Dem Forscherteam von Qualys ist es gelungen, eine ältere Sicherheitslücke in OpenSSH, die schon eigentlich längst geschlossen war, erneut auszunutzen. Die neue Lücke wird als CVE-2024-6387 geführt und ist deswegen brisant, weil Sie bei Erfolg dem Angreifer Root-Rechte ohne vorherige Authentifizierung ermöglicht. Die nötigen Bedingungen für ein Ausnutzen der Lücke sind allerdings nicht ganz trivial.
Die gesamte Erläuterung der Sicherheitslücke ist im Bericht von Qualys umfangreich erläutert wollen. Wenn wir es schaffen, werden wir diesen schon Mittwoch im Risikozone-Podcast detaillierter erläutern.
So viel sei gesagt: die Lücke existierte schon mal als CVE-2006-5051, wurde dann gefixt und konnte jetzt (erstmals) ausgenutzt werden, da der eigentlich kritische Teil 2020 wieder versehentlich eingebaut wurde.
Der Fehler selber baut darauf, dass syslog() zur Protokollierung asynchron aufgerufen wird, obwohl die Funktion nicht "async-signal-safe" ist. Kann ein Angreifer Timingeigenschaften ausnutzen, wird er in die Lage versetzt, Code einzuschleusen, der in einem privilegierten Teil von OpenSSH ausgeführt wird. Der Zeitaufwand ist allerdings hierfür nicht zu unterschätzen, da das Codefragment nur bei einem Verbindungstimeout aufgerufen wird.
Es ist gemäß des Qualys-Berichtes hervorzuheben:
Die OpenSSH-Versionen vor 4.4p1 (2006) sind angreifbar, sofern sie nicht explizit gepatcht wurden.
Die OpenSSH-Versionen zwischen 4.4p1 und 8.5p1 (2021) hatten nicht den besagten Code drin.
Die OpenSSH-Versionen ab 8.5p1 hatten den Code wieder drin.
Mit OpenSSH 9.8p1 wurde die Lücke gepatcht.
Mit anderen Worten: abhängig von eurem System ist die Schwachstelle vorhanden, weswegen ihr in eure Distribution schauen solltet, ob es Updates gibt.
OpenSSH ist nichtsdestotrotz im Hinblick auf seine Rolle und Exposition eines der sichersten Programme der Welt. Die Software ist ein sehr stringent abgesicherter Dienst, der u. a. auf Sandboxing-Mechansimen setzt, um den Umfang der Codesegmente, die als root ausgeführt werden, gering zu halten. Diese Lücke ist eine der seltenen Situationen, in der trotzdem ein Security-Bug vorhanden ist. Dabei ist eine Ausnutzung vergleichsweise aufwändig.
Sommer, Sonne, Fediverse.
Bereits zum 3. Mal findet das Fedicamp in Gedelitz statt. Was ist so besonders an dem freien Netzwerk, dass sich jedes Jahr Menschen nicht nur online sondern auch offline treffen und ihren Urlaub miteinander verbringen?
Die OpenEU-Allianz bringt 14 Universitäten und 13 akademische, wirtschaftliche, ländliche, kommunale und zivilgesellschaftliche Verbände aus Europa zusammen, um eine paneuropäische offene…
Ab sofort hat Debian 10 LTS alias Buster das End of Life (EoL) erreicht. Buster ist im Juli 2019 erschienen. Schon 2022 war Debian 10 vom LTS-Team übernommen worden.
Die Raspberry Pi Foundation bietet mit Raspberry Pi Connect Zugriff über den Browser. Die aktuelle Beta-Version erweitert den Dienst auf alle Raspberry Pi-Modelle.
Das Firefox Add-on Enterprise Policy Generator hilft Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Die Version 6.0.0 bringt neue Funktionen.
Europe needs Free Software to master its digital infrastructure
The FSFE calls upon the European Commission to use Free Software to
ensure a secure and resilient digital infrastructure. Software freedom
will also benefit the economy, civil society and
democracy.
