Wegen eines in letzter Minute entdeckten Fehlers hat Canonical den Start vonUbuntu 22.04.1 um eine Woche auf 11. August verschoben.

Gegen Ende des Testprozesses sei ein Fehler entdeckt worden, der nur Installationen mit dem Ubiquity-Installationsprogramm und der “OEM-Installationsprogramm”-Konfiguration betroffen habe, teilt Canonical mit.

Bei diesen Installationen hätten die Nutzer nicht mehr auf die vorinstallierten Snaps zugreifen können, heißt es zum Fehler weiter.

Der Fehler sei zwar von begrenztem, Ausmaß, so Canonical, der Schwerpunkt dieses Point-Update habe aber Stabilität gelegen, daher habe man beschlossen, die Veröffentlichung des 22.04.1-Images zu verschieben, anstatt einen Hotfix herauszugeben.

Die aktuellen Benutzer von Ubuntu 22.04 und alle, die 22.04 von einem aktuell verfügbaren Image installieren, seien von diesem Fehler nicht betroffen, er trete nur bei Neuinstallationen auf, die den OEM-Installationsmodus von Ubiquity und die Release Candidate Images für 22.04.1 verwenden, teilt Canonical weiter mit.

Der Beitrag Canonical verschiebt Release von Ubuntu 22.04.1 erschien zuerst auf Linux-Magazin.

Den Messenger Threema gibt es nun in einer Libre-Variante, bei der jede Zeile Code eingesehen und die App über F-Droid bezogen werden kann.

Mit Threema Libre gibt es den Schweizer Messenger Threema nun in einer Variante, die komplett auf Open-Source-Software setzt. Diese kann über den alternativen App Store F-Droid bezogen werden.

“In Threema Libre gibt es keine einzige Zeile Code, die eine proprietäre Softwarebibliothek von Google oder anderen Drittanbietern voraussetzt”, erklärt Threema in einem Blogeintrag. So komme beispielsweise zur Benachrichtigung ausschließlich Threema Push zum Einsatz, und ein Fallback auf Googles Push-Dienst sei von vornherein unmöglich.

Um Threema Libre zu installieren, muss ein F-Droid-Client auf dem Smartphone vorhanden sein, dem Threemas F-Droid-Repository hinzugefügt werden muss. Eine entsprechende URL sowie einen QR-Code zum Scannen sind in einem FAQ-Beitrag auf der Threema-Webseite zu finden. Bei Threema Libre handelt es sich um eine eigenständige App, die zusätzlich zu dem normalen Threema-Client installiert werden kann. Um die Messenger-Apps zu nutzen, muss eine Lizenz für einmalig 5 Euro erworben werden.

Der komplette Code von Threema Libre ist öffentlich einsehbar. Dass die von Threema verteilten Pakete auch dem veröffentlichten Code entsprechen, soll mittels Reproducible Builds überprüft werden können.

Anfang des Jahres wurde bereits Threema Push in den Messenger integriert. Dabei handelt es sich um eine Threema-eigene Alternative zu Googles Push-Dienst, über den standardmäßig Push-Benachrichtigungen, beispielsweise bei neuen Nachrichten, versendet werden. Inhalte werden über Googles Push-Dienst jedoch nicht übertragen, wie Threema betont. Mit Threema Push soll es möglich sein, den Messenger “ohne Google-Dienste zu verwenden und dabei die volle Funktionalität und Benutzerfreundlichkeit beizubehalten.”

Auch vor der Einführung von Threema Push war es bereits möglich, den Messenger auf einem Google-freien Smartphone zu verwenden. Um neue Nachrichten zu erhalten, kontaktiert der Messenger dafür in regelmäßigen Abständen den Server (Polling). Dabei kann es jedoch zu Verzögerungen bei der Zustellung kommen, wenn die App im Hintergrund läuft. Zudem ist ein höherer Akku-Verbrauch möglich.

Der Beitrag Threema veröffentlicht Google-freie Open-Source-Version erschien zuerst auf Linux-Magazin.

Dreamworks Animation hat angekündigt den bislang proprietären in der Produktion eingesetzten Renderer MoonRay noch in diesem Jahr als Open-Source-Software zu veröffentlichen. MoonRay gilt als moderner Raytracing-Renderer.

Dreamworks hat mit der Render-Engine bereits Filme wie Drachenzähmen leicht gemacht, Die Croods: Ein neues Zeitalter, The Bad Guys und dem kommenden Puss In Boots gerendert. Die Moonray-Engine baut auf der Monte-Carlo-Integration auf. Dreamworks Animation zufolge kann Moonray eine breite Palette von Bildern liefern, von fotorealistisch bis stark stilisiert. MoonRay basiere auf einer hochmodernen, hochskalierbaren Architektur. Zusätzliche Leistungsmerkmale seien etwa die Unterstützung für verteiltes Rendering.

DreamWorks beabsichtigt, MoonRay unter der Apache 2.0 Lizenz zur Verfügung zu stellen ohne einen exakten Termin. Weitere Informationen und Updates werden unter OpenMoonRay.org verfügbar sein, teilt das Unternehmen mit.

Der Beitrag Dreamworks macht Renderer Moonray zu Open Source erschien zuerst auf Linux-Magazin.

Der Suse-Entwicklungsleiter Jeff Mahoney hat in der Opensuse Factory-Liste vorgeschlagen, ReiserFS nicht länger mit Opensuse Tumbleweed auszuliefern. Das Dateisystem sei seit Jahren nicht gepflegt worden und es ermangele ihm an vielen modernen Funktionen.

