Kernel 5.4: exFAT und Sicherheitsmodule

Zum Redaktionsschluss war Kernel 5.4 noch nicht fertig, aber die Neuerungen sind bereits absehbar: Es wird einen offiziellen exFAT-Treiber geben sowie Sicherheitsmodule gegen Manipulationen durch den root-Account.

Linus Torvalds hat die Freigabe des neuen Kernels Ende November oder in der ersten Dezemberwoche angepeilt. Damit bleibt die Kernel-Entwicklung trotz nicht gerade kleiner Neuaufnahmen im Quellcode bei einer zweimonatlichen Frequenz. Eine Ergänzung, die Desktopnutzer freuen wird, ist die Aufnahme eines offiziellen Treibers für Microsofts Dateisystem exFAT, mit dem etliche Digitalkameras arbeiten. Bislang mussten sich Linux-Anwender mit einem externen Fuse-Modul behelfen. Bemerkenswert ist, dass die Neuaufnahme des exFAT-Treibers von Microsoft selbst vorangetrieben wurde, was einem Verzicht auf das Patent gleichkommt.

Der Kernel 5.4 zieht eine weitere Verteidigungslinie um den Kernel, um diesen mit „Lock-down“-Modulen vor Manipulationen und Neukonfigurierung zu schützen, auch wenn der root-Account das durchführen sollte. Diese Module können damit auch das Auslesen von Kernel-Informationen und Leistungsparametern unterbinden, die als vertraulich gelten können. Die neuen optionalen Sicherheitsfunktionen wurden lange kontrovers diskutiert, weil sie nicht nur IT-Abteilungen, sondern auch Hardwareherstellern eine einfachere Möglichkeit bieten, ein Linux-System signifikant zu vernageln. Wer sich aber nach günstigen oder besonders ausdauernden Linux-Notebooks mit ARM-Prozessor sehnt, darf sich auf die nächsten Kernel-Versionen freuen, denn mit Kernel 5.3 bekommt der Qualcomm Snapdragon 835 bessere Unterstützung und damit solche Notebooks wie das Asus Novago, HP Envyx2 und das Lenovo Miix 630. Die nächste Snapdragon-Generation 855 erhält auch die ersten Ergänzungen im Kernel. Den Intel-Prozessoren vom Typ Icelake die AMD-CPUs der Epyc-Serie und dem Ryzen 3000 entlockt der Kernel neue Funktionen. Bei den Dateisystemen fallen Ergänzungen der nativen Verschlüsselung von F2FS und EXT4 ins Auge, die vor allem von Google für Android-Geräte vorangetrieben werden. 

Micron: Superschnelle Server-SSDs

Die derzeit schnellste Solid State HD stammt von Micron: Mit Transferraten bis zu neun GB pro Sekunde ist die Micron X100 SSD um den Faktor drei schneller als die bisher schnellsten SSDs. Die Latenz könnte ebenfalls neue Maßstäbe setzen: Bei gleichmäßigen Lese- und Schreibvorgängen liegt die Verzögerung unter acht Mikrosekunden. Andere NAND-SSDs würden laut Micron eine um den Faktor elf größere Latenz vorweisen. Das Speichermedium eignet sich laut Hersteller besonders für Big-Data-Anwendungen und Storageserver mit zeitkritischen Transaktionen. Die SSDs sind vornehmlich für Rechenzentren gedacht und bisher nur über ein Partnerprogramm zu haben. Angaben zum Preis machte Micron noch nicht. 

