Kernel 5.18: Neue CPUs kommen

Der kommende Kernel war zum Redaktionsschluss noch in der Mache, lag aber schon als Release Candidate 4 vor. Bemerkenswerte Neuigkeiten gibt seitens AMD und Intel, die den Kernel 5.18 für ihre neuen Prozessorgenerationen fit machen.

Eine auffällig hohe Zahl an Ergänzungen und Neuerungen stammt von den beiden großen Chipherstellern Intel und AMD. Das macht den Kernel 5.18 zu einer Version, bei der es vornehmlich um Hardwareunterstützung geht. So steuerte AMD Code zur Unterstützung des Zen 4 bei, eine CPU-a, die im Fünf-Nanometer-Verfahren gefertigt wird und im Spätsommer oder Herbst auf den Markt kommt. 

Von Intel gibt es eine Neuerung im Kernel, die auf eine komplett andere Marktstrategie schließen lässt: Mit „Software Defined Silicon“ will Intel die Fähigkeiten zukünftiger Prozessoren offenbar über die Lizenzierung kryptografisch signierter Treiber zugänglich machen. Das bedeutet, dass bestimmte Befehlssätze für spezialisierte Aufgaben gegen Aufpreis oder nur zeitlich beschränkt im Abomodell verfügbar wären. Diese Lizenzen steuert ein neuer Bus im Linux-Kernel, der die vorhandenen Lizenzschlüssel überprüft und dann die dazu gültigen CPU-Leitungsfähigkeiten zur Verfügung stellt. Diese Technik wird von einigen Kernel-Entwicklern kritisch kommentiert (https://lwn.net/Articles/884876), weil sie bedeutet, dass Intels Kunden künftig einen Prozessor, aber nicht dessen volle Leistung und Fähigkeiten erwerben. Unter den Ein-Platinen-Computern erhält der Raspberry Pi Zero 2 W nun volle Unterstützung durch den Kernel. Die Dateisysteme Ext4 und BTRFS, die beide die größte Verbreitung haben und als Standard gelten können, bekamen Optimierungen für verbesserte Performance. 

Es gibt auch einen Streichkandidaten: Reiser FS, eines der frühen Dateisysteme mit Journaling, hat seine Bedeutung heute verloren. Ab Kernel 5.18 ist es zur Entfernung markiert und der Kernel gibt beim Einhängen von Reiser-FS-Partitionen eine Warnung aus. 

Linux Mint: Grafisches Upgradetool

Ein Manko bei Linux Mint war bisher der Wechsel von einer Hauptversion auf die nächste, denn das Upgrade musste in der Kommandozeile mittels „apt“ und „mintupgrade“ erfolgen. Dieser Weg entspricht nicht dem Anspruch von Linux Mint, sich als Lösung auch für weniger erfahrene Linux-Anwender zu eignen. Ab der kommenden Ausgabe Linux Mint 21, die auf Ubuntu 22.04 (LTS) beruht und im Sommer erscheinen soll, will Linux Mint ein grafisches Programm als Hilfe auf das dann später folgende Linux Mint 22 mitliefern. Das grafische Tool soll eventuelle Probleme im Vorfeld erkennen und in seiner Bedienung klar strukturiert sein.  

Ubuntu 22.10 wird eine Antilope

Kurz nach dem Erscheinen von war Ubuntu 22.04 (auf Heft-DVD) hat die Entwicklungsphase der kommenden Ubuntu-Version 22.10 begonnen. Die Tradition, Versionen nach Tieren und einer Eigenschaft zu benennen, a Ubuntu weiterhin. Und im Alphabet geht es auch weiter: Nach „Jammy Jellyfish“ kommt nun der Buchstabe „K“ und „Kinetic Kudu“, benannt nach der Antilopenart der Kudus. Erwartet wird die Einführung des neuen Installers, der auf dem von Google und Canonical entwickelten Flutter-Toolkit basiert. Der Desktop wird voraussichtlich ein Mix von Gnome 42 und 43. 

