Kernel-Version 5.13 seit Ende Juni

Ende Juni hat Linus Torvalds den Linux-Kernel 5.13 freigegeben, der eine der größeren Ausgaben innerhalb der Version-5-Serie ist: 16 000 Änderungen von über 2000 Entwicklern hielten das Kernel-Team auf Trab.

Viel schneller als von Entwicklern angenommen hat eine erste Unterstützung für Apples M1-Chips Eingang in den Linux-Kernel gefunden. Diese Fortschritte basieren nicht auf der Mitarbeit Apples, sondern auf einer unabhängigen Initiative, die sich per Spendenaufruf finanziert. Kernel 5.13 hat nun neben „Selinux“, das vor allem von Fedora, Red Hat und Android favorisiert wird, mit ein „Landlock“ ein weiteres Sicherheitskonzept erhalten, das die Zugriffe von laufenden Prozessen auf Kernel-Subsysteme und Hardware mit einem strikten Regelwerk reguliert. Mit „Landlock“ können auch unprivilegierte Prozesse ohne root-Rechte für sich selbst ein sicheres Regelwerk erstellen. 

Aus dem separat gepflegten Echtzeit-Kernel wurde Code für Softwareinterrupts übernommen. Dies könnte auf künftige Zusammenführung der beiden Linux-Kernels deuten. Echtzeitfähigkeiten werden zur Signalverarbeitung und für präzise Steuerungstechniken benötigt. Die Kryptografie-API des Kernels kann nun Algorithmen mit elliptischen Kurven (ECDSA) ausführen, die schrittweise RSA und das unsichere, herkömmliche DSA in der IT-Sicherheit verdrängen. In Sachen Hardwareunterstützung hat Intel Code für die kommende CPU-Generation „Alderlake-S“ beigesteuert. Etliche problematische Touchscreens, die vor allem in Chromebooks und Subnotebooks verbaut sind, sollen jetzt endlich unter Linux funktionieren. Für die bereits gestartete Entwicklung von Kernel 5.14 ist abzusehen, dass dieser den Code für alte IDE-Controller entfernen und das BTRFS-Dateisystem weiter aufpolieren wird. 

Cryptomator: Komplett Open Source

Das Loblied auf die Cloud tönt immer leiser. Dateien unverschlüsselt in Cloudspeicher wie Dropbox, One Drive und Google Drive zu speichern, ist vielen Nutzern inzwischen suspekt. Das Java-Programm Cryptomator und App-Varianten für Android und iOS verschlüsseln Dateien vor dem Upload und der Synchronisation mit Clouddiensten. Erfreulicherweise sind jetzt alle Ausgaben des Cryptomator Open Source (GPL3), nachdem die iOS-App als letzter Part auf Github (https://github.com/cryptomator/ios) im Quellcode freigegeben wurde. Fertig kompiliert kosten die Cryptomator-Apps für Android und iOS jeweils 9,99 Euro in den jeweiligen App Stores. Die Programme für Linux, Mac-OS und Windows sind kostenlos und werden von einer Entwicklergemeinde immer frisch aus dem Quellcode kompiliert (https://cryptomator.org/de/downloads).  

Intel: Chip-Engpässe bleiben

Intel sieht noch kein Ende der Chip-Engpässe, die zunächst durch Corona-Pandemie und fallende  Aufträge in der Automotive-Industrie ausgelöst wurden. Intels CEO Pat Gelsinger sagt dazu, zwar seien jetzt alle Auslöser des globalen Versorgungsengpassesvdentifiziert, aber es könne noch Jahre dauern, bis Versorgung und Preise wieder das Niveau von 2020 erreicht hätten. Auch die Nachfrage von Privatanwendern habe wegen Investitionen im Homeoffice stark zugenommen. Wie auch andere Halbleiterhersteller sieht Intel die Krise und die vergleichsweise hohen Preise als Chance, die Fertigungskapazitäten auszubauen und groß in die Auftragsfertigung einzusteigen. Dazu will der Chipkonzern neue Fabs in den USA errichten, eine auch in Europa. 

Debian: Vorschlag zu externen Quellen

Anders als unter Ubuntu, das seine Quellen um PPAs ergänzt hat, ist es in Debian nicht ganz einfach, externe Repositorys aufzunehmen. Das Hauptproblem sind die kryptografischen Schlüssel, mit der auch externe Pakete signiert sein müssen. Das bisher zum Einlesen des Schlüssels verwendete apt-key gilt schon länger als unsicher und Debian 11 verlangt eine manuelle Herangehensweise, die wiederum fehleranfällig ist. Um den Vorgang zu vereinfachen, hat der Debian-Entwickler Klode vorgeschlagen, den Paketmanager apt um Sourcedateien zu erweitern, die Adressen von Repositorys und den Schlüssel in einer Datei enthalten. Der Vorschlag wird diskutiert und könnte künftig auch unter Ubuntu die PPAs ersetzen. 