Mahoney, der Maintainer des ReiserFS-Usperspace-Uploads ist, schlägt vor, die Reiserfs-Pakete sofort aus Tumbleweed zu entfernen und parallel dazu die Folgen zu beheben, die durch das Entfernen von libreiserfscore verursacht werden. Auch die Deaktivierung der Kernel-Implementierung solle sofort erfolgen.

Da es Nutzer gebe, die Reiserfs-Dateisysteme auf ihren Festplatten haben würde er, sofern sie aktiv genutzt werden, ernsthaft dazu raten, auf ein aktiv gepflegtes System zu migrieren, schreibt Mahoney.  Sollten diese Festplatten nur zu Archivierungszwecken im Regal liegen, werde GRUB mit einem Fuse-Frontend für alle seine Dateisystemtreiber, einschließlich Reiserfs, ausgeliefert. Das sei dann zwar nicht schnell, reiche aber für den Datenzugriff.

Mahoney weist auch darauf hin, das ReiserFS im Jahr 2025 auch aus dem Upstream-Kernel entfernt werden soll, wie diesem Beitrag in der Kernel-Mailingliste zu entnehmen sei.

Der Beitrag Opensuse soll ReiserFS entfernen erschien zuerst auf Linux-Magazin.

Rsync ist sowohl ein Netzwerkprotokoll als auch ein beliebtes Programm zur Synchronisation von Dateien. Die Synchronisation läuft dabei nur unidirektional ab. Eine Sicherheitslücke in dem rsync-Client hat zur Folge, dass ein Angreifer Dateien im Zielverzeichnis des Clients überschreiben kann. Der Angreifer kann diese Schwachstelle auch ausnutzen, um Kontrolle über das System zu übernehmen. Hierzu kann er beispielsweise einen SSH-Schlüssel in die
.ssh/authorized_keys-Datei kopieren, um dann via SSH auf das System zuzugreifen.

Die Ursache des Problems besteht darin, dass der rsync-Client die Angaben des Servers nicht ordentlich kontrolliert. Der Programmierfehler tritt in der do_server_recv()-Funktion auf.

Betroffen sind die Versionen vor rsync 3.2.5.

Der Beitrag Rsync: Angreifer erlangt Zugriff auf betroffene Systeme erschien zuerst auf Linux-Magazin.

Die MZLA Technologies Corporation hat ein Update für den Mailclient Thunderbird auf Version 102.1.1 veröffentlicht. Wie das für Thunderbird zuständige Tochterunternehmen von Mozilla mitteilt, werden damit eine ganze Reihe von Problemen beseitigt.

Unter anderem werden dann vom OpenPGP Key Manager ausgewählte Schlüssel nach einer Löschung auch wirklich gelöscht. Der Empfang von vielen OpenPGP-Schlüsseln in einer einzigen E-Mail hatte Thunderbird unter Umständen zum Hängen gebracht. Dieses Fehlverhalten ist mit dem Update beseitigt, heißt es in den Release Notes. Im Zusammenhang mit OpenPGP sind einige weitere Probleme gelöst worden

Dass Update-Benachrichtigungs-Popups nach dem Wechsel zu einem anderen Desktop-Arbeitsbereich unter Linux weiterhin angezeigt werden gehört mit der neuen Version ebenfalls der Vergangenheit an.

Der Beitrag Update für Thunderbird beseitigt viele Probleme erschien zuerst auf Linux-Magazin.

Bisher war Microsoft von Duckduckgos Trackingschutz im hauseigenen Browser und in Add-ons ausgenommen. Das soll sich nach Kritik ändern.

Die mit Datenschutzfunktionen beworbenen Browser und Add-ons des alternativen Suchmaschinenanbieters Duckduckgo blockieren nun auch Tracking-Skripte von Microsoft. Im Mai 2022 hatte der Sicherheitsforscher Zach Edwards darauf hingewiesen, dass Domains und Skripte von Microsoft vom Trackingschutz ausgenommen wurden. Beworben wurden die Softwareprodukte aus dem Hause Duckduckgo jedoch mit einem umfassenden Trackingschutz. Einen Hinweis auf die Microsoft-Ausnahmen gab es nicht.

Entdeckt hatte Edwards die Ausnahme offenbar in den Datenschutzbestimmungen des Duckduckgo-Browsers. Hintergrund sind laut Duckduckgos CEO Gabriel Weinberg “vertragliche Verpflichtungen mit Microsoft”. Microsofts Suchmaschine Bing ist die zentrale Quelle für Duckduckgos Suchergebnisse und auch im Anzeigengeschäft der alternativen Suchmaschine ist Microsoft Partner.

“Bisher waren wir in der Anwendung unserer 3rd-Party-Tracker-Loading-Protection auf Microsoft-Tracking-Skripte eingeschränkt, da wir Bing als Quelle für unsere privaten Suchergebnisse nutzen”, heißt es in einer Erklärung von Weinberg. “Wir sind froh, dass dies nicht mehr der Fall ist. Wir hatten und haben keine ähnliche Einschränkung mit einem anderen Unternehmen.”

Skripte von Microsoft seien jedoch nie in die Suchmaschine oder Anwendungen eingebettet worden, betont Weinberg. Vielmehr filterte Duckduckgos Software die Tracking-Skripte von Microsoft auf Webseiten von Dritten nicht heraus, wie es beispielsweise mit Tracking-Skripten von Google der Fall ist.

