version 5.13.5. Über eine lokale Schwachstelle ist dort die Ausweitung von Rechten möglich. Ein lokaler Benutzer mit niedrigen Privilegien könnte laut Bulletin diese Schwachstelle in einer Angriffskette während des Installationsprozesses ausnutzen, um seine Privilegien auf den System-Benutzer zu erweitern.

Die insgesamt vier Lücken sind bei Zoom in den Security Bulletins aufgeführt. Updates sind über die Zoom-Webseite erhältlich oder über die in der App aufrufbare Prüfung nach Updates. Die erreicht man nach einem Klick auf das Profilbild und dann auf den Eintrag “Nach Updates suchen”.

Der Beitrag Kritische Sicherheitslücken in Konferenzsoftware Zoom erschien zuerst auf Linux-Magazin.

Suse hat seinen Finanzbericht für das erste Quartal im Geschäftsjahr 2023 vorgelegt. Nach den International Financial Reporting Standards (IFRS) ist dabei der Umsatz gegenüber dem Vorjahresquartal um 10 Prozent auf 169 Millionen US-Dollar angestiegen.

Im Q1 2022 lag der Umsatz gemäß IFRS bei 153 Millionen US-Dollar.  Der Gewinn nach IFRS und vor Steuern und Abgaben betrug 71 Millionen US-Dollar, bereinigt 67,1 Millionen US-Dollar. Ein deutlicher Anstieg gegenüber 35,4 Millionen US-Dollar (IFRS) und bereinigt 52,3 Millionen im Vorjahresquartal.

Sause hat mit dem Wachstum im ersten Quartal die Erwartungen der Analysten übertroffen. “Wir haben einen starken Start in das Geschäftsjahr 23 hingelegt”, sagte Melissa Di Donato, CEO von SUSE. “Die Änderungen, die wir zu Beginn des Quartals an unserem Vertrieb vorgenommen haben, liegen nun hinter uns und wir konzentrieren uns voll und ganz darauf, diese Leistung im weiteren Verlauf des Jahres auszubauen.“ Suse hatte im ersten Quartal 92 Mitarbeitern gekündigt.

Der ACV (Annual Contract Value) in Q1 betrug laut Suse 147 Millionen US-Dollar und damit einem Plus von zwei Prozent gegenüber dem Vorjahr. Er setzt sich zusammen aus einem Core ACV von 118,5 Millionen US-Dollar und einem Emerging ACV von 28,5 Millionen US-Dollar. Während das Kerngeschäft damit nahezu gleich gegenüber dem Vorjahr bleibt, wächst das Emerging Business um rund 20 Prozent.

Das Kerngeschäft habe unter anderem die Auswirkungen der Aussetzung der Verkäufe an russische Kunden und die schwierigen Marktbedingungen im Großraum China zu spüren bekommen, teilte Suse mit. Die dort erlittenen Einbrüche im Vertragsgeschäft habe man durch einen höheren ACV über die Cloud Service Provider (CSP) ausgleichen können, so Suse weiter. Das Wachstum über die CSPs sei jedoch geringer als in den Vorquartalen und spiegle die allgemeine Verlangsamung des Cloud-Wachstums wider, heißt es im Quartalsbericht.

Suse erwartet für das gesamte Geschäftsjahr 2023 ein währungsbereinigtes Umsatzwachstum von 11 bis 13 Prozent wobei das ausgewiesene Wachstum auf der Grundlage der Wechselkurse vom Ende des vierten Quartals um etwa 2 Prozentpunkte niedriger ausfalle, teilt Suse mit. Dieser Ausblick umfasse ein Wachstum des Kernumsatzes von etwa 10 Prozent und ein Wachstum des Emerging Revenue von etwa 25 Prozent, jeweils bei konstanten Wechselkursen, berichtet Suse weiter.

Der Beitrag Suse wächst im ersten Quartal 2023 erschien zuerst auf Linux-Magazin.