Grub: Neue Funktionen

Der Bootloader Grub 2.06, weiterhin in den meisten Linux-Distributionen für die Anzeige eines Bootmenüs und die Einrichtung einer Multibootumgebung verantwortlich, bekommt eine robustere Konfiguration. Ab einer der kommenden Versionen wird Grub 2 bei Konfigurationsänderungen stets Backupdateien der letzten funktionierenden Bootdateien anlegen. Über „grub-install“ wird es damit einfacher, auf die Backupkonfiguration zurückzukehren. 

Passwortcheck wird Open Source

Facebook, Clubhouse, Ebay: Diese Dienste fielen in der Vergangenheit immer wieder durch groß angelegte Hacks auf, die Hunderte Millionen Passwörter beziehungsweise deren Checksummen entwendeten. Ob man selbst von einem Passwortverlust bei diesen oder anderen Diensten betroffen ist, kann die Onlinedatenbank Have I Been Pwned (https://haveibeenpwned.com) ermitteln, die etliche Passwortlisten aus Hackerforen, Bittorrent-Sites und aus dem Darkweb sammelt und auswertet. Der gesamte Code dahinter, ein wachsendes .NET-Projekt für Azure-Cloudserver, ist nun Open Source, steht unter einer BSD-Lizenz und ist auf Github freigegeben (https://github.com/HaveIBeenPwned). 

Lenovo: Thinkpad X1 mit Linux

Mit seiner besonders Linux-freundlichen Thinkpad-Serie bleibt Lenovo auch 2021 Linux treu und bietet das Thinkpad X1 Carbon mit vorinstallierten Linux-Systemen an. Zur Auswahl stehen Fedora oder Ubuntu. Erstmals kamen Thinkpads letztes Jahr serienmäßig mit Linux als Alternative zu Windows 10 auf den Markt. Thinkpads vom Typ X1 sind mit 14 Zoll Größe besonders dünn und leichtgewichtig. Das neue X1 hat wahlweise einen Intel Core i5-1135G7, i5-1145G7, i7-1165G7 oder i7-1185G7 als Prozessor und unterstützt bis zu 32 GB RAM. Der Bildschirm liefert eine Auflösung bis 4K (3840 × 2400 Pixel). Wie bei allen Notebooks macht sich im Preis der aktuelle Chipmangel bemerkbar und das X1 ist mit einem Basispreis von 1827 Euro im oberen Segment angesiedelt. 

SicherheitsNews

Western Digital: Datentod aus der Ferne

Nachdem zahlreiche Nutzer der Speicherlösung My Book Live über den Verlust der kompletten Daten im Supportforum Western Digitals geklagt hatten, empfiehlt der Hersteller ein Abklemmen der cloudgestützten NAS-Systeme vom Internet. Verantwortlich für den Datenverlust, der wegen der Verschlüsselung der Datenträger nicht rückgängig zu machen ist, soll eine Sicherheitslücke in der Fernwartungsfunktion von My Book Live sein. Die Produktpflege für diese Datenträger hat Western Digital schon 2015 eingestellt und entsprechend alt sind die Firmwareversionen dieser Geräte.

Polkit: Uralte Lücke gefunden

Der Berechtigungsdienst Polkit ist eine Methode, grafische Programme auf dem Linux-Desktop bei Bedarf mit root- oder sudo-Recht auszuführen, und blendet dazu einen Eingabedialog für das Passwort ein. Im Juni 2021 wurde eine Sicherheitslücke entdeckt, die sich sieben Jahre im Quellcode zurückverfolgen lässt. Die kritische Lücke mit dem Bezeichner CVE-2021-3560 ermöglicht ein Austricksen des Polkit-Dienstes über die Interprozesskommunikation von D-Bus, sodass der Aufruf für Polkit so aussieht, als käme er vom root-Konto. Eine Passwortabfrage wird dann übersprungen. Die Lücke ist mittlerweile in aktiv gepflegten Linux-Distributionen per Update geschlossen.