The Free Software Foundation Europe (FSFE) provided last evening its input
to the European Commission's consultation on the white paper "How to
master Europe’s digital infrastructure needs?". As an advocate for
software freedom, the FSFE underscores the crucial role of Free
Software in building secure and resilient digital infrastructure for
Europe while strengthening economy, democracy and civil society alike.
Challenges around digital infrastructure occur at global, regional
and local levels, often revolving around control and access.
Collaboration and openness are playing just as important role as the
capability and skills to swiftly and effectively fix issues.
Challenges addressed by the White paper could be addressed by
redirecting IT investments in software freedom instead of procuring
closed source, proprietary software. This approach not only boosts the
European IT landscape and creates jobs but also saves costs and
resources in the medium and long term by avoiding the need to
repeatedly reinvent the the wheel.
“The European digital infrastructure, the European tech
market, the IT skills of Europeans and civil society would greatly
benefit if investments in software adhered to the principle of “Public
money? Public Code!” We need software that fosters the sharing of good
ideas and solutions. Like this we will be able to manage and improve IT
services and digital infrastructure all over Europe. We need software
that guarantees freedom of choice, access, and competition. We need
software that helps public administrations regain full control of their
critical digital infrastructure, allowing them to become and remain
independent from a handful of companies. Therefore, laws and programs
are needed, that publicly financed software developed for public sector
must be made publicly available under a Free Software licence.
Investment in the Free Software ecosystem will pay off quickly while
strengthening Europe infrastructure, economy, democracy and civil
society alike.” , demands Alexander Sander, FSFE’s Senior
Policy Consultant.
The "Public Money? Public Code!"
initiative aims to establish Free Software as the standard for publicly
funded software. The "Public Money? Public Code!" initiative of the
Free Software Foundation Europe is supported by over 200 organizations
and administrations.
Total verrückte Zeiten! Während Canonical kürzlich den Support für Ubuntu LTS via Ubuntu Pro auf 12 Jahre insgesamt ausdehnte, kontert SUSE nun und macht einen dicken fetten grünen Strich durch die Rechnung. Denn künftig werden SUSE Linux Enterprise (SLE) – Produkte insgesamt 19 Jahre lang unterstützt. Den längsten LTS Supportzeitraum gibts bei SUSE Die derzeit […]
Kurz notiert: Debian 10 mit dem Codenamen "buster" erreicht heute das End of Life. Die Unterstützung wurde bis 2022 vom Debian-Team bereitgestellt und dann bis zum heutigen Tage durch das LTS-Team sichergestellt. Damit wurde Debian 10 knapp fünf Jahre durchgängig unterstützt.
Debian 10 wurde am 6. Juli 2019 und somit vor knapp fünf Jahren veröffentlicht. Ausgeliefert wurde das Betriebssystem mit dem Linux-Kernel 4.19. Der letzte Point-Release erfolgte am 10. September 2022, damit endete auch der klassische Security-Support.
Anschließend hat das LTS-Team die Unterstützung am 1. August 2022 mit einer Teilmenge von Architekturen (amd64, i386, amd64, armhf) übernommen, damit Nutzer wichtige Sicherheitsupdates noch erhalten und die Gelegenheit haben, auf den Folge-Release umzustellen. Diese Unterstützung läuft am heutigen Tage aus.
