Lese-Ansicht

KDE Linux führt neuen Entwicklermodus und bessere Testwerkzeuge ein

KDE Linux zieht eine positive Bilanz für den Juni. Trotz der Arbeit an Plasma 6.7 gab es spürbare Fortschritte bei Werkzeugen, Infrastruktur und Alltagshilfen für Nutzer. Neu ist ein Entwicklermodus, der versteckte Optionen sichtbar macht. Ein einfacher Befehl in der Konsole reicht dafür aus. So können auch normale Nutzer bei Bedarf zusätzliche Infos abrufen, ohne […]

Der Beitrag KDE Linux führt neuen Entwicklermodus und bessere Testwerkzeuge ein erschien zuerst auf fosstopia.

  •  

Asahi Linux treibt M3‑Support mit neuem Kernel voran

Das Asahi‑Team meldet große Fortschritte für M3 Macs. Der neue Linux‑Kernel 7.1 verbessert die Unterstützung für aktuelle Apple‑Silicon‑Modelle und bringt wichtige technische Neuerungen. Auf M3‑Geräten laufen nun viele zentrale Komponenten. Dazu zählen PCIe, Funkmodule, NVMe‑Speicher und Eingabegeräte. Auch die Audiotreiber arbeiten erstmals stabil auf M3‑Systemen. Die Entwickler berichten von sauberem Klang und zuverlässiger Ausgabe. Die […]

Der Beitrag Asahi Linux treibt M3‑Support mit neuem Kernel voran erschien zuerst auf fosstopia.

  •  

Canonical bestätigt Behebung der DirtyClone‑Lücke in Ubuntu

Canonical veröffentlich ergänzende Informationen zur DirtyClone Kernel‑Lücke. DirtyClone erlaubt lokalen Nutzern den Root‑Zugriff und betrifft mehrere Ubuntu‑Versionen. Die Schwachstelle trägt die Kennung CVE‑2026‑43503 und wurde Anfang Juni öffentlich gemacht. Laut Canonical lag den Kernel‑Maintainern bereits eine frühere Meldung vor. Erste Ubuntu‑Updates erschienen ebenfalls Anfang Juni und sollten betroffene Ubuntu Systeme absichern. Die Lücke ermöglicht lokale […]

Der Beitrag Canonical bestätigt Behebung der DirtyClone‑Lücke in Ubuntu erschien zuerst auf fosstopia.

  •  

KDE Plasma 6.7.2 verbessert Wayland und AMD‑Grafik

KDE liefert ein neues Wartungsupdate für Plasma. Version 6.7.2 bringt wichtige Korrekturen für Wayland‑Nutzer und optimiert besonders Systeme mit AMD‑Grafik. Im Mittelpunkt stehen zahlreiche Anpassungen an KWin. Der Fenstermanager reagiert nun stabiler auf verschiedene Wayland‑Situationen. Probleme mit der Darstellung, dem Farbmanagement und der Behandlung mehrerer GPUs wurden gezielt behoben. Auch ältere AMD‑Grafikkarten profitieren von einer […]

Der Beitrag KDE Plasma 6.7.2 verbessert Wayland und AMD‑Grafik erschien zuerst auf fosstopia.

  •  

COSMIC Desktop 1.2 verbessert Dateimanager und poliert den Desktop

System76 liefert ein neues Update für seine Rust‑basierte Desktopumgebung. COSMIC Desktop 1.2 erscheint nur kurz auf Version 1.1, bringt zahlreiche Verbesserungen, die den Alltag vieler Nutzer spürbar erleichtern. Die Entwickler beheben ein störendes Flackern beim Öffnen der Arbeitsflächenübersicht. Zudem läuft die Oberfläche nun besser auf aktuellen Intel‑Grafikchips. Auch der Launcher zeigt ein stabileres Verhalten und […]

Der Beitrag COSMIC Desktop 1.2 verbessert Dateimanager und poliert den Desktop erschien zuerst auf fosstopia.