Desktops: Angreifbare Appstores

Das Berliner IT-Büro Positive Security hat kritische Lücken in der Software Pling Store gemeldet, die von verschiedenen Webseiten genutzt wird. Nachdem sich die ursprünglichen Entwickler nicht finden ließen, sind die Entdecker nun mit den ungepatchten Sicherheitslücken an die Öffentlichkeit gegangen und warnen Anwender vor der Nutzung der Webseiten https://appimagehub.com, https://store.kde.org, https://gnome-look.org, https://xfce-look.org und https://pling.com. Dies sind inoffizielle Downloadquellen von Erweiterungen und Desktopergänzungen. Sollten die Entwickler die gefundenen Cross-Site-Scripting-Lücken nicht schließen, könnte dies das Ende dieser Webseiten bedeuten.

Dell: Delle in der Firmware

Insgesamt 129 Modelle von Dell-Computern weisen vier Schwachstellen in der Supportfunktion im Bios auf, mit der Angreifer ausführbaren Code auf Firmwareebene einschleusen könnten. Der Code könnte ausgeführt werden, bevor ein Betriebssystem läuft. Die Lücke wurde von IT-Sicherheitsexperten der Firma Eclypsium gefunden und betrifft die Fernwartungsfunktion per „BIOS Connect“, eine Zusatzfunktion von Dell-Rechnern. Brisant ist, dass zwei der vier Schwachstellen ein Bios/Uefi-Update vom 24. Juni erfordern, das Anwender manuell einspielen müssen. Das Risiko dieser potenziell verbleibenden Lücken wurde mit „hoch“ bewertet.

Staatstrojaner: Weitreichende Befugnisse

Gegen Ende ihrer Legislaturperiode hat die Bundesregierung weitreichende Befugnisse für den „Staatstrojaner“ zur Spionage und Überwachung von Zielpersonen durch den Bundestag gebracht. Die neue Gesetzgebung erlaubt der Polizei und Geheimdiensten schon vor vollzogenen Straftaten, Smartphones und Computersysteme zu hacken. Sachverständige des Innenausschusses des Bundestags haben das Gesetz als verfassungswidrig kritisiert. Ein weiteres Problem ist der Zwang für Hardwarehersteller, bei der Trojaner-Installation behilflich sein zu müssen und eventuell bekannte Sicherheitslücken nicht zu schließen. Diese Regelung würde dem Industriestandort Deutschland schaden, so Vertreter der Internetwirtschaft in Deutschland. Auch Internetriesen wie Google und Facebook haben bereits ihre Kooperationsunwilligkeit bekundet. 

Facebook: Aus für deutsche Behörden

Die Datenschutz-Grundverordnung (DSGVO) zwingt nun auch Bundesbehörden in Deutschland zu weitreichenden Einschnitten bei der Nutzung nicht mehr zugelassener Dienste. Jetzt müssen alle Behörden bis Jahresende 2020 Facebook verlassen, was vor allem Infoseiten und Öffentlichkeitsarbeit betrifft. Die Prüfung nach DSGVO ist nun auch für die behördliche Nutzung von Instagram, Tiktok und Clubhouse im Gange.

AVM: Neues Fritz-OS 7.27

Mit der Veröffentlichung von Fritz-OS 7.27 für neue Topmodelle der Fritzbox betreibt AVM Modellpflege für die weitverbreiteten Router. Doch auch einige betagte Modelle wie die Fritzbox 3490 (2014) werden unterstützt. Grund dafür ist wohl die schwere Sicherheitslücke „Frag-Attack“, welche im Mai 2021 öffentlich wurde und die Sicherheit aller WLAN-Standards inklusive WPA3 bedroht. Zudem gibt es eine einfach einstellbare Gerätepriorisierung, Datensicherung für den internen Speicher, eine überarbeitete Kindersicherung und Verbesserung für die Mesh-Funktionalität. 

Kernel: Erstes Megabyte ist tabu

Auch die altgediente x86-Archtitektur unterliegt als Hardwareplattform Veränderungen, die mit früheren Konventionen brechen. So belegen Teile des Unified Extensible Firmware Interface (Uefi) gerne Teile des Hauptspeichers mit Einstellungen und Daten zur Initialisierung der Hardware. Dieser Speicherbereich reicht bei typischen Hauptplatinen von vier KB bis ein MB. Schreibt der Linux-Kernel ebenfalls Daten an diese Adressen, kommt es zu Fehlern, Bootproblemen oder Abstürzen. Schon bisher reservierte der Kernel Speicherbereiche zwischen 64 und 640 KB. In Zukunft sind die gesamten ersten 1024 KB tabu, um unberechenbares Firmwareverhalten abzufangen. Diese Änderung erfolgte nach Rücksprache von Linus Torvalds mit Windows-Entwicklern, die bestätigten, dass auch Microsoft Windows seit Jahren das erste MB der Firmware überlässt, um Bugs zu vermeiden. 

