Die beiden unter dem Dach von Linux Containers entwickelten Projekte LXC und Incus, ehemals LXD, erhielten eine Aktualisierung auf Version 6.0 LTS mit je fünf Jahren Unterstützung.

Quelle

Vor wenigen Tagen ist wieder eine neue Ausgabe des kostenlosen Magazins FCM erschienen. Das Full Circle Magazine 203 kommt nun genau richtig zum Wochenende und Du kannst es gratis herunterladen. Im Magazin werden folgende Themen behandelt: Wobei der Test von Cubuntu eher ein Blick in die Vergangenheit ist. Das Projekt wurde von 2012 bis 2017 entwickelt und ist damit seit einigen Jahren tot. Allerdings kannst Du die letzte Version, Cubuntu 16.04.3 LTS weiterhin von der SourceForge-Seite herunterladen. Mit dem erweiterten […]

Der Beitrag Full Circle Magaine 203 veröffentlicht – Cubuntu-Test ist von bitblokes.de.

Deutschlands nördlichstes Bundesland Schleswig-Holstein geht konsequent den 2020 eingeschlagenen Kurs weg von proprietärer Software.

Quelle

Opera stellt in Opera One Developer 150 lokale KI-Sprachmodelle zum Test bereit. Damit können Anwender verhindern, dass Daten ihrer Anfragen an externe Server abfließen.

Quelle

Die am Karfreitag entdeckte Hintertür im Paket xz-utils löst in vielen Projekten Betriebsamkeit aus. Canonical verschiebt die Beta zu Ubuntu 24.04 um eine Woche.

Quelle

Das Team von Nextcloud hat ein großes Update für den Nextcloud KI-Assistenten zur Verfügung gestellt. Ab sofort gibt es Context Chat und Context Write. Zudem ist GPU-Beschleunigung möglich und der Nextcloud-Server lässt sich vom KI-Server abspalten. Ferner arbeitet das Nextcloud-Team mit mehreren bekannten europäischen Hosting-Unternehmen zusammen, darunter IONOS und OVHcloud, um KI-as-a-Service-Lösungen anzubieten, die Privatsphäre und digitale Souveränität respektieren. In diesem Fall benötigst Du selbst keine teuren GPUs, um KI und Nextcloud zu vereinen. Nextcloud Assistant 2.0 Die Oberfläche wurde […]

Der Beitrag Nextcloud veröffentlicht großes Update für KI-Assistant – 2.0 ist von bitblokes.de.

Canonical hat angekündigt, dass die Beta-Version von Ubuntu 24.04 LTS Noble Numbat wegen CVE-2024-3094 (Sicherheitsproblem / Backdoor in den xz-utils) auf 11. April verschoben wird. Das Entwickler-Team hat sich entschieden, alle Binärpakete zu entfernen und neu zu erstellen. Mit dieser Aktion will Canonical sicherstellen, dass keine Binärdatei von der Sicherheitslücke betroffen ist. Bisher war der Plan, Ubuntu 24.04 LTS Beta am 4. April zu veröffentlichen. Am 25. April soll laut Zeitplan die finale Version erscheinen. Ob dieser Termin ebenfalls betroffen […]

Der Beitrag Ubuntu 24.04 LTS Beta auf 11. April verschoben (xz-Backdoor) ist von bitblokes.de.

Nitrux ist eine unabhängige Distribution, die dem KDE-Projekt nahesteht. Trotzdem soll noch in diesem Jahr der Umstieg von Plasma zu Maui-Shell vollzogen werden.

Quelle

Fedora mit KDE Plasma als Standard? Ein Aprilscherz? Mitnichten, der jetzt eingereichte Vorschlag ist ernst gemeint und überzeugend ausgearbeitet.

Quelle

Das für den Sommer zu erwartende Linux Mint wartet mit sinnvollen Neuerungen auf. So werden Kernel künftig in aktuelleren Versionen angeboten.