  •  

VirtualBox 7.2.12 stoppt kritischen Kernel‑Fehler auf Linux‑Systemen

VirtualBox erhält ein neues Wartungsupdate. Version 7.2.12 behebt mehrere Probleme, die zuletzt vor allem Linux‑Nutzer belastet haben. Im Mittelpunkt steht ein Fehler, der auf Linux‑Hosts zu einem vollständigen Systemstillstand führen konnte. Ausgelöst wurde er beim Start einer virtuellen Maschine. Betroffene berichteten von eingefrorenen Systemen, die nur durch einen harten Neustart wieder reagierten. Dieser Fehler trat […]

Der Beitrag VirtualBox 7.2.12 stoppt kritischen Kernel‑Fehler auf Linux‑Systemen erschien zuerst auf fosstopia.

  •  

Mozilla veröffentlicht Sicherheits-Update Firefox 152.0.4

Mozilla hat mit Firefox 152.0.4 sein wöchentliches Korrektur-Update veröffentlicht, welches auch Sicherheits-Verbesserungen beinhaltet. Dieser Artikel beschreibt die Änderungen des neuesten Updates.

Download Mozilla Firefox 152.0.4

Mit dem Update auf Firefox 152.0.4 behebt Mozilla mehrere Sicherheitslücken.

Auch mit diesem Update gab es wieder diverse Verbesserungen in Zusammenhang mit dem KI-Feature Smart Window, welches schrittweise ausgerollt wird.

Der Dialog „Cookies und Website-Daten verwalten“ öffnete mit einer leeren Liste, wenn er über die Suchergebnisse in den Einstellungen aufgerufen wurde.

Es wurde ein Problem behoben, bei dem Tastenkombinationen für „Kopieren“, „Einfügen“, „Rückgängig“, „Wiederherstellen“ und ähnliche Funktionen in macOS-Systemdialogen, wie beispielsweise „Speichern“ und „Öffnen“, nicht funktionierten.

Der Tastaturfokus landete nach dem Aufrufen eines Links innerhalb der Seite an der falschen Stelle.

Websites verwendeten möglicherweise falsche Symbole, wenn ein Taskleisten-Tab erstellt worden ist, sofern diese zusätzlich ein einfarbiges Manifest-Symbol angeben haben.

Das Sortieren der Suchmaschinen in den Einstellungen über die Tastatur funktionierte nicht wie erwartet.

Eine mögliche Absturzursache unter Windows wurde behoben.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 152.0.4 erschien zuerst auf soeren-hentzschel.at.

  •  

New Tab Override 18.0 veröffentlicht

New Tab Override ist eine Erweiterung zum Ersetzen der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Die beliebte Erweiterung ist nun in Version 18.0 erschienen.

Was ist New Tab Override?

Die Erweiterung New Tab Override erlaubt das Überschreiben der Seite, welche beim Öffnen eines neuen Tabs in Firefox erscheint. Dies kann eine beliebige Website, immer automatisch die aktuelle Startseite, eine lokale Datei, eine Hintergrundfarbe oder die neuesten Nachrichten von diesem Blog sein.

New Tab Override war das erste Add-on, welches das Überschreiben des neuen Tabs ermöglichte, und ist damit das Original und auch heute noch die meistgenutzte Erweiterung dieser Art. New Tab Override wurde im Dezember 2016 auf dem offiziellen Mozilla-Blog vorgestellt, schon mehrfach im Add-on Manager von Firefox beworben und gehört außerdem zu Mozillas handverlesener Auswahl empfohlener Erweiterungen.

Download New Tab Override für Firefox

Die Neuerungen von New Tab Override 18.0

Modernes Design der Einstellungs-Oberfläche

Die auffälligste Neuerung zuerst: Die Einstellungs-Oberfläche von New Tab Override erstrahlt in völlig neuem Glanz. Das Design basiert auf der identischen Design-Sprache, welche auch vom Enterprise Policy Generator genutzt wird.

New Tab Override 18
New Tab Override 18

In diesem Zusammenhang wurde auch gleich der native Bestätigungsdialog zum Löschen einer lokalen Datei durch eine eigene und visuell deutlich ansprechendere Version ersetzt.

New Tab Override 18

Verbesserungen in Zusammenhang mit Option für Website-Fokus

Für Nutzer, welche die Option aktiviert haben, dass der Fokus auf die Website und nicht auf die Adressleiste gelegt werden soll, gab es mehrere Verbesserungen. So erscheint nicht länger eine interne Datei der Erweiterung in der Liste kürzlich geschlossener Tabs, Firefox behält nun die aktive Tab-Gruppe und die Kompatibilität mit Erweiterungen, welche Gebrauch von Tab-Umgebungen machen, wurde verbessert.