Open Suse: Neuer Installer

Open Suse arbeitet wie Ubuntu an einem neuen Installer, der ganz ähnlich auf Webtechniken aufsetzt. Im Hintergrund läuft aber weiterhin das bewährte Yast. Ein weiterer Vorteil: Bei Installationen auf Hostern oder in der Cloud ist dann eine Verbindung zum Installationsprogramm mit dem lokalen Browser möglich. Das Grundgerüst stammt vom Red Hat Cockpit, dem webbasierten Administrationssystem der Red-Hat-Distributionen. Im Zweig von Open Suse Tumbleweed gibt es bereits ein Image zum Testen des neuen „D-Installers“ (https://download.opensuse.org/repositories/YaST:/Head:/D-Installer/images/iso). 

Ubuntu: Echtzeit-Kernel verfügbar

Für Controller zur Steuerung und Signalverarbeitung sind Echtzeit-Kernel mit festen Interrupts eine Voraussetzung. Der Linux-Kernel liefert diese Echtzeitfähigkeiten nicht, liegt für diesen spezialisierten Einsatzbereich aber seit zwei Jahrzehnten als Abspaltung vor (https://rt.wiki.kernel.org), um die sich Intel seit Februar 2022 als maßgeblicher Sponsor kümmert. Dies hat nun das Interesse Canonicals geweckt: Ab Ubuntu 22.04 ist der Linux-Kernel für die Architekturen x86 (64 Bit) sowie ARM AArch64 in den Standard-Paketquellen verfügbar, aktuell noch in einer Betaversion. 

Google: Steam für Chrome-OS

Neuere Chromebooks sind durchaus in der Lage, ältere und weniger anspruchsvolle Spiele auszuführen. Google hat auf seiner hauseigenen Spiele-Entwicklerkonferenz „Games Developer Summit“ im März 2022 bekanntgegeben, dass der Steam-Client von Valve auch auf das Linux-basierte Chrome-OS kommt. Wenig überraschend: Das gilt nur für Intel- und AMD-Hardware, während ARM-Geräte außen vor bleiben. Steam erlaubt dann die einfache Installation von Titeln aus dem verfügbaren Spielekatalog inklusive einiger Windows-Spiele, die über Proton oder unter Wine in einer Kompatibilitätsschicht laufen.

Uutils: Coreutils in Rust

Die „Coreutils“ aus dem GNU-Umkreis liefern unter Linux-Systemen unverzichtbare Werkzeuge in der Kommandozeile. Von ls bis dd und chown enthält das Standardpaket alle wichtigen Programme für Scripts und die Shell. Es ist selbstverständlich, dass die Codequalität bei diesen elementaren, oft sicherheitsrelevanten Programmen von bester Güte sein muss. Deshalb hat sich eine kleine Gemeinde an Computerwissenschafltern und Entwicklern zusammengefunden, um die Coreutils neu in der Programmiersprache Rust nachzubilden. Dies verspricht eine hohe Sicherheit bei Speicherzugriffen, weil typische Fehler von C in Rust von Haus aus ausgeschlossen sind. Unter dem Namen „Uutils“ hat das Entwicklerteam jetzt die erste stabile Version der Coreutils in Rust auf Github veröffentlicht (https://
github.com/uutils/coreutils).  

SicherheitsNews

Virustotal: Einbruch über Bilddateien

Zur Prüfung einzelner Dateien eignet sich der von Google betriebene Onlinedienst Virustotal (www.virustotal.com), der hochgeladene Dateien analysiert. Wie nun ein Team von Sicherheitsexperten gezeigt hat, waren angeschlossene Dienste und Server von Partnern des Dienstes selbst verwundbar: Über das Linux-Programm Exiftool, das auf den Servern dazu dient, Metadaten aus Bildern auszulesen, konnten die Forscher über eine bereits länger bekannte Sicherheitslücke eigenen Code einschleusen und auf einigen Servern sogar root-Recht erlangen. Google hat darauf verwiesen, dass keine Virustotal-Server von der Lücke betroffen waren, jedoch angeschlossene Partner, meist andere Antivirenlabors, welche die hochgeladenen Daten ebenfalls analysieren.