Eigentlich bietet Kali Linux Security-Werkzeuge, um Angriffe zu testen. Die Purple-Variante soll das erstmals ändern.

Das Kali-Linux-Projekt hat mit der Variante Purple erstmals eine grundlegende Erweiterung seiner Ausrichtung bekanntgegeben. Hauptziel von Kali und Vorgänger Backtrack ist es, Open-Source-Werkzeuge zur Sicherheitsüberprüfung gesammelt in einer Linux-Distribution bereitzustellen, mit denen Angriffe nachgeahmt werden können (Red Teaming). Kali Purple soll zusätzlich dazu erstmals “defensive Sicherheit” bieten.

Die Community wolle sich dabei auf das bisherige Erfolgsrezept konzentrieren und eine möglichst umfassende, aber einfach nutzbare Werkzeugsammlung anbieten. Dazu heißt es: “Wir machen defensive Sicherheit für jeden zugänglich. Es sind keine teuren Lizenzen erforderlich, es wird keine kommerzielle Infrastruktur benötigt, es muss kein Code geschrieben oder aus dem Quellcode kompiliert werden, damit alles funktioniert …”.

Zu den Werkzeugen gehören Arkime zum Speichern von Netzwerktraffic, Elasticsearch SIEM (Security Information and Event Management), der Greenbone Vulnerability Manager (GVM), Intrusion-Detection-Systeme wie Suricata und Zeek, oder auch The Hive zur sogenannten Incident Response. Kali Purple bietet laut Beschreibung außerdem eine Referenz-Architektur eines Sicherheitscenters (Security Operations Center in a Box), das sich zum Lernen und Erweitern der eigenen Fähigkeiten eignen soll, ebenso wie für Teamübungen.

Die Öffnung von Kali Linux vom Red Teaming hin zum sogenannten Blue Teaming zur Verteidigung ist folgerichtig, da auch dieser Bereich in den vergangenen Jahren innerhalb der Open Source Community massiv wuchs – immerhin nehmen auch echte Angriffe weiter zu. Der gewählte Name Purple deutet dabei auf einen fließenden Übergang vom Red zum Blue Teaming hin.

Der Beitrag Kali Linux Purple soll Verteidigung ermöglichen erschien zuerst auf Linux-Magazin.

Mirantis hat kürzlich in Zusammenarbeit mit dem Moby-Projekt die Mirantis Container Runtime (MCR) 23.0 vorgestellt. Neue Funktionen, Verbesserungen, Fehlerbehebungen und Sicherheitsupdates seien im ersten neuen Release nach zwei Jahren Entwicklungsarbeit enthalten, teilt Mirantis mit.

Moby ist unter anderem das Upstream-Open-Source-Projekt von Mirantis Container Runtime sowie von Docker und Docker Engine. Mit MCR 23.0 gleiche man die Upstream-Versionsnummern des Moby-Projekts an, teilt Mirantis weiter mit. Benutzer können dadurch zwischen der Open-Source-Community-Software Moby und der für den Unternehmenseinsatz konzipierten und entsprechend supporteten Mirantis Container Runtime wechseln, heißt es weiter.

Mirantis Container Runtime (MCR) biete eine schlanke und hochverfügbare Plattform für die Ausführung von containerisierten Anwendungen, die mit dem Moby-Projekt konsistent und mit den meisten Docker-kompatiblen Entwicklungs- und Workflow-Tools, Plattformen und Diensten kompatibel sei.

ZU den Neuerungen in Moby/MCR 23.0 zählt der bislang nur experimentelle Support für Container-Storage-Interface-Treiber (CSI) in Swarm, was die Verwaltung von Speicherressourcen über Container-Orchestrierungsplattformen hinweg erleichtern soll. Die CSI-Treiber seien identisch mit denen, die auch Kubernetes verwende. Entwickler könnten dadurch dieselben Speicher-Plugins nutzen.

