Kernel 6.3 veröffentlicht
Die schon zweite Kernel-Version in diesem Jahr kann auf Servern große „Jumbo“-Pakete in IPv4-Netzen verschieben und beschleunigt die Dateisysteme BTRFS und Ext4.
Linus Torvalds bezeichnete die Entwicklungsphase als vergleichsweise entspannt, was bei den erheblichen Umbauarbeiten hinter den Kulissen als humorvolles Understatement durchgehen kann. Denn Kernel 6.3 arbeitet weiter an der Aufnahme von Rust in den Kernel und mit einem Grafiktreiber für M1-Chips von Apple gibt es eine erste praktische Anwendung. Weiterer Hardwaresupport bringt einen nativen Treiber für den Gamecontroller des Steam Deck von Valve. AMD-CPUs erhalten eine Entschärfung der Spectre-Sicherheitslücke, welche die Gesamtleistung des Prozessors weniger drastisch reduziert als bisherige Lösungen. Für Gigabit-Ethernet-Adapter von Intel gibt es ein Bugfix für einen Fehler, der die Netzwerkschnittelle seit drei Jahren auf 60 Prozent ihrer Geschwindigkeit drosselte. Schneller sind auch die Dateisysteme Ext4 und BTRFS geworden, letzteres eventuelles Standarddateisystem der Zukunft. Während neue Treiber die Ein-Platinen-Rechner Banana Pi R3 sowie Orange Pi R1 Plus besser unterstützen, sind etliche alte ARM-Boards herausgefallen, was immerhin 150 000 entfernte Zeilen Code ausmacht.
Vorschau auf Open Suse 16
Ein radikaler Umbau steht Open Suse bevor, das ab der Version zu einer imagebasierten Linux-Distribution werden soll, mit isolierter, unveränderlicher Systempartition im Stil von Android. Software und deren Konfiguration wird in Form von App-Containern hinzugefügt. Diesem „Immutable“-Konzept folgen bereits die Linux-Systeme Endless OS, Fedora Silverblue und Open-Suse-Micro-OS. Das Konzept soll Administration und Systemupdates deutlich vereinfachen und Fehlerquellen bei Updates minimieren, weil das Systemimage immer in einem konsistenten, vom Hersteller vorgegebenen Zustand verbleibt. Als Zwischenstation soll es nochmal ein aktualisiertes Open Suse 15.5 im Herbst geben, das dem bisherigen Aufbau mit RPM-Paketen treu bleibt.
Debian 12 steht vor der Tür
Debian 12 („Bookworm“) ist bereits als Betaversion installierbar. Die Ausgabe 12 liefert den Linux-Kernel 6.1 und übernimmt Pakete aus dem Repository „non-free“ in die DVD-Installationsmedien, um proprietäre Treiber mitzuliefern. An Desktops bietet das kommende Debian Gnome 43, KDE Plasma 5.27, LXDE 11, LXQT 1.2.0, Mate 1.26 sowie XFCE 4.18 – alle auch separat in eigenen Livesystemen. Für Server, Debians traditionelle Rolle, gibt es unter anderem ein aktualisiertes Samba 4.17, PHP 8.2, Nginx 1.22, Maria DB 10.15 und Postgresql 15. Als genauen Veröffentlichungstermin im Sommer geben die Entwickler den 10. Juni an. Vorhandene Systeme mit Debian 11 können dann manuell nach einer Umstellung der Paketquellen auf die neue Version aktualisiert werden.
Tuxedo: Neues Infinitybook Pro 14
Die Augsburger Linux-Spezialisten haben das Businessnotebook Infinitybook Pro 14 in achter Generation neu aufgelegt. Bei den Spezifikationen fällt der großzügig bemessene Akku mit 99 Wattstunden auf – kein zufälliger Wert, denn es handelt sich um die bei Fluggesellschaften zur Mitnahme maximal erlaubte Kapazität. Das matte und entspiegelte IPS-Display bietet eine 3K-HD-Auflösung (2880 × 1800 Pixel). Das Gehäuse, aus Aluminiumlegierung gefertigt, wiegt bis zu 1,3 Kilogramm je nach Ausstattung, die sich individuell anpassen lässt. Der Rechner hat neben einem Gigabit-Ethernet-Port zwei Typ-C-Thunderbolt-Ports und kann mit bis zu 64 GB RAM (DDR5) bestückt werden. Als CPU arbeitet ein Intel Core 13700H. In der Basiskonfiguration kostet das neue Infinitybook 1700 Euro (www.tuxedocomputers.com).