Android: Arge Lücke in Audiocodec

Ein Audiocodec von Apple reißt auf Millionen von An­droid-Geräten eine schwere Lücke. Das Problem steckt in den Chips von Qualcomm und Mediatek, die beim Abspielen von Dateien im Format ALAC (Apples Lossless Audio Codec) anfällig für eingeschleusten Code sind. Der Codec ist seit 2011 Open Source und weit verbreitet. Einen Patch für Android gibt es zwar seit Dezember 2021, aber aufgrund der Brisanz wurden Details zur Lücke erst jetzt veröffentlicht. Es ist davon auszugehen, dass jedes Android-System, das seit Ende 2021 kein Update mehr bekommen hat, für Angriffe verwundbar ist. Die Sicherheitslücke hat deshalb den griffigen Namen „ALHACK“ bekommen.

Open SSH 9.0 erschienen

Eine erhebliche Änderung wurde im SSH-Server 9.0 umgesetzt: Der Kopierbefehl „scp“ für sichere Dateiübertragungen im Netzwerk/Internet wechselt vom alten SCP-Protokoll zu SFTP. Anwender sollten davon nicht viel mitbekommen, denn die Syntax bleibt gleich. Bemerkenswert für SSH-Verbindungen ist die neue Methode NTRU-Prime X25519 zum Austausch der kryptografischen Schlüssel. Diese ist bereits dafür geschaffen, künftige Angriffe von Quantencomputern zu erschweren. 

Kernel: Lücke in Netfilter

Zwei kritische Schwachstellen im Netfilter-Subsystem des Linux-Kernels haben Ende März 2022 ein zwingend notwendiges Update des Kernels ausgelöst. Beide Lücken würden einen root-Zugriff auf verwundbare Linux-Systeme ab Kernel 5.12 ermöglichen – durch überschriebene Speicherbereiche. Es gibt aber einige Voraussetzungen für einen erfolgreichen Angriff, sodass die Lücken (CVE-2022-1015) nur als mittelschwer eingestuft wurden. Der Entdecker verweist darauf, dass die Sicherheitslücken auf die Speicherbehandlung der üblichen C-Compiler unter Linux zurückzuführen sind und nicht am Kernel-Code selbst liegen.

Zlib: Jahrealtes Sicherheitsproblem

In der verbreiteten Bibliothek Zlib, die viele Programme mit Methoden zur Datenkomprimierung ausstattet, lauert seit Jahren ein schlimmer Bug: Manipulierte Tabellen können ein Programm über Zlib zum Absturz bringen und dabei eingeschmuggelten Code ausführen. Die gefundene Lücke ist laut ihrem Entdecker bereits 17 Jahre alt. Der bereits seit vier Jahren verfügbare Sicherheitspatch wurde nicht in alle Zlib-Versionen übernommen. Mittlerweile hat das Problem eine CVE-Nummer zur Klassifizierung bekommen (CVE-2018-25032) sowie eine recht hohe Risikobewertung von 8,2 von 10 Punkten. Linux-Distributionen und Projekte wie Apache haben den Patch bereits übernommen. Eine Gefahr bleiben aber jene Programme, die Zlib als statische Bibliothek eingebunden und schon länger keine Updates mehr bekommen haben.