MCR 23.0 biete Unterstützung für Oracle Linux 8, RHEL 9 und Windows Server 2022.

Der Beitrag Mirantis Container Runtime 23.0 veröffentlicht erschien zuerst auf Linux-Magazin.

Der VPN-Anbieter AtlasVPN hat die “Common Vulnerabilities and Exposures§-Datenbanken (CVE) für das Jahr 2022 untersucht und kommt zum Schluss, dass Google, das Fedora Projekt und Microsoft Produkte dort mit den meisten Schwachstellen verzeichnet sind.

Der Untersuchung nach wiesen Google-Produkte 1372 Sicherheitslücken im Jahr 2022 auf, die meisten von allen Anbietern. Das Android-Betriebssystem kam dabei auf 897 Schwachstellen, und die Sicherheitsforscher fanden 283 Schwachstellen im Chrome-Browser. Das Fedora Projekt landet mit 945 entdeckten Schwachstellen auf dem zweiten Platz und Microsoft-Produkte mit 939 Sicherheitslücken auf dem dritten. Debian-Produkte enthielten 887 Schwachstellen auf, und das Linux-Betriebssystem von Debian hatte 884 Schwachstellen. Apple wies 456 Schwachstellen in seinen Produkten auf, davon entfielen auf macOS 379 Schwachstellen, berichtet AtlasVPN.

Zu der Statistik seien allerdings einige Erläuterungen nötig, so AtlasVPN. Eine davon sei, dass mehr entdeckte Schwachstellen nicht gleichbedeutend mit weniger Sicherheit seien. Bei Open Source Projekten würden, bedingt durch die oft hohe Zahl an Beteiligten, auch mehr Schwachstellen entdeckt. Werden diese auch behoben, könnte die Software letztlich auch sicherer sein.

Ein weiterer Faktor sei der Schweregrad der Lücken. CVE bewerte diese von 0 bis 10, wobei 10 für die kritischsten und schwerwiegendsten Schwachstellen stehe.  Wenn man diese Einschätzungen berücksichtigt, sieht es für Fedora wie folgt aus: Nur 2 Prozent der Schwachstellen werden im Fedora-Projekt als besonders schwerwiegend eingestuft, während der Stufen 6 bis 7 dann 21 Prozent aller Exploits ausmachen. Die Mehrheit, 28 Prozent der Schwachstellen, wird mit 4 bis 5 bewertet. Außerdem entfallen 10 Prozent auf Exploits, die mit 0 bis 1 bewertet wurden, berichtet AtlasVPN.

Gemessen am Schweregrad rückt Microsoft nach oben. Mehr als ein Fünftel (23 Prozent) der in Microsoft-Produkten gefundenen Sicherheitslücken werden mit 9+ bewertet. Darüber hinaus werden 20 Prozent der Sicherheitslücken mit 7 bis 8 bewertet. Solch hohe Bewertungen bedeuten, dass entdeckte Sicherheitslücken in Microsoft-Produkten häufiger ausgenutzt werden und den größten Schaden auf dem Gerät des Opfers anrichten können, so AtlasVPN.

Der Beitrag CVE: Google, Fedora und Microsoft mit den meisten Schwachstellen erschien zuerst auf Linux-Magazin.

Laut dem amerikanischen Marktforscher Gartner wird bis 2025 fast die Hälfte der Cybersecurity-Führungskräfte den Arbeitsplatz wechseln. Und 25 Prozent würden aufgrund von Mehrfachbelastungen am Arbeitsplatz eine ganz andere Rolle einnehmen, glauben die Analysten.

“Cybersecurity-Fachleute seien einem unhaltbaren Stressniveau ausgesetzt, kommentierte Deepti Gopal, Director Analyst bei Gartner. Die Chief Information Security Officers (CISOs) seien mit den einzig möglichen Ergebnissen, dass sie nicht gehackt werden oder dass sie gehackt werden, in die Defensive gedrängt.

