LN-Waschpress

Kategorie: Debian

  • Debian-Kernel-Bug legt ARM-Geräte lahm

    Debian-Kernel-Bug legt ARM-Geräte lahm

    Ein Bugreport in Debians Fehlerdatenbank sollte Besitzer von ARM-Geräten derzeit von einem Upgrade des Kernels abhalten, da dieser eine Reihe von ARM-Geräten am Booten hindert.

    Debian-Kernel-Bug

    Der Bugreport sieht Kernel 4.9.144-3 als Verursacher des Problems. Dieser war im Rahmen von GNU/Linux Debian 9.8 »Stretch« mit ausgeliefert worden. Wie der Ersteller des Bugreports und weitere betroffene Besitzer von verschiedenen ARM-Geräten schildern, hängen die Geräte beim Hochfahren bei der Meldung Starting kernel.

    Schuldiger gefunden

    Das es wirklich an dieser Kernel-Version lag, fand der Bugreporter heraus, indem er den aktualisierten Kernel einem Downgrade auf 4.9.130-2 unterzog. Mit diesem vorhergehenden Kernel bootete das Gerät anstandslos.

    Viele Boards betroffen

    Das erste als betroffen gemeldete Gerät war ein Lamobo-R1-Board. Doch schon bald gesellten sich andere Boards hinzu, die die Liste auf Lemaker Bananapi, Cubox-i4pro, Cubox-i4x4, Wandboard Quad, Odroid-XU4, Odroid-U3, Marvell Armada XP, Olimex OLinuXino-LIME2, Cubietruck, Firefly-RK3288 und den Router Linksys WRT1200AC ausdehnten.

    Ein weiterer Betroffener stellte nach Überprüfung fest, dass der inkriminierte Kernel unter vielen anderen Änderungen auch zwei Maßnahmen gegen Spectre beinhaltete. Er baute den Kernel neu und deaktivierte die Maßnahmen, der Kernel startete trotzdem nicht.

    Upstream oder Debian?

    Die Frage, ob der Fehler im Upstream-Kernel oder in Debians Konfiguration steckt, deutet auf Debian, da Hardware mit Allwinner-SoC auf entsprechenden Boards beim Kernel-CI-Projekt keinerlei Probleme aufweist.

    Der gleiche Anwender moniert, dass es bei Debian viel zu kompliziert sei, einen älteren Kernel zu booten. Bei Ubuntu und vielen anderen Distributionen reicht dazu die Auswahl eines älteren Kernel im GRUB-Bootmanager.

    Patch im Test

    Mittlerweile existiert ein Patch, der den Fehler anscheinend behebt, aber noch in der Testphase steckt. Anwender der betroffenen Boards sollten mit einem Update auf Debian 9.8 noch etwas warten, bis der Bugreport offiziell geschlossen ist und auf einen reparierten Kernel verweist.

    Lehrstunde

    Zwei Lehren kann Debian aus diesem Kernel-Bug ziehen: Es sollte einfacher sein, einen älteren Kernel zu booten. Zudem müssen Kernel, zumindest für die ARM-Plattform, besser getestet werden, bevor sie freigegeben werden.

  • GNU/Linux Debian 9.8 »Stretch« freigegeben

    GNU/Linux Debian 9.8 »Stretch« freigegeben

    Debian 9.8
    Screenshot: ft

    Nicht einmal einen Monat nach Debian 9.7 hat das Debian-Release-Team mit Debian 9.8 »Stretch« das achte Punkt-Release für die Stable-Veröffentlichung Debian 9 freigegeben.

    Im Plan

    Ging es bei der außerplanmäßigen Aktualisierung auf 9.7 hauptsächlich um den kurz zuvor aufgefundenen Fehler im Paketmanager APT, so behebt das jetzige Update hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme in verschiedenen Paketen.

    Durchschnittliche Aktualisierung

    Die Aktualisierung auf Debian 9.8 ist vom Umfang her durchschnittlich groß, lediglich die Zahl der entfernten Pakete ist mit 22 diesmal relativ hoch. Insgesamt erhielten 87 Pakete eine Fehlerbereinigung und es wurden Sicherheitsprobleme aus 48 »Debian Security Advisories« (DSA) behoben. Alle Änderungen an Paketen beschränken sich wie immer auf das absolut Notwendige, um Regressionen zu vermeiden.