Mac-OS-Nachbau: Hellosystem 0.5

Schon die erste Version der Free-BSD-Variante Hellosystem hatte Anfang des Jahres viel Aufmerksamkeit erregt. Nun ist die Nachfolgeversion des Desktopsystems erschienen, das mit einfachen Mitteln das Erscheinungsbild und Verhalten von Mac-OS nachbilden will. Auch die Interna sind ähnlich, da Mac-OS ebenfalls auf der BSD-Variante Darwin basiert. Als Window-Manager dient dem Hellosystem zwar nur schlichtes Openbox, allerdings hat die Oberfläche viele Anpassungen der Entwickler bekommen. Hellosystem ist zur Installation als ISO-Datei verfügbar (https://github.com/helloSystem/ISO/releases). 

Ubuntu: Unterstützung von Risc-V

Die freie Prozessorarchitektur Rics-V könnte in den nächsten Jahren zur aktuell dominierenden ARM-Architektur aufschließen und Embedded-Geräten und Ein-Platinen-Rechnern viel Leistung ohne Lizenzkosten bieten. Auf dem Markt sind bereits die Platinen Hifive Unleashed und Hifive Unmatched. Nun hat Canonical angekündigt, diese Risc-V-Boards mit Ubuntu ab sofort offiziell mit Ubuntu 20.04 LTS und 21.04 zu unterstützen. Offensichtlich verfolgt Canonical damit die Strategie, das Referenzsystem für den potenziell riesigen Risc-V-Markt zu entwickeln. Der Linux-Kernel unterstützt diese Boards bereits seit 2019 und es gibt einen Debian-Port. Unterdessen hat Intel der Herstellerfirma Sifive ein Übernahmeangebot gemacht (zwei Milliarden US-Dollar).  

Tuxedo: Hochleistungslaptop

Die Laptopserie Stellaris 15 richtet sich an anspruchsvolle IT-Profis mit Faible für Linux. Diese Tuxedo-Notebooks eignen sich als Workstation und Spielemaschine. Die Modelle sind entweder mit AMD-Ryzen 5000H oder mit Intel-Core-i-CPU der elften Generation („Tiger Lake“) ausgestattet. Als Grafikoptionen gibt es Nvidia-Grafikchips der Typen Geforce RTX 3060, 3070 oder 3080. Das Display bietet eine Zwischengröße von 2560 × 1440  Pixeln (3K). Das Gehäuse nimmt bis zu 64 GB DDR4-RAM und SSDs mit M.2-Port auf. Als Extra gibt es ein eigenes gelasertes Logo auf dem Gehäusedeckel. Die Einstiegskonfiguration beginnt bei 1799 Euro mit Intel Core i7-11800H, Nvidia RTX 3060, 250 GB NVME und acht GB RAM. 

Nvidia: Volle Wayland-Unterstützung

Bei der Unterstützung des Displayprotokolls Wayland, das jetzt auch in KDE Plasma Einzug erhält, hinkte Nvidia mit seinen proprietären Linux-Treibern bislang hinterher. Hauptproblem war die lückenhafte Einbindung der Übersetzungsschicht Xwayland, die sich zwischen X11-Programme und Wayland legt. Zusammen mit Red Hat hat Nvidia nun in der 470-Versionsreihe die meisten Probleme beseitigt und will schon bald volle Wayland-Unterstützung bieten. Dies dürfte der Akzeptanz von Wayland auf dem Linux-Desktop einen Schub geben. 

Google: Rust soll in den Kernel

Bislang ist der Kernel-Code Code in C und Inline-Assembly geschrieben – also mit Assembler-Code, der in C eingefasst ist und besonders hardwarenahe Aufgaben erfüllt. Geht es nach Google, dann soll als dritte Sprache Rust Einzug erhalten und Kernel-Teile in C schrittweise ersetzen. Der Grund ist höhere Sicherheit: Während C keine eigene Speichersicherheit kennt und damit anfällig ist für Pufferüberläufe und Pointerfehler, ist Rust dagegen abgesichert. Google will einen Entwickler bezahlen, der kritische Komponenten in Vollzeitanstellung nach Rust umschreibt. Rust wurde ursprünglich von Mozilla Research erdacht und ist in der Syntax an C angelehnt. Linus Torvalds hat bereits grünes Licht gegeben. 