Die aus diesen Konstellationen zu erwartende Abwanderung von Talenten stelle eine erhebliche Bedrohung für Sicherheitsteams dar. Die Gartner-Studie zeige, dass etwa auf Compliance ausgerichtete Cybersicherheitsprogramme, die geringe Unterstützung durch die Geschäftsleitung und ein unterdurchschnittlicher Reifegrad der Branche in Sachen Cybersecurity Indikatoren für ein Unternehmen sind, das das Management von Sicherheitsrisiken nicht als entscheidend für den Geschäftserfolg ansieht. Unternehmen dieser Art würden eine höhere Fluktuation verzeichnen.

“Burnout und freiwillige Fluktuation sind die Folgen einer schlechten Unternehmenskultur”, so Gopal. Gartner prognostiziert, dass bis 2025 mehr als die Hälfte aller schwerwiegenden Cyber-Vorfälle auf mangelndes Talent oder menschliches Versagen zurückzuführen sein werden. Die Zahl der Cyber- und Social-Engineering-Angriffe auf Menschen steige sprunghaft an, da die Bedrohungsakteure den Menschen zunehmend als den verwundbarsten Punkt für ihre Angriffe ansehen.

Eine Gartner-Umfrage aus dem Juni 2022 unter 1310 Mitarbeitern habe ergeben, dass 69 Prozent der Befragten in den vergangenen 12 Monaten die Cybersicherheitsrichtlinien ihres Unternehmens umgangen haben. In der Umfrage gaben zudem 74 Prozent der Mitarbeiter an, dass sie bereit wären, Cybersicherheitsrichtlinien zu umgehen, wenn dies ihnen oder ihrem Team helfen würde, ein Geschäftsziel zu erreichen.

Um dieser zunehmenden Bedrohung zu begegnen, prognostiziert Gartner, dass die Hälfte der mittleren bis großen Unternehmen bis 2025 formelle Programme zum Management von Insider-Risiken einführen wird.

“CISOs müssen bei der Entwicklung eines Cybersicherheitsprogramms zunehmend das Insider-Risiko berücksichtigen”, so Furtado. “Herkömmliche Cybersecurity-Tools haben nur einen begrenzten Einblick in Bedrohungen, die von innen kommen”.

Der Beitrag Gartner: Fachkräfteschwund in der Cybersecrity erschien zuerst auf Linux-Magazin.

Jedes zehnte Kind hat im Schnitt zwischen 51 und 80 Apps auf seinem Smartphone oder Tablet, das ist ein Ergebnis einer repräsentativen Studie von YouGov im Auftrag des IT-Sicherheitsherstellers ESET.

Dass die Apps zwar rege installiert, nicht genutzte oder veraltete dann aber nicht mehr deinstalliert werden, sei ein Sicherheitsrisiko, heißt es in der Studie, für die mehr als 2100 Eltern mit Kindern bis zu 18 Jahren befragt wurden.

Beim Thema Kindertauglichkeit sind Eltern vor allem Anwendungen wie Snapchat und Roblox ein Dorn im Auge. Diese Bedenken seien begründet, heißt es von ESET, denn viele Inhalte seien nur unzureichend überprüft und Minderjährige könnten so leicht auf verstörende, rassistische, gewalthaltige oder anderweitig jugendgefährdende Inhalte stoßen. Dass 75 Prozent der 12- bis 18- Jährigen Snapchat nutzen mache dies sehr bedenklich, so ESET.

Zur Sammelleidenschaft gibt es in der Studie folgende Angaben:

• Jeder Sechste der Sechs- bis Zwölfjährigen hat 51 bis 80 Apps zur Verfügung
• Jeder Neunte der Zwölf- bis 15-Jährigen hat 51 bis 80 Apps installiert
• Jeder Zehnte der Zwölf- bis 15-Jährigen kommt auf 81 bis 100 Apps
• Jeder Achte der 15- bis unter 18-Jährigen hat mehr als 100 Apps gespeichert

ESET bietet die Studie zum Download als PDF an.