    Viel Python

    Bei den Paketkorrekturen wurden viele Pakete für Python neu gebaut, um die Sperrung der Domainvalidierung per TLS-SNI-01 durch Let’s Encrypt nachzuvollziehen. Samba wurde aktualisiert, um ein Speicherleck zu stopfen.

    Im Paket Wayland wurde ein möglicher Ganzzahl-Überlauf behoben. Fehler wurden zudem unter anderem in Linux, Postfix und Openvpn bereinigt. Ein neuer Nvidia-Treiber wurde integriert. Der Intel-Microcode erhielt gesammelte Korrekturen. Auch der Debian-Installer wurde erneuert, um die Sicherheitskorrekturen zu reflektieren.

    Bei den Paketen mit behobenen Sicherheitsproblemen liegt Chromium-Browser diesmal vor Firefox-ESR und Thunderbird. Weitere Sicherheitslücken betrafen unter anderem Openvpn, LibreOffice, Systemd und Wireshark.

    Firefox-Erweiterungen entfernt

    Beim Löwenanteil der entfernten Pakete handelt es sich um Firefox-Erweiterungen, die mit neueren Firefox-ESR-Versionen nicht mehr kompatibel sind. Zwei weitere entfernte Pakete sind API-Änderungen bei Twitter und Flickr geschuldet.

    Frische Installationsmedien

    Eine Liste aller Änderungen kann der Ankündigung entnommen werden. Aktualisierte Installationsmedien werden auf den Download-Servern in den nächsten Stunden und Tagen bereitgestellt. Bestandsanwender aktualisieren über das Paketmanagement.

  • DebianGNU/Linux 9.7 »Stretch« freigegeben

    DebianGNU/Linux 9.7 »Stretch« freigegeben

    Debian 9.7
    Screenshot: ft

    Normalerweise deckt ein Punkt-Release bei Debian sowohl die Sicherheitslücken als auch Fehler in Paketen aus den letzten Monaten ab. Zuletzt so geschehen vor rund zwei Monaten mit Debian GNU/Linux 9.6.

    Außerplanmäßig

    Damals wurden 84 Fehlerbereinigungen und 88 Sicherheits-Updates gebündelt. Debian 9.7 stellt eine Ausnahme dar, es wird außerplanmäßig lediglich der vor einigen Tagen entdeckte Fehler in APT, dem Frontend des Paketmanagers DPKG, behoben, der bei Debian intern als DSA-4371-1 und international als CVE-2019-3462 katalogisiert wurde.

    Frische Installationen schützen

    Dieser ist zwar bereits in allen Zweigen der Distribution seit Debian »Jessie« behoben, das gilt allerdings nicht für die Installationsmedien. Somit entschloss sich das Debian Release-Team zu einem außerplanmäßigen Release, um bei neuen Installationen sicherzustellen, dass der Fehler erst gar nicht erst auf der Festplatte landet.

    Neben apt 1.4.9 ist das Paket base-files 9.9+deb9u7 die einzige weitere Änderung im Point-Release Debian 9.7. Damit wird bei einer Abfrage von /etc/debian_version die korrekte Version 9.7 angezeigt.

    Frische Images

    Einige aktualisierte Installationsmedien stehen bereits auf den Download-Servern des Projekts zur Verfügung, weitere werden in den nächsten Stunden und Tagen folgen. So ist bereits ein Netinstall-Image sowie ein komplettes Image mit Xfce verfügbar.

  • Fehler im Debian-Paketmanager behoben

    Fehler im Debian-Paketmanager behoben

    Quelle: Chris Lamb | Lizenz: GPLv3

    Ein kritischer Fehler in Debians Paketmanager APT wurde durch die Tatsache begünstigt, dass Debian und andere Distributionen für die Auslieferung ihrer Pakete an die Nutzer HTTP anstatt HTTPS nutzen. Durch HTTP-Redirects konnte per Man-in-the-Middle-Angriff dem Paketmanager APT ein Paket untergeschoben und sogar mit einer vermeintlich korrekten Signatur versehen werden.