Google: Erfolg mit Quantencomputer

Das Prinzip des Quantenrechners ist schon länger bekannt. Man braucht, um ihn sinnvoll einsetzen zu können, gewissermaßen auch passende Probleme mit speziellen Eigenschaften: Ein Durchbruch ist Ingenieuren bei Google gelungen, die mit einem Quantencomputer in 200 Sekunden eine speziell formulierte Aufgabe gelöst haben, für die der derzeit schnellste Supercomputer angeblich 10 000 Jahre bräuchte. Konkret hat das Forscherteam damit die sogenannte „Quantenüberlegenheit“ (Quantum Supremacy) gegenüber digitalen Computern belegt. Es gibt aber bereits Kritik und sogar Zweifel an den Forschungsergebnissen: John Preskill, Physiker am Caltech-Institut der Universität Kaliforniens und Schöpfer des Begriffs „Quantenüberlegenheit“, kritisiert die sehr unscharf formulierte Aufgabe, deren Lösung nicht mal aufschlussreiche Ergebnisse liefere. Wissenschaftler von IBM zweifeln die Ergebnisse an und stellen die These auf, dass ein herkömmlicher Superrechner die gleiche Aufgabe innerhalb von zwei Tagen mit höherer Genauigkeit bewältigten könnte. Einig ist sich die Wissenschaft aber, dass Google einen wichtigen Schritt getan hat, Quantencomputer besser zu verstehen und zu kontrollieren. Der nächste Schritt, ein wirklich „nützliches Problem“ zu lösen, liegt aber in weiter Ferne. 

Noch 2019: Linux Mint 19.3 

Nachdem die letzte Version von Linux Mint wegen Schwierigkeiten im Entwicklungsprozess um den Compositor und Window-Manager „Muffin“ etwas auf sich warten ließ, ist Linux Mint 19.3 trotz vieler Änderungen wieder auf Kurs. Die kommende Mint-Ausgabe wird auf Ubuntu 18.04.3 basieren, hat den Codenamen „Tricia“ bekommen und soll noch im Dezember erscheinen. Das .NET-Framework „Mono“ soll komplett getilgt werden, es gibt einen neuen Videoplayer namens „Celluloid“ und das Mint-Team wird ein neues Logo vorstellen. Die XFCE-Ausgabe wird das neue XFCE 4.14 mitbringen. 

Internet Archive: 2500 freie DOS-Spiele

Das Internet Archive ist ein in San Francisco ansässiger gemeinnütziger Verein, der eine freie Bibliothek digitaler Werke pflegt. Auch die „Wayback Machine“, die alte Versionen großer Webseiten archiviert, wird von diesem Verein betrieben. Nun hat das Archiv 2500 DOS-Spiele aus den 90er-Jahren in die Bibliothek aufgenommen, die sich online in modernen Browsern in einem Emulator spielen lassen, der Webassemply nutzt. Unter anderem ist der Titel „Alone in the dark“ vertreten, Sierra-Spiele und viele Adventures von SSI. Die Übersicht findet sich auf https://archive.org/details/softwarelib
rary_msdos_games. 

Mozilla: Offlineübersetzer geplant

Der Browser Firefox soll eine Übersetzungsfunktion erhalten, die anders als die Dienste von Google und Bing auch offline funktionieren soll. Anstatt Clouddienste zur Übersetzung will Mozilla auf Deep-Learning-Algorithmen bauen, die komplett clientseitig im Browser laufen. Diese Entwicklung plante Mozilla schon länger, konnte das Projekt aber mangels Finanzierung nicht umsetzen. Nun hat sich die EU mit 3,35 Millionen US-Dollar an dem Projekt beteiligt, das unter einer Open-Source-Lizenz stehen wird. 

SicherheitsNews

DWLAN: Leidige Linux-Lücke

Der Treiber des Linux-Kernels für WLAN-Chips von Realtek kann einen Pufferüberlauf auslösen und Systeme zum Absturz bringen. Schlimmstenfalls ließe sich sogar ausführbarer Code einschleusen, so der Entdecker der Lücke, der diese gegen jede Netiquette auf Twitter veröffentlichte. Die Lücke war im Kernel-Code schnell gepatcht und Linux-Distributionen sind bereits mit Aktualisierungen versorgt. Die größere Gefahr sind jedoch Android-Geräte und Router, die beispielsweise mit Open WRT arbeiten. Auch diese Geräte sind Opfer des Bugs, falls der WLAN-Chip von Realtek stammt.