Der Beitrag App-Flut auf Smartphones von Kindern erschien zuerst auf Linux-Magazin.

Mit der Version 2.40 der freien Versionsverwaltung Git kommen neue Features und Bugfixes in das ursprünglich von Linus Torvalds programmierte Tool.

Die neue Option “–merge-base” für Zusammenführungen via “merge tree” zählt als eine der Neuerungen, die von den 88 Beitragenden zu dieser Version stammen. In Git 2.40 unterstützt das optionale Tool “git jump” nun zusätzlich zu Vim auch Emacs für eine Ausgabe von Git Kommandos wie “grep” in einen Editor, so dass sich “git jump” nun verwenden lässt, um eine entsprechende Liste in den Emacs-Client einzutragen.

Zu den Performance-Verbesserungen zählen Einstellungen in der CI-Infratsruktur, die unnötige Build vermeiden helfen sollen. Die Konfiguration erfolgt über “ci –config”. Bei den Bugfixes ist genannt, dass die Art und Weise, wie die Diff-Maschinerie das Options-Array für die parse_options-API vorbereitet,  überarbeitet wurde. Das soll Ressourcenlecks vermeiden.

Die Release Notes listen die Änderungen auf.

Der Beitrag Git 2.40 bringt Features und Fixes erschien zuerst auf Linux-Magazin.

Wer von Github ausgewählt wurde, muss die Zwei-Faktor-Authentifizierung (2FA) innerhalb von 45 Tagen einrichten.

Ab sofort verlangt Github von aktiven Entwicklern, eine Zwei-Faktor-Authentifizierung (2FA) für ihre Konten zu aktivieren. Die Maßnahme soll die Sicherheit für die Konten der über 100 Millionen Nutzer verbessern.

Den Schritt kündigte Github bereits vor einiger Zeit an. Zuerst berichtete das Onlinemagazin Bleepingcomputer über die anstehende Einführung.

Diese soll schrittweise stattfinden. Ab dem 13. März sollen kleinere Gruppen von Administratoren und Entwicklern per E-Mail angesprochen werden. Dabei soll sichergestellt werden, dass das Onboarding nahtlos verläuft und die Nutzer Zeit haben, eventuell auftretende Probleme zu lösen.

“Github hat einen Rollout-Prozess entwickelt, der sowohl unerwartete Unterbrechungen und Produktivitätsverluste für die Nutzer minimieren als auch Kontosperrungen verhindern soll”, erklärten Staff Product Manager Hirsch Singhal und Product Marketing Director Laura Paine.

“Gruppen von Nutzern werden im Laufe der Zeit aufgefordert, 2FA zu aktivieren. Dabei wird jede Gruppe auf der Grundlage der Aktionen und des Codes ausgewählt, den sie beigetragen haben.” Wenn das Konto für die Einführung einer Zwei-Faktor-Authentifizierung ausgewählt wurde, bleiben den jeweiligen Nutzern 45 Tage, sie zu aktivieren. In dieser Zeit soll das Github-Konto, abgesehen von gelegentlichen Erinnerungen, weiter normal nutzbar sein. Danach können einige Funktionen gesperrt werden, bis die 2FA eingerichtet wurde.

Als 2FA-Verfahren bietet Github Sicherheitsschlüssel (Fido-Sticks/Passkeys), TOTP, SMS sowie die Github-App an. Von der Verwendung von SMS als zweitem Faktor rät das Unternehmen aus Sicherheitsgründen jedoch explizit ab.

Der Beitrag Github führt verpflichtende 2FA ein erschien zuerst auf Linux-Magazin.