    Schwieriger mit HTTPS

    Der letzte Teil wäre mit der Verwendung von HTTPS schwieriger zu bewerkstelligen. Das solcherart untergeschobene Paket konnte dann beliebigen Schadcode ausführen wenn es gestartet wurde. Entdeckt wurde die Lücke von Max Justicz, der sie in seinem Blog näher beschreibt. Betroffen waren neben Debian, Ubuntu und Linux Mint auch alle anderen Derivate.

    Bitte aktualisieren

    Die Debian-Entwickler wurden einige Tage vor der Veröffentlichung der Lücke informiert, sodass Patches für verschiedene Versionen von Debian und Ubuntu zu dem Zeitpunkt bereits zur Verfügung standen. Anwender sind dringend dazu aufgerufen, die aktualisierten Pakete zeitnah zu installieren.

    Auf der sicheren Seite

    Um, dabei gänzlich sicher zu sein, dass das System beim Upgrade nicht kompromittiert wird, empfiehlt Debian das Abschalten von Redirects während der Aktualisierung. Das kann mit folgenden Zeilen erreicht werden:

    apt -o Acquire::http::AllowRedirect=false update
apt -o Acquire::http::AllowRedirect=false upgrade

    Ironischerweise wurde der Fehler zu einem Zeitpunkt veröffentlicht, in dem eine schon öfter geführte Diskussion darüber, ob es Sinn ergibt, Pakete aus Repositories per HTTPS auszuliefern, wieder aufflammt.

    Für und gegen

    Die Argumente, die bisher gegen HTTPS für die Auslieferung von Debian-Paketen ins Feld geführt wurden, verweisen auf die Komplexität der Bereitstellung eines riesigen weltweiten Mirror-Netzwerks, das über SSL verfügbar ist. Ein Wechsel zu HTTPS würde auch bedeuten, dass die Vorteile lokaler Proxy-Server zur Beschleunigung des Zugriffs nicht mehr genutzt werden könnten. Der Sicherheitsgewinn durch HTTPS wird kontrovers diskutiert.

  • Let’s-Encrypt-Zertifikate unter Debian Stable gefährdet

    Let’s-Encrypt-Zertifikate unter Debian Stable gefährdet

    Certbot
    Titel : HTTPS | Quelle Sean MacEntee Lizenz: CC BY 2.0

    Anwender von Debian Stable auf Servern, die ein Zertifikat von Let’s Encrypt verwenden, könnten am 13. Februar ein böses Erwachen erleben. Die Zertifizierungsstelle Let’s Encrypt gibt in ihrem Blog die Abschaltung der Domain-Validierungs-Variante TLS-SNI-01 zum 13. Februar 2019 bekannt.

    Nicht zu beheben

    Der Grund ist eine Sicherheitslücke, die kaum zu beheben ist, da das Problem in der Software liegt, die von vielen Hostern verwendet wird. Damit können unrechtmäßig Zertifikate für Domains ausgestellt werden, die nicht im Besitz des Antragstellers sind, wenn diese Domains auf einer Software gehostet wurden, die das Hochladen beliebiger Zertifikate erlaubt.

    Grundpfeiler

    TLS-SNI-01 ist eine von vier Domain-Validierungs-Varianten, die anderen sind DNS-01, HTTP-01 und seit Kurzem TLS-ALPN-01. Die Validierung über das Internet ist einer der Grundpfeiler von Let’s-Encrypt, der es erlaubt, das Ausstellen von Zertifikaten ohne Kosten für den Empfänger zu gestalten.

    Völlig veraltet

    Wer einen Server mit Debian Stable mit Let’s-Encrypt-Zertifikaten verwendet, ist nun im Zugzwang. In den Repositories von Debian Stable liegt eine veraltete Version des offiziellen ACME-Clients Certbot, einer Software, die automatisiert SSL/TLS-Zertifikate für Webserver abruft und bereitstellt.