Verwundbar: Nginx mit PHP-FPM

In PHP gibt es immer wieder drastische Sicherheitslücken. Die im Oktober bekannt gewordene Lücke kam bei einem Hackingwettbewerb ans Licht und betrifft nur die Kombination des Webservers Nginx mit der PHP-FPM-Runtime. Dies ist keine seltene Kombination und wird etwa von Nextcloud aufgrund der guten Leistung empfohlen. Die Schwachstelle CVE-2019-11043 erlaubt das Ausführen von Code auf verwundbaren Servern. Beispielcode ist auf Github zu haben und führte zu massenhaften Angriffen auf Server. Ab den PHP-Versionen 7.3.11 und 7.2.24 ist die Lücke geschlossen.

Thunderbird: Eigene GPG-Funktion kommt

Für die sicher verschlüsselte Korrespondenz mit GPG/PGP ist Thunderbird bisher auf die Erweiterung Enigmail angewiesen. Ab 2020 soll Thunderbird GPG/PGP nativ beherrschen, denn wie Firefox wird auch Thunderbird die von Enigmail genutzte Erweiterungsschnittstelle gegen die neuen „Webextensions“ austauschen. Der Austausch wird ab Thunderbird 68 erfolgen und damit wird diese Version auch die letzte sein, die Enigmail unterstützt. 

Chrome/Chromium: Aus für gemischte Inhalte

Noch laden die Google-Browser gemischte Inhalte von Webseiten, also einen Mix an Ressourcen, die von unverschlüsselten HTTP- und verschlüsselten HTTPS-Ressourcen stammen. Gemischte Inhalte erlauben aber Angriffe durch Cross-Site-Scripting, das eine Webseite dazu bringt, weitere Ressourcen von fremden URLs zu laden. Bisher blockieren Chrome/Chromium bereits Scripts und iFrames. Ab Chrome 80 werden Audio- und Videodateien blockiert, die auf einer HTTPS-Seite nur per HTTP verfügbar sind. Chrome 81 wird dann auch Bilder blockieren, auf die das zutrifft.

Sudo: Bug erlaubt root-Recht

Ausgerechnet im allseits geschätzten Sicherheitstool Sudo zum Delegieren von root-Rechten fand sich ein Bug, der im schlimmsten Fall die Ausweitung von Benutzerrechten erlaubt. Damit der Fehler fatal wird, ist aber eine sehr ungewöhnliche Konfiguration nötig: Dazu muss in der „sudoers“-Datei ein Nutzer definiert sein, der mit den Rechten aller anderen Konten Befehle ausführen darf, nur nicht als root. Diese Konfiguration verlangt nach dem Statement „!root“. Mit Version 1.8.28 hat Sudo den Fehler beseitigt.

Geminilake: Fehler in Intel-CPU

Das Entwicklerteam von Google Chrome hat in Intels CPU-Architektur Geminilake einen Bug entdeckt, der diverse Browser zum Absturz bringt. Der Bug wurde mit hoher Wahrscheinlichkeit nachträglich durch Microcode-Update lebendig. Geminilake ist in der Intel-Modellserie der Nachfolger von Apollolake und umfasst Celeron- und Pentium-Silver-CPUs, die seit 2017 in vielen Notebooks arbeiten. Eine vorübergehende Lösung sei es laut Google, auf den betroffenen Rechnern die 32-Bit-Pakete der Browser zu verwenden.

