Mozilla hat Firefox 145.0.1 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 145.0.1

Mit dem Update auf Firefox 145.0.1 wird die Übersetzungsfunktion nicht länger als „Beta” gekennzeichnet.

In veralteten Versionen von Windows 10 war es nicht möglich, Firefox über den Desktop-Launcher zu starten.

In der seit Firefox 145 neuen Sidebar für Passwörter waren die maskierten Passwort-Zeichen für einen kurzen Augenblick zu sehen, wenn beim Bearbeiten das Passwort-Feld geleert und der Eintrag dann gespeichert werden sollte.

Mehrere Webkompatibilitätsprobleme wurden behoben. Außerdem war mit den Entwicklerwerkzeugen nicht länger das Speichern aller Anfragen als HAR möglich.

Der Beitrag Mozilla veröffentlicht Firefox 145.0.1 erschien zuerst auf soeren-hentzschel.at.

Das extrem leichtgewichtige Live-System Finnix hilft vor allem bei der Reparatur und Datensicherung.

Das extrem leichtgewichtige Live-System Finnix hilft vor allem bei der Reparatur und Datensicherung.

openSUSE Tumbleweed führt mit neuen Installationen eine deutliche Änderung im Startprozess ein. Das System verwendet nun standardmäßig eine aktualisierte Variante des bekannten Boot Programms Grub. Diese Lösung folgt einem frischen Konzept, das einzelne Einträge für jeden Kernel nutzt und so den Aufbau des Startmenüs einfacher und klarer macht. Der bisher genutzte zentrale Ablaufplan wird damit […]

Der Beitrag openSUSE Tumbleweed setzt künftig auf GRUB2-BLS bei neuen Installationen erschien zuerst auf fosstopia.

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Mit dem Enterprise Policy Generator 7.2 ist nun ein Update erschienen.

Download Enterprise Policy Generator für Firefox

Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, sodass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können.

Neuerungen vom Enterprise Policy Generator 7.2

Der Enterprise Policy Generator 7.2 bringt Unterstützung für die BrowserDataBackup-Richtlinie, welche in Firefox 145 und höher genutzt werden kann, um die Verwendung eines neuen Features für Firefox-Backups zu aktivieren respektive zu deaktivieren.

Außerdem kann über die Preferences-Richtlinie jetzt auch die Option security.webauthn.always_allow_direct_attestation gesetzt werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Enterprise Policy Generator 7.2 für Firefox veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Nitrux ist eine moderne Distribution, die sich an Anwender mit leistungsstarker Hardware richtet, die Konfiguration als Gewinn und nicht als lästige Pflicht ansehen.

Mozilla hat eine neue Version von Thunderbird veröffentlicht. Die beliebte Anwendung steht nun als Ausgabe 145 bereit und bringt einige wichtige Neuerungen für den täglichen Einsatz. Viele Änderungen betreffen die technische Basis, doch auch sichtbare Verbesserungen sind dabei. Eine zentrale Neuerung betrifft die Anbindung an Exchange Systeme. Thunderbird kann nun direkt mit Exchange Web Services […]

Der Beitrag Thunderbird 145 bringt moderne Technik, mehr Sicherheit und Microsoft Exchange Support erschien zuerst auf fosstopia.

Die neue Ausgabe von Debian 13.2 ist knapp zwei Monate nach Debian 13.1 erschienen und vereint zahlreiche Korrekturen der letzten Wochen in einem stimmigen Paket. Das Projekt richtet den Fokus klar auf Sicherheit und Stabilität und liefert damit eine gestärkte Grundlage für neue und bestehende Systeme. Viele weit verbreitete Programme wurden bedacht. Dazu gehören zentrale […]

Der Beitrag Debian 13.2 bringt Korrekturen und stärkt die Sicherheit des Systems erschien zuerst auf fosstopia.

Aktuell schreibe ich hier mehr zu Docker als mir lieb ist. Es ist eigentlich absurd: Ich verwende Docker seit Jahren täglich und in der Regel ohne irgendwelche Probleme. Aber in den letzten Wochen prasseln Firewall-Inkompatibilitäten und anderer Ärger förmlich über Docker-Anwender herein.