Aus diesem Grund benötigt New Tab Override ab sofort eine zusätzliche Berechtigung, um auf die zuletzt geschlossenen Tabs zugreifen zu dürfen.

Konfiguration der Erweiterung über Unternehmensrichtlinien

System-Administratoren haben ab sofort die Möglichkeit, New Tab Override über sogenannte Unternehmensrichtlinien zu konfigurieren. Dies kann in Form einer policies.json-Datei beispielsweise so aussehen:

{
  "policies": {
    "3rdparty": {
      "Extensions": {
        "newtaboverride@agenedia.com": {
          "type": "custom_url",
          "url": "https://www.soeren-hentzschel.at",
          "focus_website": true
        }
      }
    }
  }
}

Tipp: Der Enterprise Policy Generator hilft bei der Konfiguration von Unternehmensrichtlinien.

Wurde New Tab Override über eine Unternehmensrichtlinie konfiguriert, können die konfigurierten Optionen nicht vom Benutzer verändert werden. Alle weiteren Optionen bleiben weiterhin für den Benutzer veränderbar.

New Tab Override 18

Keine Datensammlung

New Tab Override sammelt keine Daten. Um dies explizit zu machen, wurde eine neue Eigenschaft im Erweiterungs-Manifest gesetzt. Diese sorgt dafür, dass Nutzer bei der Installation sowie in der Add-ons-Verwaltung einen entsprechenden Hinweis sehen.

New Tab Override 18

Sonstige Neuerungen von New Tab Override 18

Bei Verwendung der Option, eine Farbfläche als neuen Tab zu verwenden, zeigen die Einstellungen jetzt auch den Hex-Code der ausgewählten Farbe an.

New Tab Override 18

Ein Fehler wurde behoben, der dafür sorgte, dass der Eintrag im Extras-Menü nicht funktionierte.

Sämtlicher JavaScript- und CSS-Code unter der Haube wurde modernisiert, ebenso wie der dahinter liegende Entwickler-Workflow. Dies zahlt auf eine bessere Code-Qualität sowie bessere Wartbarkeit für zukünftige Updates ein.

Neue Mindestvoraussetzung ist Firefox 140. Firefox 115 bis Firefox 139 werden nicht länger unterstützt.

Ausblick: New Tab Override 19.0

Die Entwicklung von New Tab Override 19.0 ist auch schon weit vorangeschritten. Mit der neuen Version wird es nicht mehr nur möglich sein, eine einzelne Seite für alle neuen Tabs festzulegen. Ab New Tab Override 19.0 wird für jede Tab-Umgebung sowie jede Tab-Gruppe eine individuelle Startseite festlegbar sein.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt von New Tab Override erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag New Tab Override 18.0 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

  •  

Urlaub mit dem Lama

Urlaub ist herrlich, um einfach mal abzuschalten. Doch nach ein paar Tagen der puren Erholung packt mich meistens wieder der Drang, etwas Kreatives oder Produktives zu tun. Ein gutes Buch lesen? Schon erledigt. Rätseln? Nun ja, dieses Jahr hatte ich mir Sudoku als Endgegner ausgesucht – was mich am Ende ehrlicherweise mehr angestrengt als erfreut hat. Immerhin war ich an anderer Stelle produktiv und habe die Auffrischung meines A2-Fernpiloten-Kompetenznachweises erfolgreich hinter mich gebracht.

Doch der Tech-Spleen lässt einen auch im Urlaub nicht ganz los. Mir ging da nämlich eine Sache durch den Kopf: Letztes Jahr hat Prof. Klaus Knopper auf den Chemnitzer Linux-Tagen einen extrem spannenden Vortrag zum Thema lokale KI gehalten. Konkret ging es um Ollama auf dem Raspberry Pi. Warum also nicht die freie Zeit nutzen, um das Ganze mal aus der Ferne auf dem heimischen RasPi zu installieren und selbst auszuprobieren?

Was ist Ollama?

