Eigentlich soll am 15. und 16. August an der Hochschule Bonn-Rhein-Sieg die Konferenz FrOSCon stattfinden.

Die Distribution für Sicherheitsexperten und Pentester frischt in ihrer aktuellen Version die enthaltenen Komponenten auf.

Der Manager für Container und virtuelle Maschinen liegt in einer neuen Version vor, die das Entwicklerteam besonders lange pflegen möchte.

Die gute alte BASH reimplementiert das Brush-Projekt in der Programmiersprache Rust.

Das Live-System Grml fokussiert sich auf „die Bedürfnisse“ von Administratoren und hilft etwa mit passenden Werkzeugen bei der Datenrettung.

Es war nur eine kleinere Meldung, die aber zu heftigen emotionalen Reaktionen unter den Anwendern des 3D-Grafikwerkzeugs Blender führte: Das KI-Unternehmen Anthropic tritt dem Blender Development…

Die geschwindigkeitsoptimierte Distribution CachyOS wechselt im April-Update auf den aktuellen Linux-Kernel 7.0, tauscht den grafischen Paketmanager aus und unterstützt im Willkommen-Fenster DNS…

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht.

Den Zugriff auf NTFS-Dateisysteme überlassen viele Distributionen dem Treiber NTFS-3G.

Die GNU Coreutils stellen auf den meisten Distributionen nach wie vor die zentralen Kommandozeilenwerkzeuge.

Wer die Programmiersprache Rust zumindest ein wenig beherrscht und mithilfe von Bevy in die Spieleentwicklung einsteigen möchte, kann am Wochenende in Augsburg einen passenden Workshop besuchen.

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht.

Mozilla treibt seine KI-Amibitionen weiter voran: Mit dem neuen KI-Client Thunderbolt sollen vor allem Unternehmen künstliche Intelligenz ins eigene Haus holen und einen eigenen, souveränen „AI…

Die Linux-Mint-Entwickler verlängern ziemlich planlos die Entwicklungsphasen ihrer Distribution.

Die neue stabile Ausgabe des Webservers fasst sämtliche Änderungen des Versionszweigs 1.29.x aus dem sogenannten Mainline-Branch zusammen.

Die beliebte TLS- und Krypto-Bibliothek OpenSSL liegt in einer neuen Major-Version vor, die einige Altlasten wie SSLv3 entfernt und im Gegenzug bei den Kryptografieverfahren nachlegt.

Das kommerzielle Office-Paket des Nürnberger Entwicklers SoftMaker prüft die Grammatik zusätzlich mit dem prinzipiell quelloffenen LanguageTool.

Totgesagte leben länger: Rund vier Jahre lang lag der bei Entwicklern beliebte Speicherallokator jemalloc auf Eis.

Die offizielle Distribution für den Raspberry Pi erlaubte den Aufruf von sudo auch ohne die Angabe eines Passworts.

Trotz des kleinen Versionssprungs hinter dem Punkt bringt das Content-Management-System Joomla!

Kurz notiert: In den vergangenen Tagen gab es unterschiedliche Fälle von Supply-Chain-Angriffen auf verschiedene Pakete, die unmittelbar das Ziel hatten, wie ein Trojaner insbesondere Credentials abzugreifen. Dabei hat es sowohl das Paket litellm als auch axios getroffen.

LiteLLM: Snyk hat vergangene Woche einen umfangreichen Bericht veröffentlicht, der beschreibt, wie die Versionen 1.82.7 und 1.82.8 für den LLM-Proxy-Server LiteLLM durch den Threat-Actor, der als TeamPCP bezeichnet wird, manipuliert werden konnten. Besonders hierbei war, dass die Payload als .pth-Datei im Rahmen eines Python-Startup-Hooks ausgeliefert wurde und entsprechend verschleiert war.

axios: Heute hat es dann den im JavaScript-Ökosystem bekannten HTTP-Client axios getroffen. Wie StepSecurity und Aikido schreiben, wurde hier der Maintainer-Account übernommen, sodass zwei bösartige Versionen veröffentlicht werden konnten: 1.14.1 und 0.30.4. Mit der Größe von axios handelt es sich hier offenbar um einen der schwerwiegensten npm-basierten Supply-Chain-Angriffe bisher.

In beiden Fällen haben sowohl PyPI als auch npm die betroffenen Versionen wenige Stunden nach Veröffentlichung geflaggt. Trotzdem dürfte es einige Entwickler erwischt haben, die ihr gesamtes System nun als kompromittiert betrachten sollten. Da speziell im Fall von axios die Malware aktiv ihre Spuren entfernte, ist die Eingrenzung der kompromittierten Komponenten auf einem betroffenen System stark erschwert.

In einer der nächsten Risikozone-Episoden werden wir unseren Fokus wieder verstärkt auf die Supply Chain richten. Wir können allerdings jetzt schon feststellen, dass die Angriffe zunehmen, Entwickler das Ziel sind und Schutzmöglichkeiten wie Version Pinning notwendig, aber langfristig sicherlich nicht hinreichend sind.

Die Open Source Business Alliance (OSBA) zeichnet auch in diesem Jahr wieder herausragende Open-Source-Projekte in Behörden und öffentlichen Institutionen aus.

Bei drgn handelt es sich um einen noch sehr jungen in Python programmierbaren Debugger.

Das Tool ollama vereinfacht die Inbetriebnahme von KI-Modellen, die unter einer Open-Source-Lizenz stehen.

Der Raspberry Pi 4 liegt in einer leicht überarbeiteten Fassung vor, die auf der Unterseite einen zweiten RAM-Chip besitzt.