Quelle

Nach einem kleinen Rücksetzer im Februar ist Steam auf Linux im März 2024 wieder knapp an die 2 % herangerückt. Nun muss man dazu sagen, dass diese Umfragen mit Vorsicht zu genießen sind, da nicht alle Steam-User gefragt werden und nicht alle, die gefragt werden, teilnehmen müssen. Dennoch sind die Steam-Statistiken ein guter Indikator, wie es um Linux und Spiele steht. Die Umfrage im März hat einen Marktanteil von 1,94 % ergeben (Februar 2024 1,76 %). Damit ist Steam unter […]

Der Beitrag Steam unter Linux kratzt wieder an den 2 % ist von bitblokes.de.

openSUSE baut Tumbleweed komplett neu, Debian verschiebt ein Point-Release. Auswirkungen eines gerade noch rechtzeitig entdeckten Angriffsszenarios.

Quelle

Der Monatsbericht von Linux Mint ist da und es gibt einige Neuigkeiten bezüglich Linux Mint 22, das bekanntlich auf Ubuntu 24.04 LTS Noble Numbat basieren wird. Zunächst einmal gibt es Verbesserungen, dass sich Installationen von Linux Mint 22 besser lokalisieren lassen und weniger Speicherplatz als bisher benötigen. Vorinstallierte Pakete für andere Sprachen als Englisch und die von Dir gewählte Sprache werden am Ende der Installation entfernt. Laut eigenen Angaben wird durch das Entfernen dieser Pakete in Linux Mint 22 nach […]

Der Beitrag Linux Mint 22 wird Thunderbird als .deb-Paket bieten ist von bitblokes.de.

Die Hölle friert zu: Microsoft kündigt Office 2024 für Linux an. Details und weitere Informationen erfahrt ihr nach dem Klick auf Weiterlesen!

Quelle

Debian verschiebt die Aktualisierung auf v12.6 wegen der teils noch ungeklärten Hintergründe von CVE-2024-3094. Zunächst wird das Archiv einer gründlichen Analyse unterzogen.

Quelle

Bei Technik-affinen Leuten wie die Leser dieses Blogs dürfte sich bereits wie ein Lauffeuer verbreitet habe, dass das weit verbreitete Paket xz-utils (Datenkompressions-Tools), beginnend mit den Versionen 5.6.0 bis 5.6.1, eine Backdoor hat (CVE-2024-3094). Diese Hintertür könnte es einem böswilligen Akteur ermöglichen, die sshd-Authentifizierung zu kompromittieren. Damit könnte sie oder er unbefugten Fernzugriff auf das gesamte System erhalten. Die gute Nachricht ist, dass aktuelle LTS-Versionen von Ubuntu nicht betroffen sind. Das gilt auch für Linux Mint und die stabile Version […]

Der Beitrag Kali von xz-utils Backdoor betroffen, Debian / Ubuntu nicht ist von bitblokes.de.

Durch jahrelange Vorarbeit ist es Angreifern gelungen, den Quellcode der Kompressions­software xz zu kompromittieren. Gezielt eingereichte Patches schufen Sicherheitslücken und diese wurden proaktiv in aktuelle Linux-Distributionen eingepflegt. Zum Update auf ein bereinigtes Paket wird dringend geraten.

Die weitverbreiteten Datenkompressionswerkzeuge XZ Utils (früher LZMA Utils) enthalten in Version 5.6 eine Backdoor. Ziel der Backdoor ist nach aktuellem Kenntnisstand eine Kompromittierung von SSH-Servern. Dies wurde gestern auf der oss-security-Mailingliste von Andres Freund nebst einer umfangreichen Analyse des Sachverhalts bekannt gegeben. Durch den Einsatz der Werkzeuge in Linux-Distributionen haben wir hier einen Fall einer Supply-Chain-Attacke. Red Hat hat dem Vorfall die CVE-Nummer CVE-2024-3094 vergeben.

Vorab eine Liste mit weiteren Links:

• Stellungsnahmen von verschiedenen Distributoren
  • Arch Linux
  • Debian
  • Red Hat
  • SUSE
• FAQ
• Hacker-News-Diskussion
• Zeitleiste

Wirkungsweise

Dabei wird die Backdoor nur unter bestimmten Bedingungen ausgeführt, wie das FAQ beschreibt. Im Wesentlichen muss argv[0] auf /usr/sbin/sshd gesetzt sein und eine Reihe an Umgebungsvariablen entweder gesetzt oder nicht gesetzt sein. Normalerweise hängt OpenSSH nicht von liblzma ab. Einige Distributoren patchen OpenSSH allerdings so, dass systemd-Notifcations funktioniert, welches wiederum auf liblzma setzt und die Backdoor möglich macht. Technisch werden einige Checks durchgeführt und anschließend mittels IFUNC Bibliotheksaufrufe umgeleitet. Dies betrifft nach aktuellem Stand auch Aufrufe während der Kryptoroutinen bei der SSH-Authentifizierung.