Eine Ausnahme gibt es demnach jedoch weiterhin: Wird auf eine Anzeige in der Suchmaschine Duckduckgo geklickt, werden entsprechende Skripte von bat.bing.com geladen, um Conversations zu messen – also ob Klicks von Anzeigen tatsächlich zu Produktkäufen geführt haben. Diese Skripte werden im Kontext der Duckduckgo-Webseite weiterhin nicht von Duckduckgos Software blockiert, in anderen Kontexten jedoch schon.

Dennoch sei das Betrachten von Anzeigen auf Duckduckgo anonym. Microsoft habe sich verpflichtet, keine Profile der Duckduckgo-Nutzer über die Klicks auf Anzeigen zu erstellen, betont Weinberg. “Um die Abhängigkeit von bat.bing.com bei der Bewertung der Anzeigeneffektivität zu ersetzen, haben wir mit der Arbeit an einer Architektur für private Anzeigenkonversionen begonnen, die von außen als nicht profilierend validiert werden können.”

Damit überprüft werden kann, welche Tracking-Skripte blockiert werden und welche nicht, hat Duckduckgo nun zudem die Blockierlisten auf Github öffentlich zugänglich gemacht.

Der Beitrag Duckduckgo blockiert nun auch Microsoft-Tracker – meistens erschien zuerst auf Linux-Magazin.

Die Entwickler der freien Firewall OPNsense haben Version 22.7 mit dem Spitznamen “Powerful Panther” veröffentlicht. Die Firewall bietet unter anderem ein Upgrade auf FreeBSD 13.1, PHP 8.0, Phalcon 5, stacked VLAN und Unterstützung für Intel QuickAssist (QAT).

Letzteres soll für mehr Leistung bei der Verschlüsselung und dem Komprimieren von Daten sorgen Der DDoS-Schutz mit SYN-Cookies und MVC/API-Seiten für IPsec-Status zählen zu weiteren Neuerungen.

Dagegen soll die LibreSSL-Variante am Ende dieser Serie entfernt werden und dann wohl auch keine weitere Wartung erhalten, heißt es in der Ankündigung. Bei Software, die nicht richtig funktioniert, werde man das entsprechende Plugin von nun an aus diesem Flavour entfernen, damit die Software weiterhin auf die neuesten Versionen im OpenSSL-Ableger aktualisiert werden könne, heißt es weiter. Das nächste große Upgrade werde dann automatisch auf die OpenSSL-Variante umgestellt. Die Entwickler empfehlen aber, bereits zwischen den Versionen 22.7.x zu wechseln, um die Auswirkungen so gering wie möglich zu halten.

Der Beitrag OPNsense 22.7 bringt Updates erschien zuerst auf Linux-Magazin.

45 Prozent der Unternehmen in Deutschland überlassen Elektro-Altgeräte wohltätigen Organisationen, hat der Digitalverband Bitkom ermittelt. Im Jahr 2020 seien es noch 24 Prozent gewesen.

Auch der Anteil der Unternehmen, die ausrangierte IT an ihre Mitarbeiter verschenken, sei gegenüber 2020 von 14 auf 20 Prozent gewachsen, heißt in der aktuellen Umfrage unter 506 Unternehmen ab 20 Mitarbeitenden.

Unternehmen würden in der Regel verschiedene Möglichkeiten der Wiederverwendung, Verwertung und Entsorgung kombinieren. Eine Mehrheit von 63 Prozent entsorge die Geräte fachgerecht und 30 Prozent würden sie einlagern, um sie zu einem späteren Zeitpunkt noch einmal nutzen zu können. 17 Prozent leasen Geräte und geben sie entsprechend an den Verleiher zurück.

Ein kleinerer Anteil von Unternehmen verkauft auch funktionsfähige, ausrangierte Elektrogeräte: 8 Prozent überlassen sie Mitarbeitern zu vergünstigten Preisen, 4 Prozent verkaufen sie extern weiter und ebenso viele verkaufen ihre Elektro-Altgeräte an Dienstleister zur Wiederaufbereitung, teilt der Bitkom mit. Unter den Verbraucherinnen und Verbrauchern sei das Interesse an so dieser so genannten Refurbished-IT zuletzt gewachsen: Jeder und jede Achte (13 Prozent) hat gemäß einer Bitkom-Umfrage von Januar 2022 schon einmal ein solches Gerät gekauft.

Der Beitrag Viele Unternehmen spenden ausrangierte Elektrogeräte erschien zuerst auf Linux-Magazin.

Rescuezilla, das Live-System zum einfachen Klonen und Sichern von Partitionen basiert jetzt auf Ubuntu 22.04, komprimiert Images auf Wunsch mit dem BZ2-Verfahren und bezieht Firefox aus dem Repository des Mozilla-Teams.

Die eigentliche Arbeit erledigt unter der Haube das Tool Partclone, das in Version 0.3.20 beiliegt. Letztgenannte merzt vor allem einen Fehler mit komprimierten Btrfs-Partitionen aus, der unter anderem Fedora-Anwender betraf. Das noch in vorherigen Rescuezilla-Versionen zusätzlich noch mitgelieferte Partclone v0.2.43 musste von Bord gehen. Es sollte ursprünglich eine möglichst maximale Abwärtskompatibilität sicherstellen.

Ubuntu 22.04 stellt den Browser Firefox eigentlich über ein Snap-Paket bereit. Da dieses aber nicht mit den Build-Skripten der Rescuezilla-Macher harmoniert, banden diese stattdessen das offizielle Repository des Mozilla-Teams ein.

Des Weiteren funktioniert der Neustart auf EFI-Systemen reibungsloser, zudem darf man in Rescuezilla 2.4 einen beliebigen SSH-Port wählen. Abschließend haben die Entwickler einige Übersetzungen überarbeitet, darunter Tschechisch und Ungarisch.