Konkret geht es in diesem Beitrag um zwei Dinge:

• Mit dem Update auf containerd 1.7.28 hat Docker eine Sicherheitslücke durch eine zusätzliche AppArmor-Regel behoben. Das ist eigentlich gut, allerdings führt diese Sicherheitsmaßnahme zu Ärger im Zusammenspiel mit gewissen Containern (z.B. immich) unter Host-Systemen mit AppArmor (Ubuntu, Proxmox etc.)

• Docker Engine 29 verlangt die API-Version 1.44 oder neuer. Programme, die eine ältere API-Version verwenden, produzieren dann den Fehler Client Version 1.nnn is too old. Betroffen ist/war unter anderem das im Docker-Umfeld weit verbreitete Programm Traefik.

AppArmor-Problem / net.ipv4.ip_unprivileged_port_start permission denied

Im Anfang war der Bug, in diesem Fall CVE-2025-52881. Ein Angreifer kann runc (das wiederum Teil von containerd.io ist) mit Shared Mounts dazu bringen, /proc-Schreibvorgänge auf andere procfs-Dateien umzuleiten. Das ist wiederum sicherheitstechnisch ziemlich ungünstig (Severity ist High). Docker hat das Problem mit containerd 1.7.28-2 behoben — aber jetzt spießt es sich mit AppArmor, das nicht mehr den kompletten Pfad sieht und deswegen eingreift. Der Docker-Security-Fix kann auf Hosts mit AppArmor also dazu führen, dass auch korrekte Zugriffe blockiert werden. Die beste Beschreibung gibt dieser Blog-Beitrag.

Ich kann aus eigener Erfahrung nicht viel zu diesem Problem sagen. Ich betreibe aktuell kein System, das betroffen ist. Besonders oft tritt der Bug in Kombination mit Proxmox oder LXC auf (siehe dieses containerd Issue). Aber auch die weit verbreitete immich.app zum Foto-Management ist betroffen (siehe diese Diskussion).

Die in den verlinkten Beiträgen präsentierten Lösungsvorschläge sind leider allesamt wenig überzeugend: Das Docker-Update nicht durchführen/blockieren, eine alte Docker-Version re-installieren, AppArmor-Regeln ändern etc.

Client Version too old

Vollkommen unabhängig vom ersten Probem, aber fast zeitgleich aufgetreten ist der Fehler Client Version 1.nnn too old. Er resultiert daraus, dass die Docker Engine ab Version 29 für die API-Steuerung zumindest die API-Version 1.44 voraussetzt. (Bis zur Docker Enginge 28 reichte die API-Version 1.24.)

docker version

  ...
  Server: Docker Desktop 4.51.0 (210443)
   Engine:
     Version:          29.0.0
     API version:      1.52 (minimum version 1.44)    <------
  ...

Wenn nun ein Programm eine ältere API-Version nutzt, kommt es zum in der Überschrift genannten Fehler. Betroffen ist davon Traefik. (Das ist ein HTTP-Reverse-Proxy für Microservices und Container-Umgebungen.) Dort ist das Problem bekannt und wurde vorgestern mit Traefik Version 3.6.1 behoben.

Wenn Sie also ein Update auf die neueste Docker-Version durchführen, müssen Sie in compose.yaml für die Traefik-Version 3.6.1 oder einfach 3 oder latest angeben. Denken Sie daran, vor einem Neustart der Container ein Update des Traefek-Images mit docker pull traefik zu erledigen!

sudo apt full-upgrade -y
cd /mein/projekt/verzeichnis
docker pull traefik
docker compose down
docker compose up -d

Quellen/Links

AppArmor-Problem / net.ipv4.ip_unprivileged_port_start permission denied (containerd 1.7.28)

• https://github.com/containerd/containerd/issues/12484
• https://nvd.nist.gov/vuln/detail/CVE-2025-52881
• https://github.com/immich-app/immich/discussions/23644
• https://blog.ktz.me/apparmors-awkward-aftermath-atop-proxmox-9/

Client Version 1.nn is too old (Docker Engine 29)

• https://docs.docker.com/engine/release-notes/29/
• https://www.docker.com/blog/docker-engine-version-29/
• https://github.com/traefik/traefik/issues/12253
• https://forums.docker.com/t/docker-29-increased-minimum-api-version-breaks-traefik-reverse-proxy/150384
• https://github.com/traefik/traefik/issues/12253
• https://docs.docker.com/engine/deprecated/#deprecate-legacy-api-versions

KI dringt in alle Lebensbereiche vor und macht auch vor Open Source nicht Halt. Mozilla geht von Beginn an offensiv mit dem Thema um und handelt sich heftige Kritik aus der Community ein.