Google: Fuchsia verlässt das Labor

Das von Google entwickelte Fuchsia-OS läuft erstmals auf dem Smart-Home-Gerät Nest Hub der ersten Generation. Google will Fuchsia für Nest Hub in den kommenden Monaten als allgemein verfügbares Update ausliefern und das bisherige System Cast-OS auf diesen Geräten ersetzen. Google arbeitet seit 2016 an Fuchsia, welches wie Linux Open Source ist, aber unter der freizügigen BSD-Lizenz steht, die eine Weitergabe des Quellcodes erlaubt. Der Sprung auf die Smart-Home-Geräte ist die erste praktische Anwendung für das kompakte System, das künftig auch auf einigen Android-Geräten laufen soll. 

UpdateTelegramm

Elementary OS 6.0

Version 6 des Ubuntu-Abkömmlings mit der Desktop-Eigenentwicklung Pantheon hat es knapp nicht mehr auf die Heft-DVD dieser Ausgabe geschafft. Die Ausgabe verbessert die Integration von Flatpak-Paketen, die den Vortritt vor den Ubuntu-eigenen Snap-Paketen bekommen haben. Die eigenen in Vala geschriebenen Tools liegen jetzt bereits als Flatpaks vor. Das Basissystem ist ein Ubuntu 20.04 LTS. Das ISO-Image steht unter https://elementary.io zum Download bereit.

Tails 4.20

Das Livesystem mit vorkonfiguriertem TOR-Client zur Teilnahme am anonymisierenden TOR-Netzwerk bietet nun eine einfach aktivierbare Option, die TOR-Nutzung im lokalen Netzwerk zu verschleiern. Dieser Modus nutzt „Tor Bridges“ im Stile eines VPNs, um zu den Datenverkehr vor dem ISP oder Netzwerkbetreibern zu verstecken (Download unter https://tails.boum.org).

Vivaldi 4.0

Der Browser für Fortgeschrittene erhält eine interne Übersetzungsfunktion im Stil von Chrome/Chromium. Diese entstand in Zusammenarbeit mit der zypriotischen Firma Lingva NEX, die cloudgestützte, maschinelle Übersetzungen von Webseiten bereitstellt. Unterstützte Sprachen sind Deutsch, Englisch, Französisch, Spanisch, Portugiesisch und Chinesisch (https://vivaldi.com/de).

Kali Linux 2021.2

Der IT-Dienstleister Of-fensive Security hat die neue Version des installierbaren Livesystems Kali Linux freigegeben. Für die Suche nach Sicherheitslücken im Netzwerk und auf Servern liefert Kali unzählige Scripts und vorkompilierte Programme. Zusätzlich gibt es jetzt auch App-Container mit der neuen Anwendung „Kaboxer“, die Docker-Container für Anwendungen mit komplizierten Abhängigkeiten bereitstellt (www.kali.org).

AV Linux 2021.06.18

Um Audio- und Videoproduktion geht es in AV Linux, das auf dem kleinen Debian-Derivat MX Linux mit XFCE-Desktop basiert. Zur vorinstallierten Software gehören der Multitracker Ardour, der Effektmixer Calf Studio Gear, der Drumcomputer Hydrogen und das Notationsprogramm Musescore. Unter den Videotools sind Cinelerra, Kdenlive und Openshot vertreten. AV Linux liefert einen Echtzeit-Kernel (5.3) für geringe Latenzen bei der Signalverarbeitung sowie den Soundserver Jack (www.bandshed.net/avlinux).

Rocky Linux 8.4

Rocky Linux, ein kostenloser Klon von Red Hat Enterprise Linux (RHEL), ist eine neue Distribution, die vom ursprünglichen Cent-OS-Gründer stammt. Cent-OS steht seit einigen Jahren unter der Ägide von IBM/Red Hat, wird aber zum Jahresende nicht mehr RHEL folgen, sondern als Cent-OS „Stream“ mit eigenen Paketversionen zusammengestellt. Wer einen exakten Klon von RHEL benötigt, findet mit Rocky Linux eine Alternative (https://almalinux.org).

Oasis 1.3: Neuer Standard

Die IT-Organisation Oasis hat das Oasis-Format 1.3 von Libre Office als neuen Standard verabschiedet. Die Aktualisierung umfasst digitale Signaturen für Dokumente, eine Verschlüsselung per Open PGP sowie ein Änderungsprotokoll. Entwickelt wurde das Format von der Document Foundation für Libre Office, doch wird das neue Format künftig auch in anderen Anwendungen und Onlinediensten Einzug halten.

Firewalld 1.0

Das Front-End für Iptables und Nftables entfernt eine Menge Altlasten wie Python 2 und Abhängigkeiten von anderen Bibliotheken. Generell macht Firewalld die Konfiguration von Regeln deutlich einfacher. Es ist zu erwarten, dass auch kommende GUI-Programme auf Firewalld 1.0 aufsetzen werden (https://firewalld.org).