Für alle, die den Begriff noch nicht gehört haben, hilft ein kurzer Blick in die Wikipedia:

Ollama ist eine Open-Source-Software zur lokalen Ausführung von Large Language Models (LLMs) auf Desktop-Computern. Die Plattform ermöglicht die lokale Nutzung frei verfügbarer KI-Modelle und unterstützt die Integration mit weiteren lokalen Werkzeugen, die über eine Kommandozeilenschnittstelle oder eine Programmierschnittstelle (API) angebunden werden können. Ollama ist für macOS, Linux und Windows verfügbar.

Installation

Gesagt, getan. Die Installation auf dem Raspberry Pi – in meinem Fall ein Raspberry Pi 5 mit 8 GB RAM – erfolgt denkbar einfach über das Terminal mit folgendem Befehl:

curl -fsSL https://ollama.com/install.sh | sh

Am Ende des Installationsvorgangs spuckt das System noch den dezenten Hinweis aus, dass keine NPUs oder Grafikkarten von Nvidia gefunden wurden, die die Ausführung des Large Language Models beschleunigen könnten. Das war beim RasPi natürlich zu erwarten, hält uns aber nicht auf.

Damit wir der KI überhaupt Fragen stellen können, muss im Anschluss ein passendes und vor allem schlankes Modell installiert werden. Für diesen ersten Test habe ich mich für Llama 3.2 (ca. 2 GB) entschieden:

ollama run llama3.2:3b

Der Praxistest: Was taugt die lokale KI?

Nachdem das Modell geladen war, wollte ich es natürlich wissen. Ich habe der lokalen KI eine klassische Frage gestellt:

Welche Linux-Distribution würdest du einem Anfänger empfehlen?

Eine gute Frage!

Als Anfänger ist es wichtig, eine Linux-Distribution zu wählen, die leicht zu installieren und zu bedienen ist. Hier sind einige beliebte Optionen:

  1. Ubuntu: Ubuntu ist eine der bekanntesten und am weitesten verbreiteten Linux-Distributionen. Sie bietet eine intuitive Benutzeroberfläche und eine riesige Gemeinschaft von Benutzern, die ihr helfen können, wenn
    etwas nicht funktioniert.
  2. Linux Mint: Linux Mint basiert auf Ubuntu und ist für ihre einfache und benutzerfreundliche Oberfläche bekannt. Sie ist auch sehr sicher und bietet viele zusätzliche Funktionen wie eine verbesserte
    Sicherheitsfunktion und eine integrierte Diskografie.
  3. Debian: Debian ist eine weitere beliebte Linux-Distribution, die für ihre Stabilität und Sicherheit bekannt ist. Sie bietet eine riesige Auswahl an Software und ist ein beliebter Kandidat für Entwickler und
    Systemadministratoren.
  4. Fedora: Fedora ist eine Linux-Distribution, die von der Open Source Initiative verwaltet wird. Sie bietet eine aktuelle und sichere Version von Linux und ist ein beliebter Kandidat für Entwickler und
    Systemadministratoren.

Meine Empfehlung wäre Ubuntu. Sie ist eine großartige Option für Anfänger, da sie leicht zu installieren und zu bedienen ist. Außerdem bietet sie eine riesige Gemeinschaft von Benutzern, die ihr helfen können, wenn
etwas nicht funktioniert.

Ich hoffe, das hilft! Wenn du noch weitere Fragen hast, stehe ich gerne zur Verfügung.

Das Ergebnis kann sich absolut sehen lassen. Die Antwort hätte ich so oder so ähnlich wahrscheinlich auch gegeben. Ich bin wirklich nachhaltig beeindruckt, was der kleine Einplatinen-Computer hier ganz ohne Cloud-Anbindung zu leisten vermag.

Fazit

Eine lokale und ethische KI auf dem eigenen Raspberry Pi ist auf jeden Fall einen Blick wert. Wer seine Daten nicht ungeschützt den großen Hyperscalern in die Cloud blasen möchte, findet hier eine fantastische Alternative. Im Sinne der digitalen Souveränität ist diese Lösung für kleinere, alltägliche Aufgaben auf jeden Fall hervorragend geeignet.

Der Beitrag Urlaub mit dem Lama erschien zuerst auf intux.de.