Steam-OS 3.0: Aktualisierungen erklärt

Das Linux-Betriebssystem für die Spielekonsole Steam Deck von Valve wurde von Collabora mitentwickelt. Steam-OS 3.0 basiert auf einem angepassten Derivat von Arch Linux, weil damit neue Kernel und Grafikbibliotheken schneller verfügbar werden. Das offizielle System trotz Arch-Unterbau stabil zu halten, erfordert aber eine spezielle Updatestrategie, wie Collabora in einer Präsentation auf der Firmenwebseite nun zeigt (www.collabora.com). Das Updateprinzip ist ähnlich zu jenem aktueller Android-Geräte, mit einer A/B-Partitionierung des internen Speichers für das System, damit immer ein funktionierendes Steam-OS 3.0 verfügbar ist. Ein Bootloader wählt jeweils das aktuelle funktionierende System aus. Das Betriebssystem selbst ist „immutable“, also von Anwendern nicht veränderbar. Spiele beziehungsweise Anwendungen sind als isolierte Container installiert, die das Betriebssystem nicht verändern. Bemerkenswert sind die Softwaredetails, weil dies der erste große technische Einblick in die Methoden von Steam-OS 3.0 ist. Diese Möglichkeiten sollen auch für die übliche PC-Hardware, also Gaming-PCs, verfügbar werden. Mit den bisherigen Verkaufszahlen des Steam Deck kann Valve zufrieden sein: Im Steam-Onlineshop rangiert die Linux-Spielekonsole seit zwei Monaten auf Platz zwei der Verkaufsliste, noch vor dem Spieletitel Elden Ring. 

Kernel: Verwaiste NTFS-Treiber

Kernel-Entwickler haben gewarnt, dass der interne Treiber für das Windows-Dateisystem NTFS, der erst zur Version 5.15 in den Quellcode aufgenommen wurde, keinen guten Zustand mehr aufweist und bessere Pflege benötigt. Beigesteuert hatte den Treiber die Paragon Software Group aus Freiburg im Breisgau, die für den Code eine eigene, zuvor proprietäre Eigenentwicklung angepasst hat. Probleme gab es bei der Mitarbeit am Kernel bereits von Anfang an, als offensichtlich wurde, dass sich die Entwickler bei Paragon mit dem Versionsverwaltungssystem Git schwertun und auch auf PGP-Signaturen verzichten. Dies zog bereits spitze Bemerkungen von Linus Torvalds nach sich. Das jetzige Problem mit dem NTFS-Treiber ist jedoch noch kritischer, denn es stapeln sich unerledigte Fehlerbehebungen, während bei Paragon niemand mehr auf die Mails der Kernel-Entwickler antwortet. Eventuell könnte der Treiber wieder aus dem stabilen Zweig des Kernels gestrichen werden.  

Snowflake: Zuwachs im TOR-Netzwerk

Die Macher des anonymisierenden TOR-Netzwerks haben eine Erweiterung geschaffen, die das Mithelfen vereinfacht. Dabei war das Ziel, das Risiko zu minimieren, das beim Betrieb eines Exit-Nodes unter Verwendung der eigenen IP-Adresse entsteht. Das neue Mitmachprojekt namens „Snowflake“ dient dazu, weitere Zwischenstationen im TOR-Netzwerk einzufügen. Es genügt nämlich eine Browsererweiterung (https://snowflake.torproject.org) für Firefox oder Chrome/Chromium, um den Browser zu einem TOR-Knotenpunkt zu machen. Dieser ist jedoch nur eine Vermittlungsstelle und ruft nicht die Webseiten von anderen TOR-Nutzern auf. Die Weiterleitung des Traffics zu TOR-Teilnehmern erfolgt über Web RTC und es verbleiben keine Daten auf dem eigenen Rechner. Die TOR-Community hofft mit Snowflake das Proxy-Netzwerk zu beschleunigen, zumal in TOR viele neue Nutzer aus Russland hinzugekommen sind. 

Threema: Ohne Google-Dienste nutzbar

Die Push-Dienste von Google Play spielen bei Instant Messaging unter Android eine tragende Rolle, denn sie halten eine Verbindung zwischen Gerät und Serverdienst offen, um aktuelle Nachrichten auch bei geschlossenen Apps zu erhalten. Der Haken: Dieser Push-Dienst unterliegt der Kontrolle von Google und funktioniert nicht ohne proprietäre Google-Apps. Wer Android ohne Google-Dienste verwendet, bekommt also im Hintergrund keine Nachrichten. Der Anbieter der Instant-Messaging-Lösung Threema hat nun einen Nachbau der Push-Dienste in Betrieb genommen. Damit funktioniert Threema ab Version 4.7 auch auf Android-Geräten ohne Google-Dienste.  