Der Beitrag Rescuezilla 2.4 aktualisiert Unterbau und unterstützt BZ2-Komprimierung erschien zuerst auf Linux-Magazin.

Die Entwickler des Rettungssystems SystemRescue  betreiben mit der neuen Version 9.04 Produktpflege. So arbeitet im Hintergrund der Linux Kernel 5.15.58 mit Long Term Support, zudem läuft der Boot-Vorgang flotter ab.

Die Boot-Optionen „cow_label“ und „cow_directory“ lassen sich über die YAML-Konfigurationsdatei setzen. Die neue Option „nomdlvm“ verhindert das Aktivieren von MD RAID- und LVM-Geräten. Dies wiederum unterbindet Schreiboperationen auf entsprechende Datenträger.

Neu mit dabei sind die Werkzeuge Rclone, Qemu-img, die Multipath-tools und Unrar. Das verbesserte Skript „mountall“ erkennt mehr Partitionen, ignoriert Swap-Partitionen und unterstützt per LUKS verschlüsselte Datenträger. Obendrauf kennt das Skript den neuen Parameter „–readonly“.

Die Konfigurationseinstellung „ca-trust“ wendet SystemRescue 9.04 auch auf Firefox an. Im „sysconfig“-Bereich der YAML-Konfigurationsdateien sind die Optionen „timezone“, „authorized_keys“ und „bookmarks“ hinzugekommen.

SystemRescue 9.04 liegt erstmals nur als 64-Bit-Fassung vor. Sofern sich kein Maintainer für die 32-Bit-Variante findet, soll dies auch in Zukunft so bleiben.

Der Beitrag SystemRescue 9.04 bietet Verbesserungen im Startprozess erschien zuerst auf Linux-Magazin.

Slack hat etliche Nutzer aufgefordert, ihr Passwort zu ändern. Über eine Sicherheitslücke wurden über Jahre Hashes der Passwörter versendet.

Die Kollaborationssoftware Slack hat in bestimmten Fällen die gehashten Passwörter an andere Nutzer übermittelt. Man habe rund 0,5 Prozent der Nutzer aufgefordert, ihr Passwort zu ändern, teilte Slack mit. Was nach wenig klingt, sind bei vom Onlinemagazin The Register geschätzten 10 Millionen täglich aktiven Nutzern eine ganze Menge.

Laut Slack wurden die gehashten Passwörter übermittelt, wenn Nutzer einen gemeinsamen Einladungslink für einen Arbeitsbereich erstellten oder widerriefen. Die Daten seien dann an alle Mitglieder des Arbeitsbereichs gesendet worden, erklärte Slack. In der Software sei der Passworthash allerdings nicht angezeigt worden, vielmehr habe der am Gerät ankommende Netzwerkverkehr untersucht werden müssen, um an den Passworthash zu gelangen.

Entdeckt hatte das Problem ein Sicherheitsforscher, der es am 17. Juli 2022 an Slack meldete. Dort wurde das schon seit längerer Zeit bestehende Problem umgehend behoben. Betroffen sind demnach Nutzer, die im Zeitraum zwischen dem 17. April 2017 und dem 17. Juli 2022 entsprechende Einladungslinks erstellten oder widerriefen. Weitere Details zu dem Problem nannte Slack nicht.

Auch das eingesetzte Hashingverfahren nannte das Unternehmen nicht, auf Nachfrage haben wir bisher noch keine Antwort erhalten. Die Passwörter seien vor dem Hashen mit einem sogenannten Salt (engl. Salz) verlängert worden, teilte Slack mit. “Es ist praktisch nicht möglich, ein Kennwort aus dem Hash abzuleiten, und niemand kann den Hash direkt zur Authentifizierung verwenden”, betonte der Anbieter. Je nach eingesetztem Hashingverfahren, Passwortlänge und vorhandener Rechenpower können Passwörter jedoch durchaus geknackt werden.

Bei den betroffenen Nutzern wurde das Passwort zurückgesetzt, sie müssen ein neues Kennwort wählen. Slack empfiehlt zudem, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Der Beitrag Slack schließt jahrelanges Datenleck erschien zuerst auf Linux-Magazin.

Kali Linux, die Distribution für Sicherheitsexperten und Pentester hat in Version 2022.3 fünf weitere Tools im Gepäck, die Kali-VM für VirtualBox kommt zudem in einem anderen Format. Darüber hinaus lässt sich das eigene Wissen im brandneuen Test Lab trainieren.

Sicherheitsexperten müssen nicht nur die Grundlagen beherrschen, sondern die verfügbaren Tools in der Praxis auch richtig anwenden. Um genau das zu üben, hat das Kali-Team das Test Lab geschaffen. Es besteht aus mehreren verwundbaren Anwendungen, auf die man die Sicherheitstools ansetzen kann. Derzeit handelt es sich um die Damn Vulnerable Web Application (DVWA) und den OWASP Juice Shop. Beide lassen sich in einem Schwung über die Installation des Meta-Pakets „kali-linux-labs“ hinzuholen. In zukünftigen Kali-Linux-Versionen sollen weitere Trainingsanwendungen hinzukommen.

Neu im Werkzeugkoffer sind BruteShark, DefectDojo, Phpsploit, Shellfire und das SprayingToolkit. Kali Linux steht nicht nur als ISO-Image, sondern auch als virtuelle Maschine für VirtualBox bereit. Eben jene kommt jetzt als VDI-Image mitsamt einer passenden „.vbox“-Datei, die alle Eckdaten der virtuellen Maschine verrät. Das früher genutzte OVA-Austauschformat ergab aufgrund der etwas schlechteren Kompression größere Image-Dateien. Durch die Umstellung müssen VirtualBox-Nutzer zudem nicht mehr den Weg über die Import-Funktion gehen, sondern können das VDI-Image direkt einbinden.