  •  

Akrites Initiative: Neue Allianz will Open‑Source‑Sicherheit stärken

Die Linux Foundation reagiert mit der Akrites Initiative auf wachsende Risiken für offene Software. KI findet Schwachstellen heute so schnell, dass klassische Sicherheitsprozesse kaum mithalten. Die Beteiligten warnen, dass moderne Modelle Lücken in Minuten aufspüren. Früher dauerte das oft viele Wochen. Diese Entwicklung trifft Bereiche wie Energie, Verkehr, Gesundheit und Finanzdienste. Gleichzeitig sinkt die Hürde […]

Der Beitrag Akrites Initiative: Neue Allianz will Open‑Source‑Sicherheit stärken erschien zuerst auf fosstopia.

  •  

Brave Origin zeigt sich als schlanker Browser ohne Ballast

Brave hat mit Brave Origin einen interessanten Browser im Angebot, der auf überflüssige Extras verzichtet und sich klar auf Privatsphäre und Geschwindigkeit konzentriert. Linux‑Nutzer können ihn kostenlos verwenden und sofort starten. Wer macOS oder Windows nutzt, wird jedoch mit einmalig 59,99 $ zur Kasse gebeten. Origin entfernt viele Zusatzfunktionen des normalen Brave Browsers. Dazu zählen […]

Der Beitrag Brave Origin zeigt sich als schlanker Browser ohne Ballast erschien zuerst auf fosstopia.

  •  

Mozilla veröffentlicht Firefox 152.0.3

Mozilla hat mit Firefox 152.0.3 ein Update außer der Reihe veröffentlicht und behebt damit genau ein Problem.

Download Mozilla Firefox 152.0.3

Die vor zwei Tagen veröffentlichte Version Firefox 152.0.2 hatte eine Regression, die dafür sorgen konnte, dass es beim Start von Firefox zu einem hohen Speicherverbrauch kam, der schließlich zum Einfrieren von Firefox führte. Betroffen waren Nutzer von Firefox mit installierten Sprachpaketen. Dieses Problem wurde mit Firefox 152.0.3 aus der Welt geschafft.

Der Beitrag Mozilla veröffentlicht Firefox 152.0.3 erschien zuerst auf soeren-hentzschel.at.

  •  

COSMIC Desktop 1.1 bringt neue Systemmonitor App

Der neue COSMIC Desktop 1.1 liefert viele Verbesserungen und führt mit COSMIC Monitor ein eigenes Werkzeug zur Systemüberwachung ein. Die Aktualisierung stärkt das gesamte Umfeld der Oberfläche und sorgt für mehr Stabilität. System76 ersetzt künftig den GNOME Systemmonitor durch den eigenen Monitor. Die App zeigt Auslastung klarer an und passt besser zur übrigen COSMIC Umgebung. […]

Der Beitrag COSMIC Desktop 1.1 bringt neue Systemmonitor App erschien zuerst auf fosstopia.

  •  

Xfce wagt den nächsten Schritt Richtung Wayland Zukunft

Xfce erreicht einen wichtigen Meilenstein auf dem Weg zu Wayland und präsentiert eine erste Vorschau seines neuen Compositors xfwl4. Die frühe Testversion stammt aus sechs Monaten Entwicklungsarbeit. Entwickler Brian Tarricone hält sie für reif genug für breitere Tests. Viele Funktionen fehlen jedoch noch. Fehler sind ebenfalls zu erwarten, da das Projekt noch am Anfang steht. […]

Der Beitrag Xfce wagt den nächsten Schritt Richtung Wayland Zukunft erschien zuerst auf fosstopia.

  •  

Mozilla veröffentlicht Firefox 152.0.2

Mozilla hat mit Firefox 152.0.2 sein wöchentliches Korrektur-Update veröffentlicht. Dieser Artikel beschreibt die Änderungen des neuesten Updates.

Download Mozilla Firefox 152.0.2

In manchen Sprachen konnte es vorkommen, dass einzelne Überschriften in den Einstellungen nicht korrekt übersetzt waren. Nach der Änderung der Browsersprache konnte es außerdem vorkommen, dass die Sprache der Widgets auf der Firefox-Startseite nicht ihre Sprache aktualisierten.

Die Gamepad API unterstützt jetzt auch den PlayStation DualSense Controller. Darüber hinaus gab es mehrere Verbesserungen der Webkompatibilität und eine Performance-Regression bei der Web Crypto API wurde behoben.