Die auf Debian basierende Distribution Nitrux setzt in ihrer aktualisierten Fassung den Liquorix-Kernel 6.1.15-1 ein. Darüber hinaus frischt sie zahlreiche Softwarekomponenten auf, hat erstmals OpenVPN an Bord und bietet die Wahl zwischen einem angepassten KDE Plasma und Maui.

Standardmäßig nutzt Nitrux 2.7.0 die Desktop-Umgebung NX, bei der es sich um ein modifiziertes KDE Plasma handelt. Dessen Komponenten liegen jetzt in Version 5.27.2 vor, obendrauf gibt es die Anwendungen aus dem Paket KDE Gear 22.12.3.

Erstmals stellen die Nitrux-Entwickler eine Variante mit Maui-Desktop bereit. Diese liefert das MauiKit und die MauiKit Frameworks 2.2.2, die Maui Apps in den Versionen 2.2.2, 1.0.1 und 1.0.0, sowie die Maui Shell 0.6.0. Das entsprechende Installations-Image bietet bis auf wenige Ausnahmen die gleiche Softwareausstattung wie die NX-Umgebung. Langfristig will das Nitrux-Team ihre Distribution komplett auf Maui umstellen.

Allerdings enthält die Maui-Fassung von Nitrux noch ein paar Probleme. Unter anderem funktionieren einige Desktop-Launcher nicht, darunter alle für Programme aus Flatpak-Paketen. Des Weiteren steht Firefox nur in der Standard-Ausgabe mit NX Desktop parat. Dort wartet er übrigens in der aktuellen Version 110.

Der Beitrag Nitrux 2.7.0 auch mit Maui-Desktop erhältlich erschien zuerst auf Linux-Magazin.

Die Software Hangover erlaubt den Start von Windows-Software auf 64-bittigen Arm- und x86-Prozessoren sowie zukünftig auch PowerPC-Systemen. Nachdem das Projekt längere Zeit stillgestanden hat, scheint die Entwicklung jetzt wieder weiterzugehen.

Im Moment führt Hangover ausschließlich 32-Bit-Windows-Programme auf den genannten Prozessoren aus. Zukünftig soll sich auch 64-Bit-Windows-Software auf ARM- und PowerPC-Prozessoren ausführen lassen.

Hangover nutzt im Hintergrund vor allem die WoW64-Funktionen von Wine 8 sowie den Qemu-Emulator. Da die Lizenzen von Wine und Qemu nicht kompatibel sind, stellen die Entwickler derzeit nur den Quellcode bereit.

Das jetzt veröffentlichte Hangover 0.8.3 soll zwar vor allem stabiler laufen, es handelt sich jedoch weiterhin um eine Alpha-Version. Neu ist zudem die Bibliothek „wowarmhw.dll“ für die ARM32-Emulation.

Die Wine-Entwickler André Zwing und Stefan Dösinger hatten das Hangover-Projekt bereits 2016 gestartet. Vor rund zwei Jahren stoppte jedoch die Arbeit, weil die beiden zunächst die Implementierung des WoW64-Systems in Wine abwarten wollten. Dieses erlaubt die Ausführung von 32-Bit-Windows-Programmen auf einem 64-Bit-System.

Der Beitrag Hangover-Entwicklung nimmt wieder Fahrt auf erschien zuerst auf Linux-Magazin.