Apps: Torheiten mit TOR

Viele Android-Anwender nutzen unbemerkt das TOR-Netzwerk und setzen sich damit dem Risiko der Spionage aus, wie Sicherheitsforscher demonstrierten. Der Grund: Viele Apps nutzen TOR zur Übermittlung von Daten, da deren App-Entwickler davon ausgehen, dies sei ein Ersatz für ein VPN. Tatsächlich aber können Exit-Nodes den unverschlüsselten Datenverkehr mitschneiden. Die Sicherheitsforscher zeigten mit selbst aufgesetzten Exit-Nodes die unverschlüsselten persönlichen Daten wie GPS-Koordinaten, Adressen, Tastatureingaben von Millionen von Nutzern diverser Apps. Schätzungsweise übertragen 30 Prozent aller Android-Geräte aufgrund schlecht programmierter Apps Daten über TOR. Unter iOS ist das Problem geringer, tritt jedoch auch auf. Es fehlt generell an Aufklärung, dass das TOR-Netzwerk kein VPN ersetzt, sondern nur die Absender von Daten anonymisiert.

Nvidia, Adidas und AMD: Alle für Blender

Die Blender-Foundation hat genügend Unterstützer gefunden, um die Entwicklung des 3D-Modellers und Renderers mit festangestellten Programmierern erheblich voranzubringen. Vor zwei Monaten hat Epic Games mit einer einmaligen Spende von 1,2 Millionen US-Dollar die Blender-Entwickler unterstützt. Jetzt folgen Nvidia, Adidas, AMD und Embark Studios als weitere Unterstützer. Blender erschien vor 16 Jahren erstmals unter einer freien Lizenz und ist heute das wichtigste Open-Source-Programm in seiner Sparte. Die Software ist nicht nur für eine große Anwenderbasis der Einstieg in die Thematik 3D-Modelling, CAD-Visualisierung und Rendering, sondern wird seit vielen Jahren von professionellen Studios eingesetzt (siehe auch ab Seite 66). 

KDE-Connect für Windows

Die ursprünglich für KDE entwickelte Komponente, welche Android mit dem Desktop-PC über WLAN verknüpft, setzt ihren Siegeszug fort. KDE Connect erlaubt per App den Austausch von Dateien, Zwischenablage und die Anbindung von Android-Geräten zur Mediensteuerung und sogar als Eingabegerät. Von KDE kam die Komponente zunächst auf andere Linux-Desktops, dann auf Mac-OS X und jetzt sogar zu Windows. Noch gilt KDE Connect für Windows als Alphaversion, aber eine EXE-Datei steht für unkomplizierte Tests bereits zum Download bereit (https://binary-factory.kde.org/view/Windows%2064-bit/job/kdeconnect-kde_Nightly_win64, 78 MB, für Windows 10, 64 Bit). 

Ubuntu 20.04 wird ein Raubtier

Kaum war Ubuntu 19.10 „Eoan Ermine“ veröffentlicht, begann auch schon die Entwicklungsphase der kommenden Version. Ubuntu 20.04 wird eine Ausgabe mit Langzeitunterstützung. Wie auf der Entwickler-Mailingliste bekanntgegeben wurde, bekommt Ubuntu 20.04 den Codenamen „Focal Fossa“. Das Fossa ist ein katzenähnliches Raubtier, auch „Frettkatze“ genannt, die auf Madagaskar vorkommt und eine bedrohte Tierart ist. Im Fokus wird bis zum geplanten Veröffentlichungstermin im April 2020 die Einbindung von Gnome 3.36 stehen, außerdem sollten Kernel 5.5 und PHP 7 bis dahin fertig sein.  

50 Jahre Internet

Nicht nur Unix begeht dieses Jahr sein fünfzigjähriges Jubiläum, auch das Internet wird ein halbes Jahrhundert alt, sofern man den Vorläufer „Arpanet“ und dessen Nachfolger „Darpanet“ hinzuzählt. Am 29. Oktober 1969 loggte sich zum ersten Mal ein Student an der UCLA in einen Rechner am Hunderte Kilometer entfernten Stanford Research Institut ein. Aus diesem Netzwerk, das mit Paketvermittlung arbeitete und ursprünglich im Auftrag der US Air Force entstand, wurde nach 20 Jahren das öffentliche und teilkommerzielle Internet. 