Es ist somit an der Zeit, auf Debian 11 mit dem Codenamen "bullseye" umzustellen. Die Migrationsanleitung ist in den Release Notes für Debian 11 zu finden. Hier wird auch erläutert, mit welchen Breaking Changes zu rechnen ist. Wie üblich, lässt sich der Release über die APT-Konfiguration anheben, gefolgt von einem Upgrade über APT. Die wichtigste Änderung dabei ist, dass das Security-Archiv ein neues Layout hat. Ich habe einige Systeme schon aktualisiert, dabei gab es bei mir keine Probleme. Das sollte auch bei anderen Systemen keine Schwierigkeiten bereiten, wenn sich an den offiziellen Debian-Paketquellen orientiert wird. Die Backports sollte man aber kontrollieren, wenn z. B. ein Backports-Kernel genutzt wurde, um WireGuard schon mit Debian 10 nutzen zu können (erst Debian 11 hat eine Kernelversion, in der WireGuard integriert ist).
Aktuell werden vom Debian-Team die Versionen 11 (bullseye) und 12 (bookworm) als Hauptversionen gepflegt. Das LTS-Team ist eine Gruppe von Freiwilligen, die sich zum Ziel gesetzt hat, eine fünfjährige Unterstützung für Debian-Versionen sicherzustellen. Wer eine zehnjährige Unterstützung benötigt, kann auf entgeltliche ELTS-Angebote wie z. B. von Freexian zurückgreifen.
Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Mit dem Enterprise Policy Generator 6.0 ist nach über vier Jahren nun ein großes Update erschienen, welches Unterstützung für viele neue Unternehmensrichtlinien, Fehlerbehebungen und mehr bringt. Der Plan sieht fünf weitere Updates im Laufe der kommenden drei Monate vor.
Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.
Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, sodass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können.
Neuerungen vom Enterprise Policy Generator 6.0
Manifest v3, Schema-Migrator, Firefox-Kompatibilität und mehr
Entwickler von Browser-Erweiterungen nutzen die sogenannte WebExtension-Architektur. Dabei gibt es die ältere Version des Standards, das sogenannte Manifest v2 (MV2), und dessen Weiterentwicklung, das Manifest v3 (MV3). Enterprise Policy Generator ist nun eine MV3-Erweiterung.
Ein weiteres internes Highlight ist die Implementierung eines Schema-Migrators, der die automatische Migration gespeicherter Konfigurationen ermöglicht, wenn im Rahmen eines Updates dieser Erweiterung die Unterstützung einer Richtlinie zugunsten einer neueren Richtlinie entfernt wird oder sich die Verwendung einer Richtlinie durch zusätzliche Optionen verändert.
Enterprise Policy Generator erfordert jetzt Firefox 115 oder höher. Die mindestens erforderliche Firefox-Version wird außerdem nicht länger für Richtlinien angezeigt, welche vor Firefox 115 implementiert worden sind.
Der Enterprise Policy Generator verfolgt einen selbst generierenden Ansatz, bei dem sich der Aufbau der Oberfläche, das Generieren der Datei policies.json, das Speichern und Laden sowie das Exportieren und Importieren von Konfigurationen vollständig automatisiert aus einer einzelnen internen Konfigurationsdatei ableitet. Zur Unterstützung neuer Unternehmensrichtlinien, welche sich bisher nicht abbilden ließen, wurde die Unterstützung für mehrere zusätzliche Richtlinien-Typen ergänzt.
Für Hinweise zur Versionskompatibilität wird nicht länger das alte Firefox-Logo verwendet, außerdem wurde die Dateigröße diverser Grafiken reduziert. Die Anweisungen für Nutzer von Apple macOS wurden klarer formuliert und es gab diverse kleinere Verbesserungen der Code-Qualität.
Das Update auf Version 6.0 bringt auch diverse Fehlerbehebungen. Dies schließt neben anderen Fehlern Probleme bei Verwendung mehrerer Erweiterungen in der ExtensionSettings-Richtlinie ein, leere Objekte in der generierten Datei policies.json, wenn für bestimmte Richtlinien kein Wert übergeben wurde, oder Fehlermeldungen in der Browserkonsole.