Red Hat hat die Verfügbarkeit von Red Hat Enterprise Linux (RHEL) 10.1 bekannt gegeben. Die neue Ausgabe der Unternehmensplattform setzt auf den aktuellen Kernel 6.12. Der Schwerpunkt liegt auf moderner KI und hoher Sicherheit für anspruchsvolle Umgebungen. Die Version richtet sich vor allem an Firmen und Nutzer mit stark regulierten Abläufen. Ein zentrales Thema ist […]

Der Beitrag RHEL 10.1 startet mit neuen Funktionen für KI und Sicherheit erschien zuerst auf fosstopia.

Das KDE Projekt hat die Version 6.4.6 von Plasma veröffentlicht. Es ist die letzte Wartungsausgabe der 6.4 Reihe und bringt zahlreiche Korrekturen, die Stabilität und Alltagstauglichkeit verbessern. Viele kleine, aber spürbare Anpassungen sorgen für ein rundes Nutzererlebnis vor dem Start der kommenden Generation. Ein Schwerpunkt liegt diesmal auf der Behebung von Fehlern in den Systemeinstellungen […]

Der Beitrag KDE Plasma 6.4.6 schließt letzte Lücken vor dem großen Versionssprung erschien zuerst auf fosstopia.

Mozilla hat Firefox 145 für Android veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 145 für Android.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 145 für Android

Verbesserte Sicherheit für Firefox-Nutzer

Firefox erzwingt nun die sogenannte „Certificate Transparency“ und verlangt von Webservern einen ausreichenden Nachweis, dass ihre Zertifikate öffentlich bekannt gegeben wurden, bevor sie als vertrauenswürdig eingestuft werden. Dies betrifft nur Server, welche Zertifikate verwenden, die von einer Zertifizierungsstelle in Mozillas Stammzertifikats-Programm ausgestellt wurden.

Firefox ist der erste und einzige Browser, der eine schnelle und umfassende Überprüfung von Zertifikatswiderrufen durchführt, ohne dass dabei die Browsing-Aktivitäten an Dritte (nicht einmal an Mozilla) weitergegeben werden. Dazu nutzt Firefox seinen CRLite-Mechanismus. Gegenüber OCSP resultiert bringt dies außerdem eine Verbesserung der Zeiten für den TLS-Handshake. Außerdem spart Mozillas Implementierung Traffic: Im Vergleich mit Google Chrome wird nur die Hälfte der Bandbreite benötigt, obwohl die Häufigkeit der Updates doppelt so hoch ist, während dennoch alle Wiederrufe enthalten sind. Im Übrigen stellt Mozilla sein CRLite-Backend als Open Source auch für andere Anwendungen zur Verfügung.

Firefox 145 für Android unterstützt außerdem ML-KEM (mlkem768x25519) in TLS 1.3 und HTTP/3, einem Ansatz der nächsten Generation zum Schutz vor zukünftigen Quantenangriffen.

Verbesserungen der Übersetzungsfunktion

Firefox besitzt eine Übersetzungsfunktion für Websites, welche im Gegensatz zu Cloud-Übersetzern wie Google Translate lokal arbeitet, die eingegebenen Texte also nicht an einen fremden Server sendet.

Die Übersetzungsmodelle werden nun mittels zstd komprimiert, womit diese weniger Platz benötigen und schneller heruntergeladen werden können.

Verbessert wurden auch die Übersetzungen in Sprachen mit zur Quellsprache entgegengesetzter Schreibrichtung.

Sonstige Neuerungen von Firefox 145 für Android

Firefox für Android verwendet jetzt einen modernen Rust-basierten Netzwerk-Stack für QUIC und HTTP/3, der schnellere, zuverlässigere Verbindungen und eine verbesserte Gesamtleistung bietet.

Lesezeichen-Ordner können auf Wunsch jetzt auch alphabetisch sortiert werden.

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube. Unter anderem wurde das Verhalten von :hover beim langen Drücken auf einen Link an das Verhalten von Chrome auf Android und Safari auf iOS angeglichen. Außerdem können jetzt auch <hr>-Elemente innerhalb eines <select>-Elements dargestellt werden.