Kali NetHunter heißt die Kali-Variante für Smartphones. Die zugehörige App hat jetzt ebenfalls ein Update erhalten, das NetHunter Repository offeriert sechs weitere Kernel. Beides zusammen lässt eine vollständige Unterstützung von Android 12 näherrücken, in Kürze soll ein erstes Image für das OnePlus folgen.

Über den Fortschritt der ARM-Portierung hält die neue Seite arm.kali.org auf dem Laufenden. Auf allen Raspberry-Pi-Modellen kommt ab sofort der Kernel 5.15 zum Einsatz.

Die Kali-Community kann sich auf einem neuen Discord-Server namens „Kali Linux & Friends“ austauschen. Das Kali-Team möchte dort einen Platz schaffen, in dem Nutzer anderen Nutzern helfen. Der Fokus liege dabei auf der Qualität: Es sei nicht das Ziel, möglichst viele Anwender in den Chat zu locken. Darüber hinaus treffen sich auf dem Discord-Server nach jedem Release die Entwickler zu einem einstündigen Voice Chat – ein erster soll am 16. August stattfinden.

Diese Tools sowie sämtliche Neuerungen stellt noch einmal die offizielle Ankündigung vor.

Der Beitrag Kali Linux 2022.3 bringt eigene Testumgebung mit erschien zuerst auf Linux-Magazin.

Microsoft hat rund 1500 seiner Emojis unter einer freien Lizenz veröffentlicht. “Ab heute können Sie den Großteil unserer Emoji-Bibliothek in Figma und auf Github als Open Source nutzen”, teilt Microsofts Design-Chef Jon Friedman mit.

Es gebe zwar einige Ausnahmen, die aufgrund von Markenrechten nicht dabei seien, etwa das bekannte Microsoft-Maskottchen Karl Klammer sowie auch Nationalflaggen, dennoch sei es ein wahres Sammelsurium an Emoji, mit denen man bauen könne, so Friedman.

Ein Team von Designern und Ingenieuren habe über ein Jahr lang daran gearbeitet, dass die Emojis in jedem benötigten Format verwendet werden könnten, so Friedman. Genauso wie es Closed Caption in verschiedenen Sprachen gäbe, müssten Emoji als SVG-, PNG- und JPG-Datei vorliegen, um wirklich vielseitig einsetzbar zu sein. Und für jedes dieser Formate solle es eine Vektor-, eine flache und eine einfarbige Version erstellt werden, um Skalierbarkeit und Flexibilität zu gewährleisten, berichtet Friedman. Die Emoji-Sammlung hat Microsoft auf Github gestellt. Als Lizenz hat Microsoft die MIT-License gewählt.

Der Microsoft-Mitarbeiter beschreibt in seinem Beitrag zudem den Wandel, den auch professionelle Prozesse mitmachen, weg von geschlossenen und hierarchischen Normen. Das mache die Open-Source-UX-Kultur so interessant und entspreche der eigenen Design-Philosophie des “Design in the Open”. Er habe aus erster Hand erfahren, wie sich die Firmenkultur und die Produkte dadurch verändert hätten.

Der Beitrag Microsoft macht Emojis Open Source erschien zuerst auf Linux-Magazin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Schwachstelle in dem Produktset Funktürschlossantrieb HomeTec Pro CFA3000 und der zugehörigen Funkfernbedienung Wireless remote control CFF3000. Das Unternehmen habe die Schwachstelle gegenüber dem BSI bestätigt, heißt es in der Mitteilung der Behörde.

Abus habe zudem mitgeteilt, dass die Schwachstelle im HomeTec Pro CFA3000 bei dieser Produktgeneration nicht behoben werden könne, weil keine Updatemöglichkeit für den Kunden bestehe, schreibt das BSI weiter (PDF).

Angreifende könnten durch diese Schwachstelle die Ver- und Entriegelung des Produkts aus dem näheren räumlichen Umfeld vornehmen und sich Zugang zu Gebäuden, Büroräumen oder Wohnungen verschaffen, warnt das BSI.

Nach Angaben des Unternehmens Abus handle es sich bei dem Produkt aber um ein Auslaufmodell. Seit März 2021 sei eine Nachfolgegeneration auf dem Markt. Da dieses Nachfolgemodell nach Erkenntnissen des BSI sich aber weder optisch noch durch seine Bezeichnung substantiell von den betroffenen Geräten unterscheide, sei das Kauf- oder Herstellungsdatum eines entsprechenden Geräts kein sicherer Indikator dafür, ob es von der Schwachstelle betroffen sei, lässt das BSI wissen. Identifikationsmöglichkeiten des Nachfolgemodells sollen laut Abus ein Bluetooth-Logo auf dem Produkt oder eine physische QR-Code Karte sei, die beiliege.

Das BSI rät dazu, das HomeTec Pro CFA3000 gegen Alternativen auszutauschen, sollte nicht zweifelsfrei feststehen, dass es sich um die vom Bug nicht betroffene Nachfolgegeneration handelt.

Der Beitrag BSI warnt: Kritische Lücke in Funktürschloss von Abus erschien zuerst auf Linux-Magazin.