Neue Richtlinie: (fast) beliebige Einstellungen verändern
Eine der wichtigsten neuen Richtlinien im Enterprise Policy Generator 6.0 ist die Preferences-Richtlinie. Diese erlaubt das Setzen quasi beliebiger Einstellungen, die sich auch über about:config finden lassen. Aus Sicherheitsgründen ist allerdings nicht das Verändern tatsächlich jeder Option erlaubt. Insbesondere die security.-Schalter sind stark eingeschränkt. Der Enterprise Policy Generator kommt inklusive Validierung gültiger Optionsnamen.
Neue Richtlinie: Standardanwendungen festlegen
Eine weitere wichtige neue Richtlinie ist die Handlers-Richtlinie. Diese erlaubt es, Standardanwendungen für das Öffnen von Dateien, Protokollen und MIME-Typen festzulegen.
Viele weitere neue und erweiterte Richtlinien
Der Enterprise Policy Generator bringt neben diesen beiden neuen Richtlinien die Unterstützung für noch elf weitere komplett neue Richtlinien, unter anderem zur Konfiguration von Erweiterungen, welche chrome.storage.managed verwenden. Zehn bereits bestehende Richtlinien wurden um zusätzliche Optionen erweitert. Zwei Richtlinien sowie die Option einer weiteren Richtlinie wurden entfernt. Für entfernte Optionen oder Richtlinien, deren Verwendung sich geändert hat, sorgt eine automatische Migration in gespeicherten Konfigurationen für einen reibungslosen Ablauf nach dem Update der Erweiterung.
Eine vollständige Übersicht über alle neuen und verbesserten Richtlinien im Enterprise Policy Generator 6.0 gibt es im offiziellen Changelog der Erweiterung.
Ausblick: Weitere fünf Updates in den nächsten drei Monaten
So lange Nutzer auf dieses Update warten mussten, so schnell soll es jetzt gehen: Während der Enterprise Policy Generator viele Verbesserungen unter der Haube brachte, die Unterstützung aller Unternehmensrichtlinien komplettierte, die im Lebenszyklus von Firefox ESR 68 implementiert worden sind, ebenso wie einen großen Teil der Richtlinien aus Firefox ESR 78, gibt es noch einige Richtlinien und Optionen mehr zu unterstützen. Der Enterprise Policy Generator 6.0 bietet die optimale Grundlage, um diese und zukünftige Richtlinien in angemessener Zeit bereitzustellen. So geht es weiter:
Enterprise Policy Generator 6.1: Komplettierung der Richtlinien aus Firefox ESR 78 (3 neue, 1 überarbeitete Richtlinie)
Enterprise Policy Generator 6.2: Richtlinien aus Firefox ESR 91 (4 neue, 4 überarbeitete Richtlinien, Fertigstellung der öffentlichen Dokumentation)
Enterprise Policy Generator 7.0: Veröffentlichung am 1. Oktober (End-of-Life von Firefox 115), erfordert mindestens Firefox 128, interne CSS-Überarbeitung, Dark Mode, Richtlinien Firefox 116 bis Firefox 128.0 (8 neue, 2 überarbeitete Richtlinien)
Enterprise Policy Generator 7.x: nach Bedarf für Unterstützung neuer Unternehmensrichtlinien während der Lebenszeit von Firefox ESR 128
Enterprise Policy Generator 8.0: Thunderbird-Unterstützung bei entsprechendem Interesse, Veröffentlichung unbekannt
Entwicklung unterstützen
Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.
Mit InvoiceNinja schreibst Du professionell Deine Rechnung auch von unterwegs, einmal auf einen Server installiert und schon kann es losgehen. Free open Source und kostenfrei. Eine Kurzvorstellung
Keine andere Plattform hat die Softwareentwicklung in den letzten zehn Jahren nachhaltiger beeinflusst als die serverseitige Javascript-Laufzeitumgebung Node.js. Wir erklären, wie man damit arbeitet. (Softwareentwicklung, Mac OS X)
Am Wochenende wurden Debian GNU/Linux 12.6 und Debian GNU/Linux 11.10 freigegeben. Wegen der xz Backdoor erschien Debian 12.6 fast drei Monate später als geplant..