    Diese veraltete Certbot-Version 0.10.2-1 beherrscht nur die Validierung per TLS-SNI-01 und wird mit dem Abschalten dieser Methode keine Zertifikate mehr aktualisieren können, Betroffene müssen auf die Backports-Version Certbot 0.28.0-1~bpo9+1 umstellen.

    Schnell gelöst

    Dazu muss, falls noch nicht geschehen, ein Eintrag für Backports in die Quellenliste erstellt werden. Das gelingt mit folgender Zeile:

    echo 'deb http://ftp.de.debian.org/debian/ stretch-  
backports main' >>/etc/apt/sources.list

    gefolgt von: 

    apt update && apt -t stretch-backports install certbot

    Damit stehen auch DNS-01 und HTTP-01 zur Verfügung und Zertifikate behalten ihre Gültigkeit und werden wie gehabt aktualisiert.

  • Debian 10 »Buster« wird vorbereitet

    Debian 10 »Buster« wird vorbereitet

    Debian 10 »Buster«
    Vorschlag für Buster-Artwork

    An diesem Wochenende beginnt bei Debian das Einfrieren der Codebasis, an dessen Ende die Veröffentlichung von Debian 10 »Buster« als der nächsten stabilen Version des Projekts steht.

    Release-Vorbereitung

    Das Einfrieren der Codebasis, der sogenannte Freeze ist ein Teil in Debians Entwicklungsablauf und verlangsamt sukkzessive die Aktivität im Testing-Repository, in dem bereits seit der Veröffentlichung der Vorversion das neue Release heranwächst. Ohne diese Verlangsamung wäre eine Veröffentlichung sehr schwierig, da der Testing-Zweig nicht zur Ruhe käme. Die Richtlinien werden für jedes Release vorab veröffentlicht.

    Phase 1

    Der Freeze beginnt heute mit dem Blockieren von Transitionen in den Testing-Zweig. Bei einer Transition handelt es sich um eine Aktualisierung von Bibliotheken oder Paketen, die API- und/oder ABI-Änderungen erfahren haben und somit den Neubau von zum Teil sehr vielen Paketen bedingen und sich über Tage und Wochen hinziehen können.

    Phase 2

    Heute in einem Monat setzt dann der Soft-Freeze ein. Danach dürfen keine neuen Quellpakete mehr nach Testing eingeführt werden. Auch zuvor entfernte Pakete haben keinen Zugang mehr. Nur noch kleine, zielgerichtete Änderungen an Paketen sind empfohlen. Diese Pakete haben eine 10-tägige Wartefrist, bevor sie nach Testing migrieren dürfen. Ausnahmen von dieser Frist werden nur für Sicherheits-Updates auf Anfrage erteilt.

    Phase 3

    Der 12. März markiert dann den Eintritt in den Full-Freeze. Danach ist die Migration von Paketen in den Testing-Zweig nur noch als Ausnahme nach Absprache mit dem Release-Team möglich. Dieser Zustand stellt die letzte Phase in der Veröffentlichungsvorbereitung dar und hält bis zur Veröffentlichung von Debian 10 »Buster« an.

    Release-kritische Fehler

    Ausnahmen werden in dieser Phase beispielsweise für Pakete, die RC-Fehler (release critical) beheben, erteilt. Auch eher unkritische Anpassungen bei Übersetzungen und Dokumentation können eine solche Genehmigung erhalten. Entwickler konzentrieren sich nun auf das Beheben von Fehlern, die ein Release verhindern würden. Zu diesem Zeitpunkt sind das meist einige Hundert. Dabei werden unkritische Pakete, deren Fehler derzeit nicht lösbar sind, entfernt werden, um die Veröffentlichung nicht zu verzögern.

    Release When Ready

    Diese findet im Gegensatz zu Ubuntu mit festem Release-Termin oder Fedora mit einer Zielvorgabe bei Debian erst dann statt, wenn die Entwickler es als fertig erachten. Deshalb kann derzeit nur vermutet werden, dass eine Veröffentlichung von Debian 10 »Buster« im Sommer 2019 wahrscheinlich ist.