Der Kubernetes-Spezialist SysEleven hebt mit dem Start des Produktivbetriebs von MetaKube Accelerator sein Managed Kubernetes-Angebot auf ein neues Niveau: Mit dem Open Source basierten Framework können Organisationen einfacher als je zuvor Softwareprojekte erstellen, zentral verwalten und in der SysEleven OpenStack Cloud betreiben. MetaKube Accelerator richtet sich insbesondere an Software-Agenturen und Unternehmen, die sich auf die Weiterentwicklung der Software-as-a-Service-Lösungen für ihre Kunden fokussieren wollen, ohne sich in den verschiedenen Projekten mit der Verwaltung jeweils identischer Softwarekomponenten beschäftigen zu müssen.

Die Bedienung funktioniert ähnlich wie ein klassischer Softwarekatalog, in dem den Kunden von SysEleven bereits auf Funktionalität, Aktualität und  Kompatibilität getestete Best-Practice-Konfigurationen zur Verfügung gestellt werden. Von diesen  sogenannten Building Blocks müssen  Applikationsentwickler nur noch die für ihre Umgebung erforderlichen Konfigurationen durchführen. Dazu gehören beispielsweise die Bereiche Monitoring und Logging, DNS- und Zertifikatsmanagement sowie Datenhaltung mit MySQL oder Redis.

„Viele Softwareprojekte benötigen immer wieder die gleichen Komponenten. Als Kubernetes-Spezialist übernehmen wir mit MetaKube Accelerator elementare Vorarbeiten und automatisieren die Einrichtung und das Management von Cloud-Native-Anwendungen erheblich“, sagt Marc Korthaus, Geschäftsführer von SysEleven. „Unsere Kunden haben mit unserer Lösung minimalen Aufwand für Wartung und Betrieb auf unserer DSGVO-konformen Kubernetes-Plattform und können ihre knappen IT-Ressourcen schonen.“

Der Beitrag Neuartiges Angebot für Kubernetes-Hosting von SysEleven erschien zuerst auf Linux-Magazin.

Das neue Porjekt Open Cybersecurity Schema Framework (OCSF) soll Sicherheitsteams in Unternehmen helfen, eine schnelle Datenerfassung und -analyse vorzunehmen, ohne zeitaufwändige Normalisierungsaufgaben im Vorfeld zu erledigen.

Das Open Cybersecurity Schema Framework hat der Datenanalyst Splunk gemeinsam mit AWS konzipiert. Es baue zudem auf der ICD-Schema-Arbeit von Symantec auf. Die drei IT-Unternehmen haben nach Angaben von Splunk die Kerndefinitionen des OCSFs erstellt und mit weiteren 15 Mitgliedsunternehmen die erste Version des Projekts veröffentlicht.

Der Standard soll sich in jeder Umgebung, Anwendung oder Lösung einsetzen lassen und bestehende Sicherheitsstandards und –prozesse ergänzen. In dem Maße, in dem Anbieter von Cybersicherheitslösungen OCSF-Standards in ihre Produkte integrieren, werde die Normalisierung von Sicherheitsdaten für Sicherheitsteams einfacher und weniger mühsam werden, heißt es in der Ankündigung von OCSF.

Zu den teilnehmenden Mitgliedern zählen Cloudflare, CrowdStrike, DTEX, IBM Security, IronNet, JupiterOne, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro und Zscaler. Das OCSF-Projekt wird auf Github gehostet und steht unter der Apache License 2.0.

Der Beitrag Open Cybersecurity Schema Framework soll Cyberattacken verhindern erschien zuerst auf Linux-Magazin.

Google Maps wird in Deutschland um eine Funktion ergänzt, die kraftstoffsparende Routen anzeigt. Damit sehen Nutzer neben der schnellsten Route auch die kraftstoffsparendste Route, falls diese nicht bereits die schnellste ist, teilt Google mit.

Auf einen Blick lasse sich so die relative Kraftstoffersparnis und der Unterschied in der geschätzten Ankunftszeit zwischen den Routen sehen. Die Funktion beziehe neben der Streckenlänge auch weitere Faktoren wie die Straßenneigung und Verkehrsstaus in die Berechnung ein. Die Funktion „Kraftstoffsparende Routen“ werde ab sofort in Deutschland eingeführt und stehen in den kommenden Wochen allen Google Maps-Nutzern in iOS und Android zur Verfügung.

Mit dem Start von kraftstoffsparenden Routen in Deutschland werde man in einem Pilotversuch auch die Möglichkeit einführen, dass Nutzer den Motortyp angeben können. Die Auswahl laute dabei auf Benzin, Diesel, Hybrid oder elektrischer Antrieb. Damit soll sich die kraftstoffsparende Routenführung weiter optimiert lassen, da die prozentualen Einsparungen und die empfohlene Route je nach Fahrzeugmotor variieren könne.

In den USA und Kanada hat Google die Funktion bereits eingeführt. Dank des Einsatzes von künstlicher Intelligenz und Erkenntnissen des National Renewable Energy Laboratory (NREL) des US-Energieministeriums, schätzen wir, dass kraftstoffsparende Routen auf Google Maps das Potenzial haben, global über eine Million Tonnen CO2-Emissionen pro Jahr zu vermeiden, schreibt Timo Rang Partner Manager im Google-Blog.

Der Beitrag Google Maps zeigt spritsparende Routen erschien zuerst auf Linux-Magazin.

Canonical hat mit kurzer Verzögerung das erste Point-Release der aktuellen LTS-Version Ubuntu 22.04 alias Jammy Jellyfish freigegeben.

 Die neue Version aktualisiert diverse Pakete und den Kernel 5.15, der gegen die Retbleed-Lücken gepatcht ist. Des Weiteren sind eine ganze Reihe von Sicherheitspatches mit dabei, die sich seit Erscheinen der 22.04 angesammelt haben.