Auch in Zusammenhang mit dem KI-Feature Smart Window wurden wieder diverse Verbesserungen vorgenommen.

Der Beitrag Mozilla veröffentlicht Firefox 152.0.2 erschien zuerst auf soeren-hentzschel.at.

  •  

Ubuntu Livepatch erhält offizielle ARM64 Unterstützung

Canonical erweitert seinen Livepatch Dienst nun auch auf ARM64 Systeme und ermöglicht damit sicherheitsrelevante Kernel Updates ohne Neustart auf performanter ARM-Hardware. Die neue Unterstützung richtet sich vor allem an Betreiber großer Serverlandschaften. Livepatch hält kritische Kernel Lücken geschlossen, während Dienste weiterlaufen. Das senkt Ausfallzeiten und schützt sensible Systeme an entfernten Standorten. Besonders ARM-Server und Edge-Geräte […]

Der Beitrag Ubuntu Livepatch erhält offizielle ARM64 Unterstützung erschien zuerst auf fosstopia.

  •  

KDE Plasma 6.7.1 bringt wichtige Korrekturen

KDE liefert mit Plasma 6.7.1 ein erstes wichtiges Wartungsupdate, das zahlreiche Fehler beseitigt und die Stabilität des aktuellen Desktops verbessert. Die neue Version verfeinert den Wechsel zwischen globalen Designs durch einen sanften Übergangseffekt. Zudem wird das Gamepad‑Plugin standardmäßig deaktiviert, da es bei einigen Nutzern zu Störungen führte. Auch die Zwischenablage‑Synchronisation in Remote‑Sitzungen arbeitet nun wieder […]

Der Beitrag KDE Plasma 6.7.1 bringt wichtige Korrekturen erschien zuerst auf fosstopia.

  •  

Lehren aus dem AUR-Angriff

Mitte Juni 2026 wurden über 1500 AUR-Pakete kompromittiert (siehe auch den vorigen Blog-Beitrag zu diesem Thema). Es zeugt natürlich von großer Überheblichkeit, als Mitautor eines Hacking-Buches zu glauben, selbst immun gegen Angriffe zu sein. Ein Update zum falschen Zeitpunkt hat mich auf den Boden der Tatsachen zurückgeholt und mir — einen Tag vor Urlaubsantritt — eine Menge sinnloser Arbeit beschert. Ich habe Anthropic- und OpenAI-Keys widerrufen, die SSH-Keys des betroffenen Notebooks von diversen Servern und Dienstleistern gelöscht und unzählige Passwörter geändert. Sch***!

Heute habe ich, natürlich ohne das System neuerlich zu booten, eine Analyse gemacht. Im Prinzip:

pacman --root /mnt/arch --dbpath /mnt/arch/var/lib/pacman -Qm

Ich habe 60 AUR-Pakete gefunden. Nur eines davon (libgdata, eine veraltete GNOME-Bibliothek für den Zugriff auf Google-Dienste) wurde kompromittiert. Ich habe es nur Stunden nach der Manipulation, aber eben noch vor der Berichterstattung über den Hack installiert. Extremes Pech im Timing!

Dieser Blog-Beitrag ist der Versuch einer persönlichen Aufarbeitung. Was ist passiert? Warum ist es passiert? Und was kann ich daraus lernen?

Eines vorweg. Dieser Artikel ist keine Kritik am Arch-Linux-Projekt. Dieses hat immer klar kommuniziert, dass AUR-Pakete — wie der Name schon sagt (Arch User Repository) — von den Benutzern selbst gepflegt werden und keiner Kontrolle unterliegen. Wer solche Pakete installiert, ist selbst verantwortlich, mit allen — dieses Mal sehr unerfreulichen — Konsequenzen.

Auch Updates können gefährlich sein

Die Sicherheitsempfehlung schlechthin lautet: »Installieren Sie regelmäßig Updates.« Aber diese Regel gilt nur für Pakete aus offiziellen Quellen.

Für extern gepflegte Pakete wäre eine Cool-Down-Phase sinnvoll. Im Prinzip: »Mach ein Update aller offiziellen Pakete sowie eines aller extern gepflegten Pakete, sofern dieses Update zumindest 4 Tage alt ist«. (Über die genaue Zeitspanne kann man streiten.) Ich kenne allerdings keinen Paketmanager, der so eine Funktion bietet.