Streaming: Disney+ mag kein Linux

Der neue Streamingdienst Disney+ läuft wegen der sehr restriktiven DRM-Vorgaben nicht in Browsern unter Linux, wie Fedora-Entwickler vorab festgestellt haben. Zwar nutzt Disney+ wie die Konkurrenz von Netflix und Amazon auch das Widevine-Plug-in für das Rechtemanagement und als Kopierschutz, allerdings mit der höchsten von drei möglichen Sicherheitsstufen. Die höchste Stufe geht zu Lasten der Kompatibilität und wird auf vielen Endgeräten und einigen Betriebssystemen nicht funktionieren, unter anderem nicht auf Desktop-Linux.  

Systemd: Konzepte für „Home“

Lennart Poettering, der maßgebliche Entwickler hinter dem Soundserver Pulse Audio und dem Init-System Systemd, hat in einer Präsentation eine mögliche Zukunft für die Verwaltung des Home-Verzeichnisses auf Linux-System formuliert. Unter dem Projektnamen „Systemd-Homed“ sollen Home-Verzeichnisse zu einer verschlüsselten portablen Containerdatei werden, die per Systemd eingebunden wird. Besonders IT-Manager und Admins werden sich für die Netzwerkfähigkeit dieser Lösung begeistern können. Systemd-Homed wird Home-Verzeichnisse von einem Server im Netzwerk beziehen können – im Stile eines Active-Directory-Servers. Dies soll nicht lange Theorie bleiben: Im aktuellen Entwicklungszyklus bekommt Systemd (Version 244) bereits erste Ergänzungen im Code. 

Cent-OS: Es rollt!

Mit Cent-OS Stream hat Red Hat eine neue Linux-Distribution ins Leben gerufen, die als Rolling Release gepflegt werden kann, also fortwährend mit frischen Paketen versorgt wird. Bisher war Cent-OS als Klon von Red Hat Enterprise Linux vor allem auf Stabilität und lange Unterstützungszeiträume von bis zu zehn Jahren getrimmt. Dies brachte aber das Dilemma von alten Paketversionen mit sich, was bei Serverprogrammen und Rahmenwerken wie Node.JS und PHP nicht für jeden Einsatzzweck optimal ist. Server-Admins mussten hier oft auf das inoffizielle EPEL-Repository ausweichen, um in der Entwicklung mitzuhalten. Mit Cent-OS Stream wird es einfacher, frischere Pakete aus offiziellen Quellen zu installieren. Ein Ersatz für Fedora, das als Distribution als Trendsetter für Desktopanwender und experimentelle Server aufgestellt ist, wird Cent-OS Stream aber nicht sein. 

Canonical: Zahlen, bitte!

Lubuntu ist als Distribution im Herbst 15 Jahre alt geworden. Die Entwicklerfirma Canonical hat mit der Veröffentlichung von Ubuntu 19.10 auch ihren Geschäftsbericht abgegeben. Aus dem Bericht geht hervor, dass Canonical nun 437 Angestellte beschäftigt, zehn mehr als im Jahr zuvor. Der Umsatz ist um vier Millionen US-Dollar auf 99 Millionen US-Dollar gestiegen, aber es bleibt ein operativer Verlust von neun Millionen US-Dollar. Das ist immerhin eine Verringerung des Verlusts um 14 Millionen US-Dollar zum Vorjahr. Canonical benötigt also weiterhin finanzielle Zuwendung durch seinen Gründer, den südafrikanischen Multimillionär Mark Shuttleworth. 