Openverse: Creative-Commons-Suche
Die Suche nach Bildern, welche unter einer Creative-Commons-Lizenz stehen und damit eine Weitergabe beziehungsweise Weiterverwendung nach Bedingungen erlauben, bietet die Google-Bildersuche schon länger. Jetzt hat WordPress.org eine eigene Bildersuchmaschine online gestellt (https://openverse.org), die auf Creative-Commons-Inhalte spezialisiert ist. Die Suche umfasst derzeit etwa 700 Millionen Audiodateien und Bilder. Bei der Bildsuche gibt es nicht nur Bitmaps zu entdecken, sondern auch Vektorgrafiken im Format SVG.
Manjaro: Gezähmter Paketmanager
Manjaros Paketmanager Pamac brachte die Server des Arch User Repositories (AUR) an den Rand des Zusammenbruchs. Das Problem war ein Fehler im Design des Paketmanagers, der bei jeder Eingabe im Suchfeld ab dem ersten Buchstaben Anfragen an den Server schickte. Bei weltweit rund 500 000 Manjaro-Usern geriet die Suchfunktion zum Denial-of-Service-Tool. Inzwischen haben die Manjaro-Entwickler mit Pamac 10.5 das Problem gelöst: Der durchsucht jetzt eine lokale Kopie der AUR-Paketdatenbank. Zudem beteiligt sich Manjaro jetzt mit einem eigenen Server am Caching der Datensätze für Webzugriffe.
Neuer Browser: Opera One
Die Entwickler des alternativen Browsers auf Chromium-Basis werden den bisherigen Opera absetzen und mit dem erneuerten Opera One weitermachen. Eine neue Oberfläche kann sich dem Workflow im Browser automatisch anpassen, je nachdem, ob eine Webseite besucht oder eine Web-App aufgerufen wird. Die Darstellung von Webseiten erfolgt bei Opera One mit Multithreading und flüssiger. KI-Funktionen dürfen auch nicht fehlen: Über die Seitenleiste sollen Chat GPT und Chatsonic helfen, Informationen zu extrahieren und zu filtern. Eine Beta gibt es bereits unter www.opera.com/de/one.
Keepass XC: Audit bestanden
Der freie Passwortsafe Keepass XC, eine Abspaltung des veralteten Keepass X, hat den Audit und Code Review eines unabhängigen Entwicklers bestanden. Die Ergebnisse sind unter https://molotnikov.de/keepassxc-review veröffentlicht und umfassen das Datenbankformat und die kryptografischen Funktionen. Kritische Lücken gibt es keine, aber einige Empfehlungen, wie Keepass XC die Sicherheit per geänderten Standardeinstellungen noch verbessern kann. So empfiehlt der Auditor den Wechsel der Schlüsselableitung vom Algorithmus Argon2d zu Argon2id und eine Warnung bei zu schwach gewählten Einstellungen für Schlüssel und Kryptografie.
Server: Inkompatibilitäten mit DDR5
RAM-Bausteine nach dem Standard DDR5 gibt es seit September 2021 für PCs und Laptops mit Intel-CPU der 12. Generation („Alder Lake“). Erhebliche Probleme waren beim Einsatz dieses Speichertyps bei Büroarbeiten und Gaming nicht aufgetreten, dafür aber jetzt in Rechenzentren bei Arbeitslasten, die für Server typisch sind. Der Branchendienst Trendforce macht dafür nach einer Studie eine inkompatible Zusammenstellung von DRAM mit bestimmten integrierten Spannungsreglern (PMICs) verantwortlich. Nun beginnt die Suche nach Herstellern, die kompatible Spannungsregler liefern können, denn der Bedarf an Server-Speichermodulen mit hoher Bandbreite ist aktuell mit der Verbreitung von KI-Anwendungen enorm gestiegen.
Umami: Webauswertung mit Datenschutz
Wer aufgrund strenger Datenschutzvorgaben zur Auswertung von Website-Besuchen keine fremden Dienste wie Google Analytics verwenden konnte, nutzte bislang meist die Open-Source-Lösung Matomo. Nun gibt es eine weitere Alternative: Umami (https://umami.is) ist auch zum Hosting auf dem eigenen Server gemacht, verlangt aber kein PHP, sondern Node.JS als Runtime. Es gibt Docker-Images zur vereinfachen Einrichtung in Containern. Die Software steht unter der MIT-Lizenz und lässt sich per Selbsthosting DSGVO-konform betreiben. Eine Kollaborationsfunktion im Stil von Google Analytics erlaubt die Auswertung der Besuche in Teams.