Da neue Funktionen nicht enthalten sind, führt Canonical in der Ankündigung auch die aktuellen Nvidia-Treiber an, die Ubuntu mitbringt. Zudem gebe es einen neuen Steam Snap und eine Reihe von Tools zur Erstellung von Inhalten, darunter Kdenlive, Discord und OBS Studio.

Dass sich die Auslieferung des Point-Release verzögerte, lag an einem Bug in Snapd, der dazu führte, dass bei der OEM-Installation Snaps nicht funktionierten.

Anwender von Ubuntu 20.04 LTS können nach dem Update direkt von ihrem Desktop aus auf die Version 22.04 LTS aktualisieren und werden laut Canonical demnächst auch dazu aufgefordert.

Ubuntu 22.4.1 LTS steht mit frischen Images zum Download. Daneben gibt es ach die offiziellen weiteren Geschmacksrichtungen von Ubuntu wie etwa Kubuntu und Lubuntu in der aktuellen Version.

Der Beitrag Ubuntu 22.04.1 LTS ist fertig erschien zuerst auf Linux-Magazin.

VMware hat kürzlich vier neue Sicherheitslücken in vRealize Operations gemeldet. Desweiteren hat VMWare vor einem im Umlauf befindlichen Exploit für eine ältere Sicherheitslücke gewarnt.

Durch die neuen Schwachstellen in vRealize Operations können Angreifer Root-Rechte erlangen, unbefugte Informationen einsehen oder Befehle mit höheren Rechten ausführen. Bereits Anfang August hatte VMWare vor einigen weiteren Schwachstellen gewarnt und darauf hingewiesen, dass ein schnelles Einspielen von Patches wichtig sei. Entsprechend ist es nicht überraschend, dass bereits jetzt ein Exploit für eine dieser Schwachstellen aufgetaucht
ist. Dieser Exploit greift Schwachstellen in VMWare Workspace ONE Access, Identity Manager und vRealize Automation an. Entfernte Angreifer können damit einen administrativen Zugang erlangen. Auch hat VMWare gemeldet, dass der Exploit Code aktuell vermehrt angewandt wird.

Der Beitrag VMWare: Kritische Sicherheitslücken erschien zuerst auf Linux-Magazin.

Google hat die Version 13 seines mobilen Betriebssystems Android veröffentlicht. Die neue Ausgabe verspricht mehr Sicherheit.

Letzteres geht Google damit an, dass die Zwischenablage nun automatisch nach einiger Zeit gelöscht wird, sollten dort sensible Daten wie Adressen, Telefonnummern oder Logins gespeichert sein, die zuvor kopiert wurden. Zudem verbietet es Android 13, dass Apps Benachrichtigungen verschicken, die nicht ausdrücklich vom Nutzer nach der Installation erlaubt wurden.

Neu ist auch, dass der Anwender bestimmte Fotos und Videos für die Nutzung in anderen Apps freigeben kann. Apps haben damit auf nicht freigegebene Fotos und Videos keinen Zugriff.

Optisch kommt Android 13 in einer weiterentwickelten Version des Material-You-Designs. Dessen Farbschemata lassen sich nun auch auf Apps von Drittanbietern anwenden. Zudem lassen sich einzelnen Apps nun eine zweite Systemsprache zuweisen.

Android 13 gestattet es zudem, dass Nutzer mit passenden Kopfhörern Spatial Audio wählen können, das einen Raumklang simuliert. Android 13 unterstützt auch Bluetooth LE.

Wie gewohnt spielt Google Android 13 zuerst auf die eigenen Pixel-Smartphones ab dem Pixel 4 auf. Es folgen dann andere Hersteller. In welchem Tempo Nutzer Android 13 bekommen, hängt dann auch von denen ab.

Android 13 bietet einen aktualisierten Media Player, der sein Aussehen und seine Bedienung an die Musik anpasst, die gerade läuft. Der Media Player zeigt das Albumcover an und hat eine Wiedergabeleiste, die während des Songs tanzt, teilt Google mit.

Der Beitrag Google hat Android 13 fertig erschien zuerst auf Linux-Magazin.

Ein Forscher hat im Dezember 2021 eine Lücke an Zoom gemeldet. Acht Monate später ist das Problem nicht behoben. Jetzt hat er sie veröffentlicht.

Der Sicherheitsforscher Patrick Wardle hat auf der Hackerkonferenz Def Con mehrere Sicherheitslücken in der Videokonferenzsoftware Zoom präsentiert. Für eine Zero Day unter MacOS gibt es bisher noch keinen Patch. Mit ihm lassen sich die Rechte ausweiten und so eine Schadsoftware als Administrator ausführen. Mehrere andere Fehler hat Zoom bereits behoben. Zuerst hatte das Onlinemagazin The Verge berichtet.

Das Sicherheitsproblem liegt demnach in der Aktualisierungfunktion von Zoom, die beispielsweise Updates einspielt oder die Software entfernt. Diese prüft zwar, ob ein heruntergeladenes Paket kryptografisch signiert wurde, durch einen Fehler in der Prüfungsmethode kann dem Updater jedoch ein beliebiges Zertifikat mit dem gleichen Namen wie das Signierzertifikat von Zoom übergeben werden.

So könnten Angreifer die Überprüfung der zu installierenden Software aushebeln und beispielsweise eine Schadsoftware ausführen. Die Schadsoftware wird durch den Zoom-Updater mit Administratorrechten ausgeführt. Die Sicherheitslücke kann jedoch erst genutzt werden, wenn Angreifer bereits Zugriff auf das System des Betroffenen haben, dann können sie allerdings ihre Rechte ausweiten und haben weitreichenden Zugriff auf das betroffene System.