Betroffenheit

Der Wirkungsweise der Payload ist noch nicht abschließend geklärt. Besonders auch aus diesem Grund wird ein unverzügliches Update angeraten. Im Folgenden einige unverbindliche Faktoren, die eine Verwundbarkeit wahrscheinlich machen. Auf diese Weise kann man priorisieren, welche Systeme zuerst aktualisiert werden sollten.

Versionierte Distros wie z. B. Debian oder RHEL sind nach aktuellem Kenntnisstand mit ihren stabilen Versionen nicht direkt betroffen, da die Versionen 5.6 noch keinen Einzug in das System gefunden haben. Die Testing-Versionen dieser Distros wie z. B. Debian Sid wurden allerdings aktualisiert und sind betroffen.

Rolling-Release-Distros sind naturgemäß auch betroffen, wenn sie schon Version 5.6 in ihre Pakete aufgenommen haben. Dies betrifft zum Beispiel Arch Linux oder Gentoo. Da allerdings einige Distributionen wie Arch Linux OpenSSH nicht gegen liblzma linken, wird die Bibliothek nicht direkt in die Ausführung der Komponenten eingebunden.

Nach aktuellem Stand wird eine Verwundbarkeit besonders kritisch, wenn auf dem betroffenen Host ein öffentlich erreichbarer SSH-Server läuft, da die oben beschriebenen Faktoren ein Laden der Payload auslösen können.

Wie kam es?

Aufgefallen ist die Backdoor nur durch Zufall durch das Debugging von Performanceproblemen, die durch die Backdoor verursacht wurden. Die Backdoor wurde obfuskiert im Rahmen von Buildskripten untergebracht, sodass aufgrund der Komplexität die Lücken noch nicht direkt aufgefallen sind.

Das Repository hinter xz kann als kompromittiert gesehen werden und ist auch auf GitHub schon gesperrt worden. Auffällig ist, dass die Backdoor in den Tarballs der Releases enthalten war, nicht jedoch im Repository-Dump selber. Auch personell gab es einige Auffälligkeiten, da es vor kurzem einen Maintainerwechsel beim Projekt gab und die Lücken vom neuen Maintainer, der seit 2 Jahren am Projekt mitarbeitet, zumindest begünstigt wurden. Die Art und Weise lässt auch auf ein koordiniertes, von langer Hand geplantes Vorgehen schließen.

Einfluss und Folgen

Das große Ganze ist ein Paradebeispiel von xkcd 2347 "Dependency". Wir sehen hier Live ein Beispiel einer Supply-Chain-Attacke. Ein kleines, scheinbar unbedeutendendes Projekt wird übernommen, nur um strategisch Commits zu platzieren, die automatisch "flussabwärts" ihren Weg in größere Distributionen finden, die allesamt auf das Projekt setzen. Alles passiert trotz Open Source. Besonders pikant: der Maintainer hat aktiv versucht, die Backdoor-begünstigenden Umgebungsfaktoren, konkret das Umbiegen von Bibliotheksaufrufen mittels ifunc, in Fuzzing-Projekten wie oss-fuzz, die aktiv nach sowas suchen, zu deaktivieren.

Software wird immer bedeutender und benötigt Vertrauen. Dabei ist jetzt schon klar, dass niemand selber solch komplexe Systeme von alleine bauen kann. Aber auch die Kontrolle der Quellen ist eine große Herausforderung. Neue Gesetzgebung wie der geplante Cyber Resilience Act in der EU versuchen in der Industrie Anreize zu schaffen, die Softwarequalität zu erhöhen.

Diese Attacke konnte einigermaßen abgewendet werden, sollte die umfassende Analyse der Payload keine belastenden Neuigkeiten hervorbringen. Eines ist aber auch klar: Die Angreifer studieren das Verhalten der Verteidiger und werden in Zukunft ihre Vorgehensweise dahingehend optimieren, nicht so einfach mehr gefunden zu werden. Es ist also möglich, Backdoors in so ein Ökosystem hineinzuschummeln. Umso besser müssen aber die Identifikations- und Abwehrmöglichkeiten werden, damit solche Angriffe wirksam verhindert werden können.