    Als Standard-Desktop für Debian 10 wird voraussichtlich GNOME 3.30.2 mit an Bord sein. Im Team von KDE Plasma wird noch diskutiert, ob eine Ausnahme für Plasma 5.15.2 beantragt werden soll oder ob 5.14.5 zum Zug kommt.

    Auch für die beiden auf »Buster« folgenden Veröffentlichungen stehen die Namen bereits fest. Für Debian 11 lautet dieser »Bullseye«, Debian 12 wird »Bookworm« heißen. Wie immer sind die Namen dem Film »Toy Story« entlehnt.

  • Debian GNU/Linux 9.6 erschienen

    Debian GNU/Linux 9.6 erschienen

    Debian 9.6
    Screenshot: ft

    Debian 9.0 »Stretch« erschien am 16.6. 2017 und erhielt jetzt mit Debian 9.6 sein sechstes Punkt-Update. Debian 9.5 erschien Mitte Juli. Wie üblich bei Debian werden mit den Punkt-Releases über die Laufzeit einer Veröffentlichung Sicherheits-Updates verteilt und Fehler in Paketen behoben, wenn dies möglich ist, ohne Regressionen hervorzurufen.

    Firefox erhält bessere Rust-Unterstützung

    Die Anhebung auf Debian 9.6 spielt 84 Fehlerbereinigungen und 88 Sicherheits-Updates ein. Die Anzahl der entfernten Pakete ist dieses Mal mit 46 ungewöhnlich hoch, sie liegt ansonsten fast immer im einstelligen Bereich. Bei den Fehlerbehebungen wurde mit Cargo eine fehlende Abhängigkeit zum Bau von Firefox nach Stretch zurückportiert.

    Cargo ist der Rust-Paketmanager, der es Projekten, die zum Teil oder ganz in Rust geschrieben sind, ermöglicht, ihre verschiedenen Abhängigkeiten zu deklarieren und sicherzustellen, dass das Projekt mit korrekten Parametern gebaut wird.

    Die Kompatibilität von Enigmail und Firetray mit neueren Thunderbird-Versionen wurde sichergestellt, Funktionalität aus GnuPG2 wurde für Enigmail rückportiert. HTTPS-Everywhere wurde ebenfalls rückportiert, um die Kompatibilität mit Firefox ESR 60 zu gewährleisten. Vagrant unterstützt nun Virtualbox 5.2.

    Sicherheit verbessert

    Bei der Verbesserung der Sicherheit erhielt Chromium-Browser insgesamt sechs Security-Updates, unter anderem gefolgt vom Kernel mit fünf, Firefox ESR mit vier und Thunderbird mit drei Vorfällen. Alle Sicherheits-Updates wurden bereits in einem »Debian Security Advisory« (DSA) beschrieben. Bei den entfernten Pakete handelt es sich überwiegend um Firefox-Erweiterungen, die nicht mehr kompatibel zum neuesten Standard WebExtensions sind.

    Bitte aktualisieren

    Insgesamt fassen die Debian-Punkt-Releases die Sicherheitsupdates und Fehlerkorrekturen seit dem jeweils letzten Punkt-Release zusammen. Anwender, die ihr System regelmäßig aktualisieren, haben die meisten Sicherheits-Aktualisierungen bereits erhalten. Ein Debian-Punkt-Release erfordert keine Neuinstallation des Systems. Die neuen Pakete können über die Paketverwaltung aktualisiert werden.

    Frische Images

    Erste aktualisierte Images für Anwender, die trotzdem eine neue Installation vornehmen möchten stehen bereits auf den Download-Servern zur Verfügung, weitere werden in den nächsten Tagen folgen. Bis im nächsten Jahr die nächste Debian-Veröffentlichung Debian 10 »Buster« erscheint, werden vermutlich eine weitere Handvoll Punkt-Releases folgen.