Der Beitrag Mozilla veröffentlicht Firefox 145 für Android erschien zuerst auf soeren-hentzschel.at.

Canonical hat die Supportlaufzeit für Ubuntu Pro deutlich verlängert. Mit dem sogenannten Legacy Add-on erhalten Langzeitversionen von Ubuntu nun bis zu 15 Jahre Sicherheits- und Wartungsunterstützung. Diese Erweiterung richtet sich besonders an Unternehmen, die auf stabile, langjährige IT-Infrastrukturen angewiesen sind. Ursprünglich bot Ubuntu Pro bereits zehn Jahre Support: fünf Jahre reguläre Sicherheitsaktualisierungen und fünf Jahre […]

Der Beitrag Ubuntu Pro erweitert Support: Bis zu 15 Jahre Sicherheit und Stabilität erschien zuerst auf fosstopia.

Mit der aktuellen Version 145 beendet Mozilla die Unterstützung für 32-Bit-Systeme. Wer auf 32-Bit angewiesen ist, kann mit Firefox ESR 140.x noch bis September 2026 weitersurfen.

Red Hat veröffentlichte seine Distributionen Red Hat Enterprise Linux 10.1 und 9.7.

Das Budgie-Team hat Version 10.9.4 seiner beliebten Desktop-Umgebung veröffentlicht. Der Fokus dieses Updates liegt auf technischen Verbesserungen im Hintergrund, weniger auf sichtbaren Neuerungen für Anwender. Die Veröffentlichung bereitet die kommende Hauptversion 10.10 vor und sorgt für eine modernere Basis im Code. Zu den wichtigsten Änderungen gehört die Unterstützung für libpeas 2 und Girepository 2.0. Damit […]

Der Beitrag Budgie 10.9.4 modernisiert die Basis für kommende Version 10.10 erschien zuerst auf fosstopia.

Die Open-Source-Anwendung Bottles, die auf Wine basiert, macht es Linux-Nutzern seit Jahren leichter, Windows-Programme und Spiele auszuführen. Nun ist Version 52.1 erschienen und bringt einige spannende Neuerungen, die den Alltag vieler Anwender verbessern dürften. Die größte Neuerung betrifft die Einführung eines Spielzeit-Trackings. Bottles sammelt nun Sitzungsdaten über einen neuen Backend-Dienst und zeigt erste Statistiken direkt […]

Der Beitrag Bottles 52.1 bringt Spielzeit-Tracking und neue Automatisierung für Linux-Nutzer erschien zuerst auf fosstopia.

Mozilla hat Firefox 145 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Bester Fingerprinting-Schutz aller Browser

Basierend auf Mozillas Forschung zur Reduzierung des digitalen Fingerabdrucks hat Mozilla die nächste Stufe seines Fingerprinting-Schutzes im strengen Modus des Schutzes vor Aktivitätenverfolgung sowie in privaten Fenstern aktiviert. In Zukunft sollen die neuen Maßnahmen für alle Nutzer aktiviert werden.

Die neuen Schutzmaßnahmen reduzieren den Prozentsatz der als einzigartig angesehenen Nutzer fast um die Hälfte. Nach Angaben von Mozilla ist Firefox dank der neuen Abwehrmaßnahmen der erste Browser mit einem solch tiefen Einblick in Fingerprinting und der Browser mit den wirksamsten Maßnahmen zur Reduzierung des Fingerabdrucks.

Ebenfalls neu im strengen Schutz vor Aktivitätenverfolgung ist der zustandslose Modus des Bounce-Tracking-Schutzes, um fortgeschrittene Tracking-Methoden zu blockieren, die auf Weiterleitungen basieren.

Zugriff auf gespeicherte Zugangsdaten über Sidebar

Neben dem Zugriff auf gespeicherte Passwörter via about:logins kann jetzt auch über eine neue Sidebar auf die Zugangsdaten zugegriffen werden, die parallel zur aktiven Website sichtbar ist.

Überblick über Tabs in geschlossenen Tab-Gruppen

Wird mit der Maus über eine geschlossene Tab-Gruppe gefahren, sieht man nun alle Tabs aufgelistet, welche sich in dieser Tab-Gruppe befinden.