In die richtige Richtung gehen die Auto-Update-Funktionen von Debian und Ubuntu: Unter Debian werden per Default ausschließlich offizielle Debian-Sicherheitsupdates berücksichtigt (Datei /etc/apt/apt.conf.d/50unattended-upgrades). Sonstige Updates werden ignoriert und müssen manuell installiert werden. Ubuntu ist etwas liberaler und installiert alle Updates aus offiziellen Quellen (aber ebenfalls keine aus externen Quellen).

Kurz gesagt: Ein blindes Update über alle Pakete ist nur sinnvoll, wenn Sie sich über die Herkunft aller Pakete sicher sind. Vielleicht werde ich in zukünftigen Blog-Artikeln Tipps zusammenfassen, wie Updates feiner gesteuert werden können.

Wozu überhaupt nicht-offizielle Pakete?

Eine andere Sicherheitsempfehlung lautet: »Verwenden Sie nur offiziell gepflegte Pakete.« Dennoch hat praktisch jede Distribution zusätzliche Paketquellen:

  • Arch Linux: AUR
  • Debian: externe Debian-Repositories
  • Fedora: externe YUM-Paketquellen, COPR
  • RHEL + Klone: EPEL, Remi und andere externe YUM-Paketquellen
  • Ubuntu: externe Debian-Repositories, PPAs

Wenn externe Quellen unsicher sind, warum gibt es sie dann überhaupt? Weil sie manchmal der einzige und viel öfter der bequemste Weg sind, um Software zu installieren, die in den offiziellen Quellen fehlt. Für mich als Autor ist es wichtig, neue, nicht so bekannte Programme unkompliziert auszuprobieren. Viele Entwickler nutzen externe Pakete zur Installation von Tools, die nicht oder nur in veralteten Versionen zur Verfügung stehen. Schließlich fehlen kostenlose Programme mit kommerziellem Ursprung (also keine reine Open-Source-Software) wie Google Chrome in den offiziellen Quellen. Für »große« Distributionen gibt es zumeist »halb-offizielle« Pakete, aber für kleinere Distributionen wie Arch Linux sind Sie auf AUR-Pakete angewiesen.

Insofern ist der Rat, auf externe Quellen zu verzichten, für fortgeschrittene Benutzer und Software-Entwicklerinnen nur schwer umzusetzen.

Alles, worüber ich hier im Kontext von Linux-Paketen schreibe, gilt im Übrigen auch für die Erweiterungen/Bibliotheken aller wichtigen Programmiersprachen, Editoren und anderer Tools: also für Python-Module, NPM-Pakete, VSCode-Plugins etc. Der Überbegriff für Angriffe auf derartige Zusatzpakete lautet Software Supply Chain Attack (Lieferkettenangriff).

Weniger ist mehr

Für mich persönlich ist das AUR-Debakel ein Grund, die Nutzung externer Pakete viel stärker zu hinterfragen. Vorgenommen habe ich mir folgende Regeln:

  • So wenig externe Pakete wie möglich! (Gibt es geeignete Alternativen in den offiziellen Quellen?)
  • Ungenutzte externe Pakete deinstallieren. (Welche Pakete habe ich zwei, drei Monate nicht mehr gebraucht? Weg damit!)
  • Eine stärkere Differenzierung zwischen Test- und Work-Systemen.

Schadensminimierung

Der AUR-Angriff hat auf Authentifizierungsdaten abgezielt, also Keys, Tokens, Passwörter etc. aus allen erdenklichen Quellen (.ssh-Verzeichnis, Passwörter diverser Browser usw.) Eine sehr detaillierte Analyse der Malware finden Sie auf ioctl.fail.

In meinem Fall war das größte Problem die Passwortsynchronisation von Google Chrome. Ich speichere im Webbrowser viele Passwörter. Die Passwort-Synchronisation ist durch ein zusätzliches, persönliches Passwort geschützt. Bookmarks und Passwörter sollten also für Google unlesbar sein. Wenn ich ein neues System einrichte (Linux, Windows, macOS, iOS oder Android), installiere ich Google Chrome, melde mich bei Google an, gebe das Master-Passwort für Bookmarks und Passwörter ein und synchronisiere die Daten. Das geht blitzschnell und ist komfortabel. Aber es ist eben ein riesiger Single Point of Failure! Das Master-Passwort schützt mich vor einem Passwort-Hack bei Google, aber es hilft nicht, wenn der Angreifer die lokale Passwort-Datenbank (sqlite-Format) auslesen kann. Und genau das war beim AUR-Angriff der Fall.