  • Raspbian 2018-10-09 unterstützt Raspberry Pi PoE HAT

    Raspbian 2018-10-09
    Screenshot: ft

     

    Die Raspberry-Pi-Foundation hat eine neue  Version des Standard-Betriebssystems für den Raspberry Pi veröffentlicht. Als Basis dient Debian GNU/Linux 9.5 »Stretch« sowie der langzeitunterstützte Kernel 4.14.71.

    Startup-Assistent erweitert

    Für den Anwender von Raspbian am augenscheinlichsten sind die Änderungen beim Startup-Assistenten. Dieser Wizard wurde weiter  an die Vorgaben des Debian-Installers angepasst und schlägt nun als Tastatur-Layout die vorher gewählte Sprachunterstützung vor. Alternativ bietet er an, unabhängig von der gewählten Lokalisation das US-amerikanische Tastatur-Layout zu verwenden.

    Mehr Sprachpakete

    Die IP-Adresse wird nun gleich im ersten Reiter angezeigt. Es wird nach einer vorhandenen WLAN-Verbindung gescannt und diese im Erfolgsfall angezeigt. Standardmäßig werden nun mehr Sprachpakete, etwa für LibreOffice installiert. Die Bedienung per Tastatur wurde für Fälle, in denen keine Maus zur Verfügung steht, verbessert.

    Konfigurationsdateien können künftig per ~/.config/.lock file vor Änderungen durch Updates geschützt werden.Für FFmpeg wurde die Hardware-Beschleunigung  aktiviert. Flash-Player wurde auf Version 31.0.0.108 aktualisiert, RealVNc ist jetzt in Version 6.3.1 mit an Bord. Neu hinzugekommen sind libav-tools und ssh-import-id. Das Paket Mathematica wurde entfernt. Zudem wurde die Firmware aktualisiert.

    Power over Ethernet

    Diese Firmware wird von einer weiteren Neuerung benötigt, denn Raspbian 2018-10-09 unterstützt die Zusatzplatine Pi PoE HAT, das seit August für den Raspberry Pi 3 Modell B+ zur Verfügung steht. Dabei handelt es sich um ein »Hardware Attached on Top«-Modul (HAT), das Huckepack auf dem Raspberry Pi aufgesteckt wird und diesen mit der Möglichkeit ausstattet, sich per Power over Ethernet mit Energie zu versorgen.

    Raspbian 2018-10-09 steht als Vollversion mit auf LXDE basierendem PIXEL-Desktop oder als Light-Version auf dem Downloadserver der Raspberry-Pi-Foundation als Torrent oder direkt zum Download bereit.

  • Skype für Debian kann Rechner gefährden

    Skype für Debian kann Rechner gefährden

    Der IT-Berater Enrico Weigelt hat ein Sicherheitsproblem bei der Installation von Microsofts Microsofts Skype-Paket für Debian und seine Derivate entdeckt. Das ermöglicht unter Umständen das Einschmuggeln von bösartigen Paketen bis hin zur kompletten Übernahme des Rechners.

    Ungefragter Eintrag

    Das Paket schreibt bei der Installation ungefragt den Eintrag https://repo.skype.com/deb stable main in die sources.list und ermöglicht damit die Aktualisierung des Pakets durch Microsoft. Das dabei entstehende Problem ist, dass Microsoft oder jemand, der den entsprechenden privaten Apt-Repository-Schlüssel hat, freie Hand hat, unbemerkt bösartige Pakete zu installieren.

    Canonical-Mitarbeiter Seth Arnold weist auf weiteres Gefahrenpotenzial hin, wenn er anmerkt, dass durch die Tatsache, dass viele an einer Paketinstallation unter Debian beteiligte Scripte mit vollen Root-Rechten laufen, Microsoft oder andere Dritte einen Rechner komplett übernehmen könnten.

    Nichts Neues

    Warum Weigelt jetzt das Skype-Paket als unsicher anmahnt, erschließt sich nicht ganz, denn das nicht tolerierbare ungefragte Eintragen in die Quellenliste bei der Installation von Drittanbieter-Paketen in Debian ist nichts Neues. Googles Browser Chrome tut das schon immer, ebenso wie Vivaldi und andere. Dass das nicht sein muss, zeigt Hersteller Opera, der während der Installation nachfragt, ob der Eintrag gewünscht ist.