Kommentare in PDF-Dateien

Der integrierte PDF-Betrachter wurde um die Möglichkeit erweitert, Textstellen zu kommentieren. Neben einer farblichen Markierung der entsprechenden Textstelle kann der jeweilige Kommentar über eine Schaltfläche ein- oder ausgeblendet werden. Über eine Schaltfläche in der Symbolleiste können alle Kommentare der PDF-Datei angezeigt und direkt zu diesen gesprungen werden.

Verbesserungen der Übersetzungsfunktion

Firefox besitzt eine Übersetzungsfunktion für Websites, welche im Gegensatz zu Cloud-Übersetzern wie Google Translate lokal arbeitet, die eingegebenen Texte also nicht an einen fremden Server sendet. Mit Firefox 145 hat Mozilla den dafür benötigten RAM-Bedarf erheblich verbessert.

Die Übersetzungsmodelle werden nun mittels zstd komprimiert, womit diese weniger Platz benötigen und schneller heruntergeladen werden können.

Verbessert wurden auch die Übersetzungen in Sprachen mit zur Quellsprache entgegengesetzter Schreibrichtung.

Außerdem wurde die Seite about:translations, über welche es möglich ist, beliebigen Text in ein Textfeld einzugeben und sich diesen dann von Firefox übersetzen zu lassen, verbessert. Das Design wurde überarbeitet und das Eingabefeld wird bei viel Text nun automatisch größer.

Link zur Hervorhebung kopieren

Auf einen bestimmten Abschnitt einer Website zu verlinken, ist über einen sogenannten Ankerlink (example.com#anker) kein Problem. Voraussetzung dafür ist, dass das zu verlinkende Element eine ID im Code hat, welche als Ankername verwendet werden kann. Was auf den etwas sperrigen Namen „URL Fragment Text Directives“ hört, bietet weitaus mehr Flexibilität. Nicht nur, dass man damit auch ohne ID im Code, sondern rein über den Inhalt der Website auf eine beliebige Stelle verlinken kann, der Browser hebt die verlinkte Stelle auch noch optisch hervor.

Bereits seit Firefox 137 unterstützt Mozillas Browser dieses Feature. Firefox 145 ergänzt einen Kontextmenü-Eintrag für markierten Text, um selbst einen solchen Link zu erzeugen.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 145 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 145 daher für alle Nutzer dringend empfohlen.

Wird Firefox zum Beispiel über eine Umgebungsvariable mit deaktivierter Sandbox gestartet, zeigt Firefox nach dem Start jetzt eine Benachrichtigung darüber an. Außerdem wurde eine Sandbox für den GPU-Prozess auf macOS aktiviert.

Sonstige Endnutzer-Neuerungen in Firefox 145

Firefox 145 bringt eine minimale Anpassung des Browser-Designs, indem diverse Elemente der Oberfläche wie die Tabs, die Adressleiste und Buttons etwas runder wurden.

Eine neue Einstellung „Links aus Apps neben Ihrem aktiven Tab öffnen“ wurde hinzugefügt, um Links aus anderen Anwendungen neben dem aktiven Tab statt am Ende der Tableiste öffnen.

Sind keine Erweiterungen installiert, wird bei Klick auf das Erweiterungs-Symbol in der Navigations-Symbolleiste nun eine Meldung angezeigt, dass Erweiterungen das Surferlebnis verbessern können.

Wenn Firefox so konfiguriert ist, dass keine Chronik gespeichert wird, was einem „permanenten privaten Modus” entspricht, ist bei der Installation neuer Erweiterungen die Checkbox, um Erweiterung in privaten Fenstern auszuführen, nun standardmäßig aktiviert.

Für Windows-Nutzer wurde die bestehende Desktop-Verknüpfung mit einem neuen Desktop-Launcher ersetzt. Dieser startet Firefox, sofern installiert, und ermöglicht ansonsten die Installation von Firefox. Damit sollen Nutzer, die einen neuen Windows-Computer kaufen (zum Beispiel, weil sie von Windows 10 auf Windows 11 umsteigen wollen) und ihren Desktop über Microsoft OneDrive oder eine vergleichbare Lösung sichern, einen einfachen und von der Synchronisation unabhängigen Weg haben, um auch auf dem neuen Computer Firefox zu nutzen.

Das Debugger-Entwicklerwerkzeug formatiert minifizierten Quellcode nun automatisch lesbar.

Verbesserungen der Webplattform und für Erweiterungs-Entwickler

Firefox unterstützt jetzt das Matroska-Containerformat für die Codecs AVC, HEVC, VP8, VP9, AV1, AAC, Opus und Vorbis.