Python Foundation: Kritik an der EU
Die Python Software Foundation sieht die EU-Gesetzesnovellen zum Schutz von Software-Supply-Chains als Gefahr für Open Source. Das „Gesetz über Cyberresilienz“ und die damit verbundenen neuen Software-Haftungsvorschriften nehmen Entwickler in die Pflicht, sind aber auf kommerzielle Programme und KI-Lösungen zugeschnitten. Wer beispielsweise eine Programmbibliothek vertreibt, ist für diese haftbar, wenn sie in anderen Softwareprodukten Ärger macht. Die Python Software Foundation plädiert dafür, dass es individuellen Entwicklern und gemeinnützigen Open-Source-Projekten weiterhin möglich sein muss, Software „as is“ ohne Gewährleistung zu publizieren. Die europäische Open-Source-Szene hofft nun auf Ausnahmeregelungen für Software unter freien Lizenzen.
Spielerisch: Raspberry Pi Editor
Die Raspberry Pi Foundation will den Einstieg zur Python-Programmierung auf dem Ein-Platinen-Computer vereinfachen und hat dafür einen webbasierten Editor vorgestellt (https://editor.raspberrypi.org/de-DE). Es gibt Anleitungen und Codebeispiele für einen spielerischen Einstieg. Wer ein Konto anlegt, kann seine eigenen Projektdateien auch gleich online speichern und dann auf dem Raspberry Pi einfach im Browser wieder abrufen. Der Editor ist aber auch für andere Platinen nützlich sowie auf Linux- und Windows-Systemen, um alle Python-Scripts zentral zu verwalten.
Stable ML: Freier KI-Chatbot
Stability AI, das Entwicklerbüro hinter dem freien KI-Bildgenerator, hat mit Stable ML eine freie Alternative zu Chat GPT veröffentlicht. Im Kern ist Stable ML eine Sammlung an freien Sprachmodellen mit drei Milliarden Parametern, in einer erweiterten Fassung mit sieben Milliarden Parametern. Diese Modelle (https://github.com/stability-AI/stableLM) stehen unter der Common-Creative-Lizenz BY-SA-4.0 und verlangen bei einer Adaptierung die Nennung der Urheber und eine Weitergabe unter derselben Lizenz. Erste Tests zeigten bereits, dass eine auf Stable ML aufbauende KI als Chatbot zwar besser arbeitet als ein Konkurrenzprojekt von Meta, jedoch derzeit nicht an Chat GPT 3 heranreicht. Umfangreichere Sprachmodelle mit 15 und 65 Milliarden Parametern sind aber bereits in Arbeit.
Hetzner: Cloudserver mit ARM64
In seiner Cloud hat Hetzner Online das Angebot um Linux-Serverinstanzen erweitert, die auf ARM64-CPUs laufen. Hetzner setzt dabei auf Serverhardware mit Prozessoren vom Typ Ampere Altra. Für bestimmte Aufgaben wie dem klassischen Webhosting ohne enorme I/O-Leistung versprechen ARM-Prozessoren eine höhere Effizienz bei weniger Energiebedarf. Bei Hetzner zeigt sich dieser Vorteil durch eine im Vergleich zu x86-CPUs doppelte Menge an RAM und SSD-Speicherplatz. Derzeit gibt es die neuen Cloudserver nur am Standardort Falkenstein (www.hetzner.com/cloud).
Ubuntu 23.10 wird ein Minotauros
Aus dem Reich der mythologischen Fabelwesen leiht sich das kommende Ubuntu 23.10 seinen Codenamen „Mantic Minotaur“ (zukunftsdeutender Minotauros) soll das nächste Ubuntu im Oktober 2023 heißen. Dort sind weitere Fortschritte für den neuen Flutter-Installer und das neuartige Mini.iso zu erwarten, das den Download und die Installation mehrerer Ubuntu-Versionen ermöglicht.
Gimp: Neues freies Handbuch
Obwohl Gimp 3.0 nach jahrelanger Arbeit in den Startlöchern steht, hat das Team hinter der freien Grafikbearbeitung jetzt ein neues Handbuch zur Erklärung der Funktionen und der oft ungewöhnlichen Bedienung aufgelegt. Das Handbuch ist mehrsprachig und die Übersetzung aus dem Englischen in andere Sprachen ist derzeit noch im Gang. Die deutsche Ausgabe (https://docs.gimp.org/2.10/de) ist aktuell zu 67 Prozent übersetzt.