    Reale Gefahr

    Ob man nun Google mehr vertraut als Microsoft oder anderen Softwareschmieden bleibt jedem selbst überlassen. Aber selbst wenn dort kein böser Wille unterstellt wird, wäre es nicht das erste Mal, dass böswillige Hacker sich Firmengeheimnisse beschaffen. Ich denke dabei etwa an die mit einer Backdoor versehenen gefälschten Images bei Mint Linux im Februar. Die Gefahr, die Weigelt hier beschreibt, ist also durchaus real.

    Schaden verhindern

    Er beschreibt deshalb einige Maßnahmen, um die Gefahr zu bannen. Dazu zählt das Entfernen des Eintrags aus der Quellenliste ebenso wie das Kompilieren des Pakets ohne die Routine zum Erstellen des Eintrags. Darüber hinaus lässt sich das Paket per Apt-Pinning darauf festnageln, lediglich skypeforlinux zu aktualisieren. Schließlich sieht Weigert noch die Möglichkeit, das Paket via Docker oder LXC in einen Container zu sperren.

    Abgeschottet

    Wenn Alternativen zu Skype nicht in Frage kommen, sehe die Installation von Skype per Flatpak als die bessere Lösung an, da hier die Anwendung bereits durch die Sandbox limitiert ist und beim Aktualisieren keine Möglichkeit besteht, Schaden außerhalb des Pakets anzurichten. Ubuntu-Anwender bevorzugen hier eventuell das Snap von Skype.

  • Intel Microcode für Debian Stable aktualisiert

    Intel Microcode für Debian Stable aktualisiert

    Intel Microcode
    Screenshot: ft

     

    Für Debian GNU/Linux 9 »Stretch« steht ein aktualisierter Intel Microcode zum Schutz vor Angriffen durch die Sicherheitslücken Spectre 3a und 4 bereit. Er stellt Maßnahmen gegen Speculative Store Bypass (SSB) für weitere Intel CPUs bereit, die vom am 16. August veröffentlichten Microcode nicht abgedeckt wurden.

    Weitere CPUs abgedeckt

    Auf der Debian Mailingliste schreibt Moritz Mühlenhoff, im aktualisierten Microcode, der unter dem Paketnamen intel-microcode 3.20180807a.1~deb9u1 vertrieben wird und als DSA 4273-2 erfasst wurde, seien weitere ältere Prozessortypen, die von DSA-4273-1 im August nicht erfasst waren, abgedeckt.

    Bitte aktualisieren

    Das Debian-Projekt fordert alle Benutzer auf Debian 9 »Stretch« mit Intel-CPUs dazu auf, die Mikrocode-Firmware auf Version 3.20180807a.1~deb9u1 zu aktualisieren. Um die Gefahr, die von den beiden Spectre-Sicherheitslücken ausgeht, weiter zu verringern, müssen die Anwender auch das neueste Kernel-Update installieren.

    Die beiden Lücken, die als Spectre Variante 3a »Rogue System Register Read«, katalogisiert unter CVE-2018-3640 und Spectre Variante 4  »Speculative Store Bypass«, die als CVE-2018-3639 in die Liste der CVE einging, können Angreifern Zugang zu sensiblen Informationen auf anfälligen Systemen ermöglichen.

    Debian blieb seiner Linie treu

    Mit dem letzten Microcode-Update gab es einigen Ärger bei Debian, da Intel in die Lizenzbedingungen eine Klause eingebaut hatte,  der es untersagte, Benchmarks oder Vergleiche, die auf der Grundlage des eingespielten Microcodes entstanden sind, zu veröffentlichen. Debian-Kernel-Maintainer Henrique de Moraes Holschuh verweigerte die Auslieferung für Debian, während andere Distributionen den Microcode trotzdem freigaben. Open-Source-Urgestein Bruce Perens machte die Geschichte dann in seinem Blog publik, worauf sie ein großes Medienecho erfuhr. Intel ruderte daraufhin zurück und entfernte die Klausel wieder.