Eine Sicherheitslücke in der Cisco IOS XR-Software ermöglicht es Angreifern, Denial-of-Service-Attacken gegen Cisco-Geräte durchzuführen. Die Cisco XR-Software ist ein Betriebssystem, das auf Cisco-Routern und -Switche eingesetzt wird. Es handelt sich dabei um eine spezielle Version des Cisco IOS (Internetwork Operating System), die für die Bedürfnisse von Service-Providern und großen Unternehmen entwickelt wurde. Die Schwachstelle betrifft die Funktion der hardwaregestützten Bidirectional-Forwarding-Detection-Methode (BFD) von Cisco IOS XR und wird von Cisco als hochriskant eingestuft. Ein Angreifer kann diese Schwachstelle ausnutzen, um einen Linecard-Reset auszulösen. Ein Linecard-Reset bezieht sich auf das Zurücksetzen einer Linecard in einem Cisco-Switch oder -Router. Eine Linecard ist ein Steckplatz auf dem Switch oder Router, der eine Erweiterungskarte für zusätzliche Netzwerkports oder andere Funktionen aufnimmt. Die Schwachstelle entsteht durch eine fehlerhafte Verarbeitung speziell manipulierter IPv4-BFD-Pakete, die auf Linecards empfangen werden. Betroffen sind die ASR 9000-Reihe an Aggregation Service Routern (mit Lightspeed- oder Lightspeed-Plus-Linecard), sowie die ASR 9902-Reihe und der 9903 Compact High Performance Router.

Der Beitrag Denial-of-Service-Attacke gegen Cisco-Geräte erschien zuerst auf Linux-Magazin.

Nach Bemühungen von Google und Microsoft, Sprachmodelle in ihre Suchmaschinen zu integrieren, nach diversen unabhängigen Browser-Erweiterungen mit diesem Ziel und nach Ankündigung einer Funktion für Textzusammenfassungen durch Opera, zieht nun auch  Suchmaschine DuckDuckGo nach.

Wie der Hersteller in einem Blog erläutert, wird der neue Dienst DuckAssist mit einer Funktion Instant Answer als Beta-Version eingeführt, die für Suchanfragen, die Wikipedia oder ähnliche Seiten wie die Enzyklopädie Britannica beantworten können, eine kurze Zusammenfassung in natürlicher Sprache generiert. Duck Assist benutzt ausschließlich Wikipedia und ähnliche Quellen, die es auch immer mit angibt – das soll die Gefahr vermindern, dass sich das Sprachmodell einfach Fakten ausdenkt. Die Antworten beziehen sich auf einen Wikipedia-Stand, der höchstens ein paar Wochen alt ist. Bei noch aktuelleren Fragen steht die Funktion nicht zur Verfügung.

Diese Funktion ist völlig kostenlos und privat, eine Anmeldung ist nicht erforderlich, und sie ist ab sofort verfügbar. In den fogenden Monaten seien weitere KI-gestützte Funktionen zu erwarten.

Der Beitrag DuckDuckGo – Nächste Suchmaschine mit KI erschien zuerst auf Linux-Magazin.

Wie das indische Online-Magazin Moneycontrol berichtet  will der Facebook- und Instagram-Mutterkonzern Meta eine Alternative zu Twitter entwickeln.

“Wir untersuchen ein eigenständiges dezentrales soziales Netzwerk für den Austausch von Text-Updates. Wir glauben, dass es eine Möglichkeit für einen separaten Raum gibt, in dem Schöpfer und Persönlichkeiten des öffentlichen Lebens zeitnahe Updates über ihre Interessen teilen können”, sagte ein Meta-Sprecher gegenüber der Nachrichtenagentur Reuters in einer per E-Mail übermittelten Erklärung. Die textbasierte Chat-App unter dem Codenamen P92 soll das Protokoll Activity Hub des Twitter-Konkurrenten Mastodon unterstützen. Für das Login sollen die Anwender ihre Instagram-Credentials nutzen können.

Die Ankündigung kommt zu einer Zeit, in der sich seit der Übernahme durch Elon Musk viele Twitter-Nutzer nach Alternativen umsehen, was Konkurrenten, darunter Mastodon, gerade Aufwind verschafft. P92 soll eine ganze Reihe Twitter-ähnliche Features planen wie teilbare Bilder und Videos, Zeichen für verifizierte Accounts, oder Follower und Likes. Ob es auch eine Kommentarfunktion geben wird, steht noch nicht fest.

Der Beitrag Meta plant Twitter-Alternative erschien zuerst auf Linux-Magazin.