Neu ist auch die Unterstützung der WebGPU-API auf Geräten mit Apple Silicon und macOS 26 und höher. Auf Windows wird diese Schnittstelle bereits seit Firefox 141 unterstützt.

Über den Integrity-Policy-Header kann eine Website die Integrität von Unterressourcen für Skripte gewährleisten.

Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Firefox erscheint nicht länger für 32-Bit-Linux

Firefox 145 und höher unterstützen nicht länger Linux-Systeme mit 32-Bit-CPU. Eine 64-Bit-CPU wird also vorausgesetzt. Die meisten Linux-Distributionen und Browser unterstützen solche Systeme schon seit langer Zeit nicht mehr. Firefox ESR 140, die Firefox-Version mit Langzeit-Unterstützung, wird weiterhin und bis mindestens September 2026 auf Linux-Systemen mit 32-Bit-CPU laufen.

Der Beitrag Mozilla veröffentlicht Firefox 145 erschien zuerst auf soeren-hentzschel.at.

MX Linux 25 auf der Basis von Debian 13 »Trixie« setzt für maximale Kompatibilität mit dem Debian-Ökosystem mehr als bisher auf systemd. Im Installer wird zudem jetzt Secure Boot unterstützt.

Das Linux Mint Team hat im Oktober 2025 Newsletter ein neues Cinnamon Menü und zwei neue Werkzeuge vorgestellt, die den Alltag vieler Nutzer vereinfachen sollen: System Information und System Administration. Projektleiter Clement Lefebvre kündigte die Erweiterungen im monatlichen Entwicklungsbericht an und gab einen Einblick in kommende Verbesserungen für die beliebte Linux Distribution. Das neue Menü der kommenden Cinnamon-Version […]

Der Beitrag Linux Mint bringt neues Menü und Werkzeuge für Systemverwaltung und Hardwareanalyse erschien zuerst auf fosstopia.

Mozilla beendet als letzter großer Browser-Hersteller die Ära der 32-Bit-Unterstützung. Eine Schonfrist bietet für ein weiteres Jahr die Version Firefox ESR 140.x.

Mozilla hat die finale Version des Firefox 145 veröffentlicht, deren offizieller Start für den 11. November 2025 geplant ist. Mit diesem Update endet die Unterstützung für 32-Bit-Systeme unter Linux, wie bereits angekündigt. Künftig werden ausschließlich 64-Bit- und ARM64-Versionen des Browsers bereitgestellt. Wie Mozilla erklärt, unterstützen die meisten modernen Linux-Distributionen 32-Bit-Systeme nicht mehr aktiv. Die Pflege […]

Der Beitrag Mozilla beendet 32-Bit-Support für Linux: Firefox 145 markiert den Beginn einer neuen Ära erschien zuerst auf fosstopia.

Ca. seit 2020 kommt nftables (Kommando nft) per Default als Firewall-Backend unter Linux zum Einsatz. Manche Distributionen machten den Schritt noch früher, andere folgten ein, zwei Jahre später. Aber mittlerweile verwenden praktisch alle Linux-Distributionen nftables.

Alte Firewall-Scripts mit iptables funktionieren dank einer Kompatibilitätsschicht zum Glück größtenteils weiterhin. Viele wichtige Firewall-Tools und -Anwendungen (von firewalld über fail2ban bis hin zu den libvirt-Bibliotheken) brauchen diese Komaptibilitätsschicht aber nicht mehr, sondern wurden auf nftables umgestellt.

Welches Programm ist säumig? Docker! Und das wird zunehmend zum Problem.

Update 11.11.2025: In naher Zukunft wird mit Engine Version 29.0 nftables als experimentelles Firewall-Backend ausgeliefert. (Aktuell gibt es den rc3, den ich aber nicht getestet habe. Meine lokalen Installationen verwenden die Engine-Version 28.5.1.) Ich habe den Artikel diesbezüglich erweitert/korrigiert. Sobald die Engine 29 ausgeliefert wird, werde ich das neue Backend ausprobieren und einen neuen Artikel verfassen.