Fedora: Bios-Modus angezählt

Nur noch Installationen im Uefi-Modus? Das Team hinter Fedora diskutiert gerade, die Bios-Unterstützung aus der Linux-Distribution zu entfernen. Dieser Schritt würde den Installer Anaconda und den Bootloader Grub betreffen. Vorhandene Fedora-Systeme, die per Updater auf eine neue Version gebracht werden, behalten weiter die Fähigkeit, im Bios-Modus zu booten. Nach den bisherigen Vorschlägen soll die Bios-Unterstützung erst unter Fedora 38 gänzlich verschwinden. 

Linux-Server: Schneller abschalten

Google hat auf seinen Servern die Erfahrung gemacht, dass Abschalten und Neustart von Linux-Systemen bei einer großen Zahl an NVME-Laufwerken im System recht lange dauern kann. Lange bedeutet hier 4,5 Sekunden pro NVME-Datenträger, was sich bei Datenservern mit Dutzenden dieser Laufwerke dann schon mal auf mehrere Minuten summiert. Google hat deshalb eine Änderung im Linux-Kernel vorgeschlagen, um Geräte wie NVME-Laufwerke am PCI-Express-Bus nicht wie bisher nacheinander abzuschalten, sondern über eine asynchrone API möglichst gleichzeitig. 

Android 13 vorgestellt

Auf der hauseigenen Konferenz „Google I/O“ hat der Konzern die Android-Version 13 („Tiramisu“) als Beta vorgestellt. Im Hintergrund wird der Linux-Kernel 5.10 arbeiten – eine Ausgabe mit Langzeitsupport bis 2026. Neu sind in Android 13 feinere Regeln der Zugriffsberechtigungen von Apps, ferner Bluetooth LE Audio und eine Schnittstelle für MIDI 2.0 über USB, um Android-Geräte als MIDI-Controller zu verwenden. 

Gaming-Bolide: Tuxedo Stellaris 15

Tuxedo hat die vierte Generation des Linux-Laptops Stellaris 15 vorgestellt. Es handelt sich um ein Gerät im 15,6-Zoll-Format, das mit Ausstattung und inneren Werten punktet. Zur Auswahl gibt es Intel Core i9-12900H oder Ryzen 9 5900HX als Prozessor. Für den Gamingeinsatz gibt es optional den Nvidia-Grafikchip RTX 3080 Ti in der leistungsfähigsten Konfiguration, aber auch RTX 3070 Ti und RTX 3060. Der Akku soll für bis zu acht Stunden Laufzeit bei Büroarbeiten sorgen, während das Netzteil im stationären Betrieb die anspruchsvollen Grafikchips versorgt. Als Gadget ist eine externe Wasserkühlung „Tuxedo Aquaris“ vorgesehen, die Lüfterlärm bei Auslastung reduziert. In der Grundausstattung kostet das Stellaris 15 ab 2099 Euro (www.tuxedocomputers.com). 

UpdateTelegramm

Raspberry-Pi-OS 2022-04-04
Das offizielle Debian-System für den Rasp­berry Pi (alle Modelle) schneidet alte Zöpfe ab und trennt sich aus Sicherheitsgründen vom Standardbenutzer „pi“. Nach der Installation gibt es nun einen Assistenten, der beim ersten Booten einen neuen Benutzer anlegt. Experimentell ist Wayland verfügbar, die sich über „raspbi-config“ aktivieren lässt. Der Kernel liegt in Version 5.15 vor (www.raspberrypi.org).