Wer mithelfen möchte, kann unter https://l10n.gnome.org/module/gimp-help Kontakt zu den Entwicklern aufnehmen.
Sicherheitsnews
H26forge: Angriff auf Videoencoder
Videodecoder benötigen zwecks direktem Zugriff auf die Hardware meist weitreichende Berechtigungen über direkte Speicherzugriffe. Diesen Umstand machen sich auch Entwickler von Malware zunutze und greifen Videoencoder mit manipulierten Dateien an. Die Erstellung entsprechender Dateien mit Schadcode ist aber enorm aufwendig. Zum Auffinden von Sicherheitslücken haben nun drei Forscher den Werkzeugkasten H26forg (https://github.com/h26forge) entwickelt, der H.264-Decoder systematisch mit Mediadateien angreift. Das Team fand auf diese Weise Sicherheitslücken in Ffmpeg, VLC, Firefox und in der Firmware von verschiedenen Android-Geräten.
TLS-Zertifikate: Immer kürzer
Zertifikate für HTTPS sind nicht unbegrenzt gültig (maximal 13 Monate), bevor eine Auffrischung mit Verifizierung der Domain nötig ist. Auf diese Laufzeiten einigte sich das Industriekonsortium CA/Browser-Forum. Die kostenlosen Zertifikate von Let’s Encrypt, auch in der LinuxWelt immer wieder eine Empfehlung für private Server und Hobby-Admins, sind gar nur drei Monate gültig. Nach Ansicht von Google ist das gar keine schlechte Idee. Denn so ist ein Wechsel auf neuere kryptografische Algorithmen schneller möglich und Website-Betreiber sind zu höherer Sorgfalt angehalten. In Zukunft sollen alle HTTPS-Zertifikate maximal 90 Tage Gültigkeit besitzen, sofern sich der Vorschlag durchsetzt.
Google Play: Infizierte Apps
Cyberkriminelle konnten 60 Android-Apps auf Google Play und weiteren inoffiziellen App Stores mit Malware verseuchen. Allein bei Google wurden die verseuchten Apps rund 100 Millionen Mal heruntergeladen. Die Malware mit dem Namen „Goldosen“ gelangte über eine Drittanbieterbibliothek in Apps. Programmierer nutzten die Bibliothek, ohne zu ahnen, dass diese schädlichen Code einschleust. Es handelt sich also um eine Software-Supply-Chain-Attacke, für welche Open Source besonders anfällig ist.
„Goldoson“ sammelt über die infizierten Apps Daten und Standorte und klickt im Hintergrund selbständig Werbebanner an, was im schlimmsten Fall sogar Kosten für den Google-Account-Inhaber zur Folge hat. Laut der Liste der betroffenen und inzwischen gesäuberten Apps (https://bit.ly/3AExb41) handelt es sich hauptsächlich um Apps aus Südkorea.
Github: Zwei Faktoren werden Pflicht
Um Angriffe auf Software-Supply-Chains in der Entwicklung zu erschweren, macht die Code-Hosting-Plattform Github Ernst und stellt schrittweise alle Konten auf Zwei-Faktor-Authentifizierung um. Schon Ende März haben die User hinter umfangreichen Repositorys eine Aufforderung per Mail erhalten, die Anmeldung mit einer Telefonnummer oder einer 2FA-App abzusichern. Im Laufe des Jahres sollen alle weiteren Konten folgen.
Google Chrome: Notfallupdate
Für Chromium und Chrome hat Google Ende April ein außerplanmäßiges Update bereitgestellt, das zwei kritische Zero-Day-Lücken schließt. Auch andere Chromium-basierte Browser wie Microsoft Edge, Opera und Vivaldi sind betroffen und verlangen nach einem Update. Sogar Chrome für Android ist diesmal betroffen. In Chrome/Chromium ab Version 113 sind die Lücken beseitigt.
Luks: Verschlüsselung geknackt?
Der französischen Polizei ist es nach eigenen Angaben gelungen, einen per Cryptsetup/Luks verschlüsselten Datenträger auf einem Linux-System zu knacken. Details sind keine bekannt, dennoch rufen Experten wie Linux-Dateisystementwickler Matthew Garrett dazu auf, veraltete Cryptsetup/Luks-Container auf Luks2 zu aktualisieren (etwa ab Ubuntu 22.04 LTS enthalten). Der Vorteil dabei ist vor allem die dann verfügbare Schlüsselableitungsfunktion Argon2id, welche um Faktoren aufwendiger zu knacken ist als das zuvor verwendete PBKDF2.