Docker versus libvirt/virt-manager

Auf die bisher massivsten Schwierigkeiten bin ich unter Fedora >=42 und openSUSE >= 16 gestoßen: Wird zuerst Docker installiert und ausgeführt, funktioniert in virtuellen Maschinen, die mit libvirt/virt-manager gestartet werden, das NAT-Networking nicht mehr. Und es bedarf wirklich einiger Mühe, den Zusammenhang mit Docker zu erkennen. Die vorgebliche »Lösung« besteht darin, die libvirt-Firewall-Funktionen von nftables zurück auf iptables zu stellen. Eine echte Lösung wäre es, wenn Docker endlich nftables unterstützen würde.

# in der Datei /etc/libvirt/network.conf
firewall_backend = "iptables"

Danach starten Sie den libvirt-Dämon dann neu:

sudo systemctl restart libvirtd

Weitere Infos gibt es hier und hier. Die openSUSE-Release-Notes weisen ebenfalls auf das Problem hin.

Sicherheitsprobleme durch offene Ports

Weil Docker iptables verwendet, ist es mit nftables oder firewalld nicht möglich, Container mit offenen Ports nach außen hin zu blockieren. Wenn Sie also docker run -p 8080:80 machen oder in compose.yaml eine entsprechende Ports-Zeile einbauen, ist der Port 8080 nicht nur auf dem lokalen Rechner sichtbar, sondern für die ganze Welt! nftables- oder firewalld-Regeln können dagegen nichts tun!

Deswegen ist es wichtig, dass Docker-Container möglichst in internen Netzwerken miteinander kommunizieren bzw. dass offene Ports unbedingt auf localhost limitiert werden:

# Port 8080 ist nur für localhost zugänglich.
docker run -p localhost:8080:80 ...

Ihre Optionen in compose.yaml sehen so aus:

```bash
# compose.yaml
# Ziel: myservice soll mit anderem Container
# in compose.yaml über Port 8888 kommunizieren
services:
  myservice:
    image: xxx
    ports:
      # unsicher!
      # - "8888:8888"
      # besser (Port ist für localhost sichtbar)
      # - "127.0.0.1:8888:8888"
      # noch besser (Port ist nur Docker-intern offen)
      - "8888"
  otherservice:
    ...

Die sicherste Lösung besteht darin, die Container ausschließlich über ein Docker-internes Netzwerk miteinander zu verbinden (siehe backend_network im folgenden schablonenhaften Beispiel). Die Verbindung nach außen für die Ports 80 und 443 erfolgt über ein zweites Netzwerk (frontend_network). Die Angabe des drivers ist optional und verdeutlicht hier nur den Default-Netzwerktyp.

# compose.yaml
# am besten: die beiden Services myservice und
# nginx kommunizieren über das interne Netzwerk 
# miteinander
services:
  myservice:
    build: .
    ports:
      - "8888:8888"
    networks:
     - backend_network
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf
      - /etc/mycerts/fullchain.pem:/etc/nginx/ssl/nginx.crt
      - /etc/mycerts/privkey.pem:/etc/nginx/ssl/nginx.key
    depends_on:
      - myservice
    networks:
      - frontend_network
      - backend_network
networks:
  # Verbindung zum Host über eine Bridge
  frontend_network:
    driver:   bridge
  # Docker-interne Kommunikation zwischen den Containern
  backend_network:
    driver:   bridge
    internal: true

Restriktive Empfehlungen

Docker hat es sich zuletzt sehr einfach gemacht. Auf https://docs.docker.com/engine/install/ubuntu/#firewall-limitations steht:

If you use ufw or firewalld to manage firewall settings, be aware that when you expose container ports using Docker, these ports bypass your firewall rules. For more information, refer to Docker and ufw.

Docker is only compatible with iptables-nft and iptables-legacy. Firewall rules created with nft are not supported on a system with Docker installed. Make sure that any firewall rulesets you use are created with iptables or ip6tables, and that you add them to the DOCKER-USER chain, see Packet filtering and firewalls.

Und https://docs.docker.com/engine/security/#docker-daemon-attack-surface gibt diese Zusammenfassung:

Finally, if you run Docker on a server, it is recommended to run exclusively Docker on the server, and move all other services within containers controlled by Docker. Of course, it is fine to keep your favorite admin tools (probably at least an SSH server), as well as existing monitoring/supervision processes, such as NRPE and collectd.

Salopp formuliert: Verwenden Sie für das Docker-Deployment ausschließlich für diesen Zweck dezidierte Server und/oder verwenden Sie bei Bedarf veraltete iptable-Firewalls. Vor fünf Jahren war dieser Standpunkt noch verständlich, aber heute geht das einfach gar nicht mehr. Die Praxis sieht ganz oft so aus, dass auf einem Server diverse »normale« Dienste laufen und zusätzlich ein, zwei Docker-Container Zusatzfunktionen zur Verfügung stellen. Sicherheitstechnisch wird dieser alltägliche Wunsch zum Alptraum.

Land in Sicht?

Bei Docker weiß man natürlich auch, dass iptables keine Zukunft hat. Laut diesem Issue sind 10 von 11 Punkte für die Umstellung von iptables auf nftables erledigt. Aber auch dann ist unklar, wie es weiter gehen soll: Natürlich ist das ein massiver Eingriff in grundlegende Docker-Funktionen. Die sollten vor einem Release ordentlich getestet werden. Einen (offiziellen) Zeitplan für den Umstieg auf nftables habe ich vergeblich gesucht.

Docker ist als Plattform-überschreitende Containerlösung für Software-Entwickler fast konkurrenzlos. Aber sobald man den Sichtwinkel auf Linux reduziert und sich womöglich auf Red-Hat-ähnliche Distributionen fokussiert, sieht die Lage anders aus: Podman ist vielleicht nicht hundertprozentig kompatibel, aber es ist mittlerweile ein sehr ausgereiftes Container-System, das mit Docker in vielerlei Hinsicht mithalten kann. Installationsprobleme entfallen, weil Podman per Default installiert ist. Firewall-Probleme entfallen auch. Und der root-less-Ansatz von Podman ist sicherheitstechnis sowieso ein großer Vorteil (auch wenn er oft zu Netzwerkeinschränkungen und Kompatibilitätsproblemen führt, vor allem bei compose-Setups).

Für mich persönlich war Docker immer die Referenz und Podman die nicht ganz perfekte Alternative. Aber die anhaltenden Firewall-Probleme lassen mich an diesem Standpunkt zweifeln. Die Firewall-Inkompatibilität ist definitiv ein gewichtiger Grund, der gegen den Einsatz der Docker Engine auf Server-Installationen spricht. Docker wäre gut beraten, iptables ENDLICH hinter sich zu lassen!

Update 11.11.2025: Als ich diesen Artikel im Oktober 2025 verfasst und im November veröffentlicht habe, ist mir entgangen, dass die Docker-Engine in der noch nicht ausgelieferten Version 29 tatsächlich bereits ein experimentelles nftables-Backend enthält!

Version 29 liegt aktuell als Release Candidate 3 vor. Ich warte mit meinen Tests, bis die Version tatsächlich ausgeliefert wird. Hier sind die Release Notes, hier die neue Dokumentationsseite. Vermutlich wird es ein, zwei weitere Releases brauchen, bis das nftables-Backend den Sprung von »experimentell« bis »stabil« schafft, aber immerhin ist jetzt ganz konkret ein Ende der Firewall-Misere in Sicht.

Quellen / Links

• https://github.com/moby/moby/issues/49634
• https://github.com/docker/for-linux/issues/1472
• https://fedoraproject.org/wiki/Changes/LibvirtVirtualNetworkNFTables\
• https://doc.opensuse.org/release-notes/x86_64/openSUSE/Leap/16.0/html/~|~release-notes-leap-160\
• https://docs.docker.com/engine/install/ubuntu/#firewall-limitations
• https://docs.docker.com/engine/network/packet-filtering-firewalls\
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface

Das neue nftables-Backend für Docker

• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://www.docker.com/blog/docker-engine-version-29/

Der Trinity Desktop Environment (TDE), Nachfolger des klassischen KDE 3.5, hat Version 14.1.5 veröffentlicht. Die neue Ausgabe richtet sich an Nutzer, die ein leichtgewichtiges, traditionelles Desktop-Erlebnis bevorzugen, ohne auf moderne Stabilität und Kompatibilität zu verzichten. Die wichtigste Neuerung betrifft den Fenstermanager TWin, der nun Tiling bei Mehrschirmkonfigurationen unterstützt. Damit lassen sich Arbeitsflächen auf mehreren Monitoren […]

Der Beitrag Trinity Desktop 14.1.5 bringt frischen Glanz für das klassische KDE Erlebnis erschien zuerst auf fosstopia.