Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

Entwickler von Fedora KDE diskutieren X.org-Rauswurf

Das Team hinter der Fedora-Edition mit KDE Plasma überlegt derzeit, nur noch auf Wayland zu setzen und den X.org-Server komplett aus der Distribution zu werfen. Der entsprechende Vorschlag wird allerdings noch fleißig diskutiert.

Der Rausschmiss von X.org klingt zunächst folgerichtig: Die aktuelle Fedora-Version startet bereits standardmäßig direkt eine Wayland-Sitzung. Darüber hinaus gilt der X.org-Server in Red Hat 9.0 als veraltet (depricated) und soll in einer der nächsten RHEL-Versionen verschwinden. Die aktuellen Nvidia-Treiber unterstützen weitgehend Wayland, sie stehen einem Umstieg auf Wayland folglich nicht mehr im Wege. Ein Fallback bei Grafikkartenproblemen ermöglicht zudem das seit Fedora 36 aktive SimpleDRM.

In Kürze erscheint KDE Plasma 6.0, das auch die Fedora-Entwickler in ihrer Distribution einsetzen wollen. Die entsprechenden Fedora-Paketbetreuer planen zudem keine Backports von Plasma 6.0. Es liegt folglich nahe, in diesem Rahmen direkt auch X.org von Bord zu werfen. Das Fedora KDE-Team müsste dann X11 nicht mehr betreuen, sondern könnte sich vollständig auf Wayland konzentrieren.

Der Vorschlag ist allerdings ein wenig umstritten. In der entsprechenden Diskussion werden vor allem immer wieder Screensharing-Probleme als Gegenargument angebracht. Des Weiteren gibt es unter Wayland noch Probleme, Fensterpositionen wiederherzustellen. Vor allem Nutzer von Chrome und IntelliJ IDEA sollen davon betroffen sein. Eine Baustelle unter Wayland stellen die HDR-Darstellung und die Farbkalibrierung dar. Die Befürworter führen allerdings an, dass an Lösungen bereits gearbeitet würde.

Der Beitrag Entwickler von Fedora KDE diskutieren X.org-Rauswurf erschien zuerst auf Linux-Magazin.

Asahi-Entwickler warnt vor Nutzung des X.org-Server

Hector Martin, Hauptentwickler von Asahi Linux, warnt vor der Nutzung des X.org-X-Servers mit Asahi.

X.org werde so gut wie gar nicht gewartet, sei in einer grundlegenden Hinsicht fehlerhaft, die nicht behoben werden könne und für moderne Anzeigegeräte ungeeignet. Bei Asahi Linux habe man nicht genügend Ressourcen, um Zeit darauf zu verwenden, schreibt Martin weiter.

Es könne zwar sein, dass einige Dinge von X.org vielleicht besser auf anderen Plattformen funktionieren. Das bedeutet dann aber nicht, dass X.org nicht kaputt ist, es bedeute vielmehr, dass diese Plattformen Jahre damit verbracht haben, die Schwächen von X.org zu umgehen, schreibt Hector Martin. Dafür hätten man bei Asahi keine Zeit. Die Distributionen und großen Desktop-Umgebungen stellten bereits die Unterstützung für Xorg ein. Es sei sinnlos, zu versuchen, es heute auf einer neuen Plattform gut zu unterstützen.

Zwar wolle man XWayland weiterhin für Legacy-Client-Anwendungen unterstützen und Zeit in die Optimierung der XWayland-Erfahrung investieren, heißt es in Martins Beitrag. „Aber für alles, was über das ‚Anzeigen von Fenstern‘ hinausgeht (Compositors, IMEs, Input-Management, Desktop-Umgebungen, etc.), verwenden Sie bitte native Wayland-Anwendungen, da XWayland niemals richtig für diese Dinge integriert werden kann (vom Design her)“, so Martin.

Vor einiger Zeit hatte bereits der langjährige Intel-Angestellte und Linux-Grafikentwickler Daniel Vetter den X-Server als Abandonware ohne regelmäßige Veröffentlichungen aus dem Hauptzweig bezeichnet.

Der Beitrag Asahi-Entwickler warnt vor Nutzung des X.org-Server erschien zuerst auf Linux-Magazin.

Sicherheitslücke in X.org Server braucht Patch

Im X.org Server  macht eine Use-After-Free-Lücke Probleme. Die Lücke lässt sich unter bestimmten Umständen lokal und remote ausführen.

Das Problem besteht laut der Mitteilung der Entwickler auf Systemen, auf denen der X-Server privilegiert ausgeführt wird. Dort kann die Lücke ausgenutzt werden, um eine lokale Privilegienerweiterung zu erlangen. Ein Ausführen von Code über eine entfernte Verbindung ist ebenfalls möglich, wenn SSH-X-Weiterleitungssitzungen zum Einsatz kommen.

Das Problem hängt mit dem Compositor-Overlay-Window zusammen. Use-After-Free Sicherheitslücke zur lokalen Privilegienerweiterung. Wenn ein Client das Compositor-Overlay-Fenster (auch bekannt als COW) explizit zerstört, hinterlässt der X-Server einen Zeiger auf dieses Fenster in der CompScreen-Struktur, was zu einem späteren Zeitpunkt ein Use-after-free auslösen kann. Ein Patch für dieses Problem sei in das Git-Repository des X.org-Servers aufgenommen worden. X.org-server 21.1.8 enthalte diesen Patch.

Der Beitrag Sicherheitslücke in X.org Server braucht Patch erschien zuerst auf Linux-Magazin.