Es handelt sich um Wartungsversionen und die laufen normalerweise schnell und problemlos durch. Die Updates bringen verschiedene Korrekturen und Leistungsverbesserungen in allen unterstützten Versionen von Nextcloud Hub. In Versionsnummern gibt es ab sofort Nextcloud 26.0.13, 27.1.8 sowie 28.0.4. Ich habe es schon mehrmals erwähnt, finde den Mix aus Hub und Versionsnummern echt verwirrend, zumal eine große Versionsnummer nicht zwingend eine große Hub-Nummer repräsentiert. Klar, es ist ein kosmetisches Problem, aber weniger Verwirrung wäre dennoch besser. Nextcloud 26 hat ihr Lebensende […]

Der Beitrag Nextcloud – Updates für Hub 6 und 7 – EOL für Hub 4 ist von bitblokes.de.

Aktuelle Linux-Distributionen sind durch eine Backdoor in der Kompressionssoftware XZ betroffen. Noch sind die genauen Auswirkungen des anspruchsvollen Schadcodes nicht gänzlich bekannt.

Quelle

Das Flatpak-Archiv Flathub weist jetzt nicht überprüfte Apps als solche aus und erhöht damit das Bewusstsein der Gefahren von nicht verifizierten Flatpaks.

Quelle

Nutzer von Ubuntu und Derivaten wie Linux Mint konnten immer auf das praktische und offizielle Kodi PPA zurückgreifen. Damit konntest Du neuere und weniger verfälschte Versionen von Kodi installieren und nutzen. Allerdings wird das Kodi PPA nun leider eingestellt. Der Aufwand ist laut eigenen Angaben zu hoch. Das Team bedankt sich bei wsnipex, der das PPA so viele Jahre lang gewartet und unzähligen Nutzern unermüdlich zur Verfügung gestellt hat. Nutzt Du das PPA, dann bekommst Du ab sofort also keine […]

Der Beitrag Kodi stellt offizielles Ubuntu PPA ein – Flatpak als Ersatz ist von bitblokes.de.

The Document Foundation hat gleich zwei Bugfix-Releases gemeinsam veröffentlicht. Das sind genauer gesagt LibreOffice 24.2.2 Community sowie LibreOffice 7.6.6 Community. Beides sind Wartungsversionen, die Bugs ausbessern, um die Qualität und Kompatibilität zu verbessern. Bei LibreOffice 24.2.2 wurden insgesamt 77 Bugs ausgebessert. Du findest beide Versionen ab sofort im Download-Bereich der Projektseite. TDF rät allen Usern, sobald wie möglich zu aktualisieren. Bezüglich Betriebssysteme benötigst Du mindestens Microsoft Windows 7 SP1 und Apple macOS 10.15. Bei Linux kommt es darauf an, ob […]

Der Beitrag LibreOffice 24.2.2 Community und 7.6.6 veröffentlicht ist von bitblokes.de.

Viele Administratoren sind seit der Übernahme von VMware durch Broadcom verunsichert, was die Zukunft von ESXi betrifft. Proxmox bietet jetzt einen Wizard zum Umstieg.

Quelle

Auf Google Play wurden mehrere kostenlose Android-VPN-Apps gefunden, die Smartphones ohne Wissen der Anwender in bösartige Proxys verwandeln. Dazu wird Proxylib benutzt. Proxylib infiziert Android-Geräte mit einer Software, die bösartige Aktivitäten wie Werbebetrug, Bot-Nutzung oder gefährlichere Vorgänge wie die Verbreitung von Malware und Phishing-Kampagnen verschleiert. Dabei leitet das Programm den Traffic über die infizierten Android-Geräte. Der Datenverkehr sieht dann legitim aus und es scheint, er stammt aus einer Quelle, die nicht gesperrt ist. Schließlich kommt der Traffic von einer privaten […]

Der Beitrag Kostenlose VPN-Apps auf Google Play machen Smartphones zu Proxys ist von bitblokes.de.