UpdateTelegramm

Fedora 31

Knapp nicht mehr auf Heft-DVD: Fedora 31 erschien Ende Oktober mit fast schon traditioneller Verspätung. Die Distribution gilt als Vorzeige-System für Wayland und den Gnome-Desktop, der hier in der Gnome 3.34 ohne Veränderungen enthalten ist. Der Kernel ist bei Version 5.3 angekommen und wird voraussichtlich auch noch auf Version 5.4 aktualisiert. Das System wird auf der nächsten Heft-DVD liegen (https://getfedora.org).

Tails 4.0

Das Livesystem mit vorkonfiguriertem TOR-Client zur sicheren Teilnahme am anonymisierenden TOR-Netzwerk wurde aus den Paketquellen von Debian 10 „Buster“ neu gebaut. Die Aktualisierungen umfassen auch den Desktop, bei dem es sich um Gnome 3.30 handelt. Der TOR-Browser ist in Version 9.0 enthalten (https://tails.boum.org).

Jack Audio Server 1.9.13

Nach zwei Jahren Entwicklungszeit steht der Jack Audio Server, der mit seiner geringen Latenz professionelle Ansprüche der Studiotechnik bedient, in neuer Version bereit. Dieser Ersatz für Pulse Audio und Alsa stellt Verbindungen von Audio- und Midi-Daten zwischen Anwendungen und Hardware in Echtzeit her. Die neue Version versteht sich besser mit Systemd und hat eine neue Daten-API für Lizenzinformationen erhalten (https://jackaudio.org).

MPV 0.30

Der MPV Videoplayer erhielt in den letzten Jahren neben VLC viel Aufmerksamkeit, weil er sich mit weniger Systemressourcen begnügt. Zur Ausgabe nutzt MPV die Schnittstellen Open GL oder Vulkan, falls vorhanden, und holt damit mit Hardwarebeschleunigung das Optimum aus einem System. MPV selbst hat keine grafische Oberfläche, sondern nur minimale Steuerelemente (https://mpv.io).

Firefox 70

Die zweimonatlichen Firefox-Updates verdienen wegen ihrer Häufigkeit eigentlich keine Erwähnung. Version 70 ist aber eine eindrucksvolle Version mit interessanten neuen Funktionen: Es gibt eine neue Sicherheitsübersicht zu HTTP-Seiten und einen Privatsphärenbericht, der auf Wunsch über die geblockten Tracker aufklärt. Außerdem gibt es einen neuen Manager für gespeicherte Zugangsdaten, der nun nicht mehr als Dialog erscheint, sondern in das Browserfenster integriert ist. Ein neues Logo gibt es auch (www.mozilla.org/de/firefox/new).

Free CAD 0.18.4

Das freie 3D-CAD-Programm fußt auf dem Rahmenwerk von Open Cascade, das seit 2013 Open-Source-Software ist. CAD-Programme für Linux sind rar, denn der Entwicklungsaufwand für Software dieser Art ist hoch. Deshalb verdient Free CAD immer eine Erwähnung, wenn eine neue Version vorliegt. Free CAD 0.18.4 behebt Fehler und verbessert die Berechnung von Bohr- und Schneidegeschwindigkeit für bekannte Materialien (www.freecadweb.org).

Ubuntu Touch OTA-11

Ubuntu Touch hält sich stabil als Gemeinschaftsprojekt und kommt sogar regelmäßig auf neue Versionen, die Ubuntu-Touch-Geräte direkt Over The Air (OTA) einspielen können. Ubuntu Touch OTA-11 basiert auf Ubuntu 16.04, behebt Probleme mit der Bildschirmtastatur und verbessert den Webbrowser Morph, der auf der Qt-Webengine von KDE aufbaut (https://ubuntu-touch.io).

Ubuntu 18.04.4 

Die nach wie vor gültige Langzeitversion 18.04 LTS erhält Anfang Februar ihre vierte Erneuerung durch Release Point 18.04.4. Ähnlich den „Service Packs“ unter Windows fasst dieser Schritt alle bislang erschienenen Updates zusammen, bringt aber zusätzlich mit einem Kernel-Update das System auf den neuesten Treiberstand.