Das Debian-Projekt hat am 29. Juni 2024 offiziell Debian 12.6, mit dem Codenamen „Bookworm“, veröffentlicht. Dieses Update bringt zahlreiche Korrekturen und Sicherheitsupdates, die es sowohl für bestehende Nutzer als auch für Neueinsteiger attraktiv machen. Sicherheitsverbesserungen Debian 12.6 legt einen starken Fokus auf Sicherheit und behebt mehrere Schwachstellen in verschiedenen Paketen. Dies sorgt für eine robustere […]
Bei ownCloud handelt es sich, ähnlich wie bei Nextcloud, um eine Datei-Synchronisationslösung, die aus einem Server- und einem Client-Teil besteht. Der Serverteil kannst du bei dir zu Hause im Selfhosting betreiben.
Wenn ihr auf der Suche nach einer starken Alternative zu Microsoft OneNote seid, dann bleibt dran, denn heute stelle ich Euch eine App vor, die verdammt nah rankommt. Eine App, die sowohl eure persönlichen als auch professionellen Notizbedürfnisse abdeckt. Also, lasst uns gleich loslegen und einen genaueren Blick auf die Hauptfunktionen und Vorteile werfen. Wichtige […]
In diesem Video zeigt Jean, welche Probleme es mit Flatpaks und dem Flathub-Repository gibt und ob es noch eine Daseinsberechtigung für Flatpak gibt.
Wenn Du das Video unterstützen willst, dann gib bitte eine Bewertung ab, und schreibe einen Kommentar. Vielen Dank!
Links:
-------------------------------------
Programme auf Linux installieren: https://www.youtube.com/watch?v=35cgN_dPgGw
Linux-Guides Merch*: https://linux-guides.myspreadshop.de/
Professioneller Linux Support*: https://www.linuxguides.de/linux-support/
Linux-Arbeitsplatz für KMU & Einzelpersonen*: https://www.linuxguides.de/linux-arbeitsplatz/
Linux Mint Kurs für Anwender*: https://www.linuxguides.de/kurs-linux-mint-fur-anwender/
Offizielle Webseite: https://www.linuxguides.de
Forum: https://forum.linuxguides.de/
Unterstützen: http://unterstuetzen.linuxguides.de
Mastodon: https://mastodon.social/@LinuxGuides
X: https://twitter.com/LinuxGuides
Instagram: https://www.instagram.com/linuxguides/
Kontakt: https://www.linuxguides.de/kontakt/
0:00 Begrüßung
1:00 Vorteil von Flatpak
2:57 Beispiel des Linux-Assistant
4:53 Kritikpunkt 1: hoher Ressourcenverbrauch
7:50 Kritikpunkt 2: zweifelhaftes Berechtigungssystem
9:44 Flatpak mit dem Terminal
12:21 Kritikpunkt 3: Integration mit anderen Anwendungen
13:20 Keine man page Unterstützung
14:27 Flathub als Fluch und Segen
17:41 Einschub: zip Anwendungen installieren
20:40 Fazit zu Flathub
22:10 Normale Installation statt Flatpak
23:50 Anwendungen unter Linux installieren
25:03 FAZIT: Hat Flatpak noch eine Daseinsberechtigung?
27:56 Image-basierte Systeme
30:28 Verabschiedung
Haftungsausschluss:
-------------------------------------
Das Video dient lediglich zu Informationszwecken. Wir übernehmen keinerlei Haftung für in diesem Video gezeigte und / oder erklärte Handlungen. Es entsteht in keinem Moment Anspruch auf Schadensersatz oder ähnliches.
FOSSWELT will deutschsprachige Projekte und Teilhaber aus dem Foss-Umfeld näher zusammenbringen, um Synergien zu schaffen und unsere Nische auszuweiten.
Anmelden