VM: Ausbruch aus Vmware
Besonders spektakulär sind Sicherheitslücken in Hypervisoren, die Gastsystemen den Ausbruch aus einer virtuellen Maschine ermöglichen. Beim Hackerwettbewerb Pwn2own haben Teilnehmer zwei Schwachstellen in Vmware Workstation ausgenutzt, um aus der virtuellen Maschine auszubrechen und Code auf dem Hostsystem auszuführen. Das hat dem Team 80 000 US-Dollar Preisgeld eingebracht. Wie beim Pwn2own üblich, erhielt der Hersteller noch vor Ort alle Details zur genutzten Schwachstelle. Die Lücke CVE-2023-20869 beschreibt Vmware als Pufferüberlauf in einer Bluetooth-Funktion und stuft sie als kritisch ein. Bei der Lücke CVE-2023-20870 handelt es sich um ein Datenleck, aus dem das Gastsystem Informationen aus dem Speicher des Hypervisors auslesen kann. Vmware 17.0.2 schließt diese Lücken in Workstation und Player.
Updatetelegramm
Pitivi 2023.3
Der Videoeditor bringt eine überarbeitete Version des „Autoaligner“, der zwei überschneidende Videoclips anhand der Analyse der Audiospur lückenlos überlagern kann. Dies ist nützlich beim Filmen mit mehreren Kameras. Zudem gibt es jetzt ein Flatpak mit sämtlichen Codecs und Bibliotheken (www.pitivi.org).
Blender 3.5
Der 3D-Modeller und Renderer mit breiter Unterstützung von Spielestudios und Filmindustrie erweitert seinen Funktionsumfang um einen vereinfachten Node-Editor und Assetmanager für Haare. Per Ziehen und Ablegen können diese Eigenschaften direkt in eine Szene auf die gewünschten Objekte angewendet werden (www.blender.org).
Qemu 8.0
Flotte Fortschritte zeigt Qemu, das zugleich Hardware-Emulator wie Virtualisierer ist. Als Emulator kann Qemu andere Plattformen nachbilden und übersetzt dabei die Prozessorinstruktionen, um etwa ein ARM-Betriebssystem auf einer x86-Plattform auszuführen. Qemu 8.0 rechtfertigt den Versionssprung mit umfangreichen Aufräumarbeiten im Quellcode. 32-Bit-CPUs werden auf Hostsystemen nicht mehr unterstützt (www.qemu.org).
Nginx 1.24
Der leistungsfähige Webserver und Reverse Proxy setzt nun in der Standardkonfiguration für HTTPS auf den neuesten Standard TLS 1.3. Erstmals kann die Konfiguration IPv4 komplett abschalten und damit pure IPv6-Websites beschleunigen. Laut dem Branchendienst Netcraft kommt Nginx derzeit auf rund 19 Prozent aller Websites zum Einsatz (http://nginx.org).
LXQT 1.3
Dieser Desktop (u. a. Lubuntu), der wie KDE auf dem Qt-Toolkit aufbaut, zeigt aktuell ein flottes Entwicklungstempo. Version 1.3 legt die ersten Fundamente für Qt6 und Wayland, um gegen Ende des Jahres fit für die neuesten KDE-Anwendungen zu sein. Es gibt butterweiches Scrolling und etliche optische Verbesserungen (https://github.com/lxqt).
Proton 8
Gutes für Gamer: Mit Proton unterhält die Spieleschmiede Valve einen eigenen Port des Windows-API-Nachbaus Wine, um weitere Spieletitel unter Steam verfügbar zu machen, auch wenn diese nicht explizit für Linux vorliegen. Proton 8 ist das größte Update seit langem, setzt auf Wine 8.0 und verlangt nach Grafiktreibern, die mindestens Vulkan 1.3 bieten (https://github.com/ValveSoftware/Proton).
Landscape 23.04
Zentrale Verwaltung für Ubuntu- und Debian-Server: Canonical aktualisiert mit Ubuntu auch die hauseigene Administrationslösung, die mehrere Systeme (bis zu 40 000) unter einer Weboberfläche zusammenfasst. Landscape gibt es als Cloudangebot oder auch für den Betrieb auf einem eigenen Ubuntu-Server (https://ubuntu.com/landscape).