Der Mobilfunkausbau in Deutschland schreitet schneller voran als von der Politik gefordert: Im Jahr 2022 wurden insgesamt 2 674 Neubaustandorte errichtet und 33 611 bestehende Mobilfunkstandorte um LTE/5G-Technik erweitert. Das ergibt eine Abfrage des Digitalverbands Bitkom unter den Netzbetreibern. Demnach erreichen die Mobilfunknetze in allen 16 Bundesländern eine Abdeckung von mindestens 98 Prozent der Haushalte im schnellen LTE-Netz mit Bandbreiten von 100 Megabit pro Sekunde – teilweise sogar deutlich darüber. Auch der Ausbau der neuen Mobilfunk-Generation 5G kommt schneller voran als vorgeschrieben. Zum Jahresanfang 2023 werden über alle Netze je nach Betreiber bereits bis zu 95 Prozent der Bevölkerung mit 5G erreicht. Die Versorgungsauflagen werden von den ausbauenden Unternehmen damit übertroffen. Seit der letzten Frequenzauktion 2019 wurden mehr als 18 Millionen Menschen aus dem Funkloch geholt. Im europäischen Index für die digitale Wirtschaft und Gesellschaft (DESI) liegt Deutschland bei der digitalen Infrastruktur unter den 27 EU-Mitgliedstaaten inzwischen auf Platz 4.

Auch im aktuellen Jahr 2023 erhöhen die Netzbetreiber ihre Investitionen in die Infrastruktur: In die Netzinfrastruktur für mobile Kommunikation fließen in diesem Jahr 2,1 Milliarden Euro (+2,8 Prozent), wobei Kosten für Frequenzen, Gebäude und Bauleistungen noch hinzukommen.

Der Beitrag Mobilfunkausbau geht voran erschien zuerst auf Linux-Magazin.

Eine Recherche des Hosters und Cloudanbieters IONOS hat nun eine portugiesische Studie aus dem Jahr 2021 zur Nachhaltigkeit von Programmiersprachen mit dem Ranking der beliebtesten Sprachen aus dem Vorjahr zusammengeführt. Sind die ressourcenschonendsten Sprachen auch die meistgenutzten?

Die Nachhaltigkeitsrangliste bezieht sich auf Energieverbrauch, Ausführungszeit und die Spitzenspeicherauslastung von 27 Programmiersprachen. Beim Energieverbrauch finden sich auf den Plätzen 1 bis 5 (in absteigender Reihenfolge) C (1,00 Joule), Rust (1,03 J), C++ (1,34 J), Ada (1,70 J) und Java (1,98 J). Bei der Ausführungsgeschinwigkeit ergibt sich dieselbe gleiche Rangfolge. Anders sieht es bei der Spitzenspeicherauslastung aus: Zwar nehmen C (1,17 Megabyte) und C++ (1,34 MB) noch immer Top-5-Plätze ein (nämlich 3 und 5), doch Pascal (1,00 MB; Platz 1), Go (1,05 MB; Platz 2) und Fortran (1,24 MB; Platz 4) erreichten in den anderen Kategorien keine Top-Werte.

Auffällig ist der große Abstand zu den jeweils hinteren Rängen. So bestehen große Unterschiede zwischen den ersten und den letzten Plätzen: fast das Achtzigfache beim Energieverbrauch, fast das Dreiundachtzigfache bei der Ausführungszeit und fast das Zwanzigfache beim Speicherplatz. Sowohl beim Energieverbrauch wie bei der Geschwindigkeit liegen recht beliebte Sprachen weit hinten wie Perl, Lua und vor allem PHP und Python. Durchweg günstige Werte erreichen dagegen C, C++, Rust, Ada, Pascal und mit Abstrichen Fortran und Chapel. Abgesehen von C und C++ belegen die allerdings im Beliebtheitsranking nur hintere Plätze.

Der Beitrag Nachhaltiges Programmieren erschien zuerst auf Linux-Magazin.