Diet Pi 8.3
Die ressourcenschonende Distribution für Ein-Platinen-Rechner wie den Raspberry Pi macht sich Optimierungen wie Log 2 RAM zunutze, um die maximale Leistung aus kleiner Hardware zu holen. In Version Pi 8.3 gibt es erstmals Unterstützung für Container, was wiederum für stärkere Platinen wie den Raspberry Pi 4 interessant ist. LXD und die Docker-Runtime stehen zur Container-Orchestrierung bereit (https://dietpi.com).

Free BSD 13.1
Etwas über ein Jahr nach der vielbeachteten Ausgabe 13, welche ohne internes Wireguard-Kernel-Modul ausgeliefert wurde, kommt mit Free BSD 13.1 ein wichtiges Bugfix­release, das für solides Wireguard-VPN sorgt. Es gibt neue Treiber für WLAN-Chipsätze, das Dateisystem Open ZFS 2.1 sowie Neuerungen bei den CPU-Architekturen Risc-V und Power (www.freebsd.org).

Tails 5.0
Das Livesystem Tails ist der einfachste Zugang zum anonymisierenden TOR-Netzwerk. Version 5.0 ist die erste Ausgabe, welche auf Debian 11 „Bullseye“ aufbaut. Die Oberfläche ist auf Gnome 3.38 aktualisiert und der Kernel liegt in Version 5.10 vor, mit verbesserter Unterstützung von Netzwerkhardware (https://tails.boum.org).

LXQT 1.1
LXQT nutzt das Toolkit Qt und macht seit Version 1.0 vom letzten November große Fortschritte. Version 1.1 geht einige der unansehnlichen Stellen des Desktops an und verbessert das Erscheinungsbild. LXQT 1.1 wird unter anderem für Lubuntu 22.10 im Herbst erwartet (https://github.com/lxqt).

Endeavour-OS 22.1
Neben Manjaro ist Endeavour-OS mit seinem Livesystem und Installer der einfachste Einstieg zu Arch Linux. Endeavour-OS ist mit seinen Paketquellen ein pures Arch Linux (im Unterschied zu Manjaro). Das System kann eine grandiose Anzahl an Desktopumgebungen installieren und liefert jetzt ein Tool zur bequemen Einrichtung der proprietären Nvidia-Treiber mit.

Alma Linux 9.0
Das Projekt, das als Ersatz für Cent-OS einen exakten Klon von Red Hat Enterprise Linux (RHEL) bereitstellt, folgt eng dem Veröffentlichtungsrhythmus von Red Hat. Alma Linux erstellt aus den freien RHEL-Quellen eine identische, kostenlose Linux-Distribution für Server und konservative Firmendesktops. Damit entspricht Alma Linux 9.0 dem aktuellen RHEL 9.0 (https://almalinux.org).

Dahliah-OS 220222
Das Linux-ähnliche Betriebssystem ist ein bemerkenswertes Experiment, das Google Fuchsia mit dem Linux-Kernel kombiniert, um auf regulärer x86-Hardware zu laufen. Die Entwickler weisen aber darauf hin, dass AMD-Prozessoren und Nvidia-GPUs noch keine Unterstützung finden. Der Desktop im Stil von Chrome-OS nutzt das Toolkit „Flutter“. Experimentierfreudige Anwender finden Images unter https://dahliaos.io.

Lineage-OS 19
Das tonangebende Custom-ROM für viele Android-Geräte macht den Sprung auf An­droid 12 mit Linux-Kernel 5.10 und enthält alle Android-Fehlerbehebungen bis April 2022. Zudem gibt es deutliche Änderungen an der Oberfläche: Der dunkle Modus ist jetzt Standard und es kommt eine neue Symbolsammlung, die jener von Android 12 entspricht. Eine neue Datenschutz-Übersichtsseite zeigt, welche Apps auf Systemkomponenten wie Kamera und Mikrophon zugreifen. Durch den neueren Kernel ist die Liste der unterstützten Geräte geschrumpft und das älteste noch funktionierende Gerät ist das Google Pixel 2 (www.lineageosrom.com).