Viele rechtswidrige Anfragen an sichere Mail-Anbieter

In Transparenzberichten legen die sicheren E-Mail-Anbieter Mailbox.org, Posteo und Tutanota Behördenanfragen offen. Viele waren rechtswidrig.

Laut dem aktuellen Transparenzbericht von Mailbox.org waren 25,4 Prozent aller behördlichen Auskunftsanfragen im Jahr 2022 an den E-Mail-Dienst rechtswidrig. Auch Posteo und Tutanota haben Transparenzberichte veröffentlicht und häufig keine Auskunft erteilt – und sich teilweise bei den Datenschutzbeauftragten beschwert. Alle drei Anbieter legen ihren Fokus auf Datenschutz und Sicherheit.

“Insgesamt 14 der 55 Behördenanfragen im Jahr 2022 wurden von uns zurückgewiesen, da sie Fehler enthielten oder rechtlich unzulässig waren. 7 dieser Anfragen wurden anschließend korrekt erneut gestellt und entsprechend bearbeitet. In 7 Fällen ist es bei der Ablehnung geblieben”, schreibt Mailbox.org.

2022 sei das letzte Jahr gewesen, in dem Anfragen von Behörden, die auf unsicheren Wegen gestellt worden seien, beantworten werden mussten, erklärt Mailbox.org. Als Beispiele werden unverschlüsselte E-Mails oder das von Behörden immer noch gern genutzte Fax genannt. “Wir beantworten seit Jahresbeginn 2023 daher konsequent nur noch Anfragen, die uns über gesicherte Wege (PGP-E-Mail oder Briefpost) zugeschickt werden.”

Insgesamt sind 2022 bei Mailbox.org 51 Anfragen von deutschen Behörden eingegangen, dazu kamen vier aus anderen Ländern. 75 Prozent der Anfragen seien korrekt gestellt worden, 2021 seien es noch 85 Prozent gewesen, erklärte Mailbox.org. Alle Anfragen wurden von Strafverfolgungsbehörden gestellt, die meisten gingen per Klartext-E-Mail ein.

Ähnliche Zahlen nennt auch der E-Mail-Dienst Posteo in seinem Transparenzbericht für 2022. Dort gingen 51 Anfragen von deutschen Behörden sowie 6 aus anderen Staaten ein. Die meisten stammen von Strafverfolgungsbehörden, sechs von Geheimdiensten. Laut Posteo waren von allen Anfragen nur 17 Anfragen formal korrekt.

Beantwortet wurden demnach 8 der 57 Anfragen. Bei mehreren Anfragen hätten die angefragten Daten schlicht nicht vorgelegen. So erhebt Posteo nach seinem Datensparsamkeitskonzept beispielsweise keine Bestandsdaten wie Namen oder Adressen und speichert die dynamischen IP-Adressen der Kunden nicht.

Der E-Mail-Anbieter reichte zudem 35 Beschwerden bei den Landesdatenschutzbehörden oder anderen Behörden ein, die er mit rechtswidrigem und unsicherem Übermitteln der Behördenersuchen begründete. Eine Beschwerde wegen rechtswidrigem Ersuchen nach Verkehrsdaten sei geplant, schreibt Posteo.

Deutlich mehr Anfragen erhielt der E-Mail-Anbieter Tutanota. Hier waren es 2022 insgesamt 329. Das dürfte daran liegen, dass Tutanota im Unterschied zu Mailbox.org und Posteo auch kostenlose E-Mail-Konten anbietet. Beantwortet wurde mit 109 rund ein Drittel der Anfragen, weil ein gültiger Beschluss von einem hiesigen Gericht vorlag.

Nachtrag vom 10. Februar 2023

Posteo erklärte, dass nur drei und nicht acht Anfragen beauskunftet wurden, da hier richterliche Beschlüsse sowie die Daten vorgelegen hätten. Zudem plane Posteo die Datenschutzbeschwerden, habe sie aber noch nicht eingereicht. Wir haben den Artikel entsprechend aktualisiert.

Der Beitrag Viele rechtswidrige Anfragen an sichere Mail-Anbieter erschien zuerst auf Linux-Magazin.

X.org Server 21.1.7 patcht Sicherheitslücke

Der X.org Server weist eine Sicherheitslücke auf, die zu einer Erhöhung der lokalen Rechte auf Systemen führen kann.

Vorausgesetzt ist, dass der X-Server privilegiert als Root ausgeführt wird, was bei aktuellen Systemen nicht mehr der Fall sein sollte. Zudem müsse auch eine Remotecodeausführung für ssh X-Weiterleitungssitzungen unterstützt sein, heißt es im Advisory zur Lücke. Die Schwachstelle wurden von der Trend Micro Zero Day Initiative gefunden.

Das Problem ist ein Speicherfehler in der DeepCopyPointerClasses, der zu einer use-after-free-Lücke führt. Für die Lücke gibt es einen Patch. Außerdem ist die neue Version X.org Server 21.1.7 bereits veröffentlicht, die den Patch enthält.

Version 21.1.7 behebt auch einen zweiten möglichen Out-of-band-Zugriff (OOB) in der Komponente EnqueueEvent und einen Absturz, der dadurch verursacht wurde, dass ResourceClientBits den MaxClients-Wert in der Konfigurationsdatei nicht korrekt eingehalten hat, heißt es in der Ankündigung.

Der Beitrag X.org Server 21.1.7 patcht Sicherheitslücke erschien zuerst auf Linux-Magazin.

❌