Die Konsequenz: Ich werde in Zukunft die Anzahl der so synchronisierten Passwörter auf ein absolutes Minimum reduzieren und länger nicht benutzte Passwörter löschen bzw. woanders speichern. Der naheliegende Ort wäre natürlich ein Passwort-Manager. Ich muss aber gestehen, dass ich diesen Programmen gegenüber auch skeptisch bin. Sie ersetzen einen Single Point of Failure durch einen anderen. Wer mit plattformübergreifenden Tools positive Erfahrungen gemacht hat, darf seine/ihre Erfahrungen gerne in den Kommentaren teilen :-)

Einmal mehr die Distributionsfrage

Auf meinem Linux-Notebook werde ich die aktuelle Parallel-Installation von Arch Linux und CachyOS bei nächster Gelegenheit durch Fedora ersetzen. Ich habe das Notebook zuletzt fast nur noch unterwegs verwendet. Im Büro habe ich mit dem Framework Desktop eine attraktivere Alternative. Dort habe ich mich im Rahmen meiner KI-Arbeiten gut an Fedora gewöhnt.

Zu glauben, Fedora sei frei von den skizzierten Gefahren, wäre natürlich naiv. Aber vermutlich sind die Risiken bei großen, weit verbreiteten Distributionen mit kommerziellem Hintergrund (Fedora ist ja eine Art offizielle Spielwiese von Red Hat) doch geringer als bei kleineren Distributionen — auch, was weit verbreitete, aber eben inoffizielle Paketquellen für Zusatzpakete angeht. Alleine schon die Trennung über mehrere Einzel-Repos anstelle des zentralen AUR-Verzeichnisses ist schon ein Vorteil.

Der Abschied von Arch Linux fällt mir schwer. Ich empfinde das Rolling-Release-Modell äußerst attraktiv. Arch Linux hat über mehrere Jahre sehr gut für mich funktioniert. Aber ich werde auch in Zukunft nicht ganz ohne externe Pakete auskommen. Mit AUR habe ich mir die Finger einmal verbrannt. Diese Art der Verwaltung externer Pakete ist vielleicht doch zu liberal; Paketmanager wie yay oder paru verschleiern das Risiko zu sehr. Ein zweites Mal will ich dieses Risiko nicht eingehen.

Quellen, Links

  •  

Yay 13.0 für Arch Linux: Mehr Kontrolle nach AUR-Sicherheitsvorfällen

Mit Yay 13.0 erscheint ein umfangreiches Update. Der beliebte AUR-Helfer erweitert Prüfmechanismen für Pakete, nachdem es zuletzt zu massiven Malwarebefall in AUR Paketen kam . Nutzer erhalten zusätzliche Werkzeuge vor Installationen und Aktualisierungen. Eine wichtige Neuerung zeigt das Änderungsdatum von PKGBUILDs. Suchergebnisse und Upgrade-Menüs enthalten nun Altersangaben. So werden kürzlich geänderte Pakete schneller sichtbar. Die […]

Der Beitrag Yay 13.0 für Arch Linux: Mehr Kontrolle nach AUR-Sicherheitsvorfällen erschien zuerst auf fosstopia.

  •  

KDE Plasma 6.8 rückt näher: Schwerpunkt liegt auf Multi-Monitor Verwaltung

Plasma 6.8 nimmt Form an und bringt früh erste sichtbare Verbesserungen für Alltag und Workflow. Die kommende Version soll Mitte Oktober erscheinen und langsam beginnt das Bild sich aufzuklaren. Die Entwickler arbeiten an einer besseren Monitor‑Erkennung. Künftig tragen Bildschirme farbige Nummern, die ihre Position eindeutig zeigen. Das erleichtert Setups mit mehreren gleichartigen Displays. Auch die […]

Der Beitrag KDE Plasma 6.8 rückt näher: Schwerpunkt liegt auf Multi-Monitor Verwaltung erschien zuerst auf fosstopia.

  •  
❌