Gemeldet hatte Wardle die Sicherheitslücke bereits im Dezember 2021. Ein erster Fix führte einen weiteren Fehler ein, mit dem sich die Sicherheitslücke weiterhin ausnutzen ließ, nur eben etwas komplizierter, erklärte Wardle The Verge. Nach acht Monaten habe er sich nun entschlossen, die Sicherheitslücke öffentlich zu machen, auch wenn sie weiterhin nicht behoben sei.

“Für mich war das irgendwie problematisch, weil ich nicht nur die Bugs an Zoom gemeldet habe, sondern auch die Fehler und wie man den Code behebt”, sagte Wardle. “Es war also wirklich frustrierend, sechs, sieben, acht Monate zu warten und zu wissen, dass alle Mac-Versionen von Zoom auf den Computern der Nutzer saßen und anfällig waren.” Durch die Veröffentlichung hofft Wardle, dass der Fehler, der sehr einfach zu beheben sei, nun endlich behoben wird.

Kurz vor der Konferenz hatte Zoom laut The Verge ein Update herausgebracht, das die Lücke beheben sollte. Demnach wird die Update-Datei nun in einen Ordner verschoben, der dem Nutzer Root gehört. Da beim Kopieren die Lese- und Schreibrechte des Nutzers mitkopiert werden, kann dieser auch weiterhin die Datei verändern – und entsprechend auch Angreifer weiterhin die Datei austauschen und ihre Rechte ausweiten.

Matt Nagel, PR-Verantwortlicher für Sicherheit und Datenschutz bei Zoom, sagte in einer Stellungnahme zu The Verge: “Wir sind uns der neu gemeldeten Schwachstelle im Zoom Auto-Updater für macOS bewusst und arbeiten mit Nachdruck daran, sie zu beheben.”

Update: Zoom teilte mit, dass die Sicherheitslücke mittlerweile behoben worden sein soll: “Die neu gemeldete Sicherheitslücke für den MacOS Auto-Updater wurde im Zoom Client für Meetings für die MacOS Version 5.11.5 behoben.”

Der Beitrag Sicherheitslücke in Zoom auch nach acht Monaten offen erschien zuerst auf Linux-Magazin.

Der Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg veranstaltet am Wochenende vom 20./21. August mit Hilfe des FrOSCon e.V. die inzwischen 17. Free and Open Source Software Conference (FrOSCon) in der Hochschule Bonn-Rhein-Sieg in Sankt Augustin bei Bonn.

Nachdem Corona-bedingt die Konferenz in den vergangenen zwei Jahren virtuell abgehalten wurde, ist es dieses Mal wieder eine Präsenzkonferenz. Die Veranstalter weisen aber auf die Maskenpflicht für Teilnehmer hin. Der Eintritt ist dank der Sponsoren frei.

Im Programm sind rund 70 Vorträge zu unterschiedlichen Themenbereichen gelistet.  Außerdem haben sich die Veranstalter einige spezielle Schwerpunkte ausgedacht. Die heißen in diesem Jahr: “Wenn Du kein Wartungsfenster planst, plant es Dein System für Dich – jeder braucht mal eine Pause”; “Jeder nur einen Token – Identität ist das neue Einfallstor”; “A trip down memory lane – The state of embedded systems and TPMs”; “Nicht immer alles richtig machen – Warum eine gute Fehlerkultur wichtig ist”; “Diverse Föderationen – Optionen zur Kommunikation außerhalb der Mainstream-Platformen”.

Auf der Webseite der FrOSCon finden sich alle Informationen für Besucher.

Der Beitrag FrOSCon findet am 20./21. August statt erschien zuerst auf Linux-Magazin.

Die Projektmanagementsoftware OpenProject kann ab sofort Arbeitspakete mit Dateien oder Ordnern verknüpfen, die in Nextcloud gespeichert sind. Darüber hinaus gab es mehrere kleinere Änderungen. Unter anderem warnt OpenProject, wenn ein geändertes Datum andere Arbeitspakete betrifft.

Verlinkt man ein Arbeitspaket mit einer Datei in Nextcloud, taucht diese in OpenProject im Reiter „Dateien“ auf. Dort lassen sich die Dateien direkt herunterladen oder öffnen. Umgekehrt lässt sich über ein OpenProject-Register in Nextcloud ein gewünschtes Arbeitspaket suchen.

Bei den übrigen Neuerungen in OpenProject 12.2 stechen vor allem drei weitere Änderungen hervor: Klappt man in der Leiste am oberen Rand die Liste mit den Projekten auf, kann man von dort direkt ein neues Projekt erstellen. Überarbeitet haben die Entwickler auch das Dialogfenster zum Anlegen von Arbeitspaketen. Unter anderem zeigt es die Auswirkungen auf andere Arbeitspakete an und warnt gegebenenfalls vor Konflikten.

OpenProject kann die Nutzungszeit seiner User protokollieren. Damit lässt sich unter anderem feststellen, welche Anwender wie lange für welche Aktivitäten benötigt hat und dann diese Arbeitszeit mit einem Kunden abrechnen. In der Version 12.2 kann man Administratoren diesbezüglich zwei neue Rechte einräumen: Mit dem ersten dürfen sie die Zeit für andere Nutzer aufzeichnen, mit dem zweiten die zugehörigen Aufzeichnungen editieren beziehungsweise manipulieren.

Der Beitrag OpenProject 12.2 integriert Dateimanagement aus Nextcloud erschien zuerst auf Linux-Magazin.