Das Debian-Release-Team macht derzeit Überstunden. Nach der zweiten Alpha-Version zu Debian 10 »Buster« hat das Projekt nun die dritte von mehreren Aktualisierungen von Debian 9 »Stretch«, dem derzeit stabilen Zweig des Projekts, freigegeben. Zusätzlich erhielt auch der als »oldstable« geführte Vorgänger Debian 8 »Jessie« eine Aktualisierung auf Version 8.10.
Diese Veröffentlichungen fügen vor allem Korrekturen für Sicherheitsprobleme hinzu, zusammen mit Anpassungen für kritische Fehler in Anwendungen. Debian Security Advisories für die Sicherheitsprobleme wurden bereits separat veröffentlicht. Das berichteten gestern die Debian–News. Debian 9 Stretch wurde Mitte Juni freigegeben, die erste Aktualisierung fand Ende Juli statt, die zweite im Oktober.
Debian 9.3
Gemeinsam ist beiden Aktualisierungen die Auslieferung der akkumulierten Sicherheitsupdates. Für die Aktualisierung auf Debian 9.3 wurden 123 Änderungen eingefügt, wovon 68 Fehler in Anwendungen korrigieren während 55 Sicherheitsprobleme beheben. Fehler wurden unter anderem im Kernel sowie in den Paketen base-apps, live-configf, lxc, python-2.7, syslinux, tor und zsh behoben.
Browser liegen vorne
Bei den Sicherheitsupdates liegt der Chromium-Browser mit zwei behobenen Lücken vorne. Weitere sicherheitsrelevante Änderungen betreffen unter anderem die Pakete qemu, nautilus, wordpress, thunderbird, xorg-server, firefox-esr, samba und vlc. Das Paket libnet-ping-external-perl wurde entfernt. Für Debian 8.10 wurden insgesamt 147 Änderungen vorgenommen. Davon betreffen 52 Fehler in Paketen während 95 sich um Sicherheitslücken drehten. Hier wurde zusätzlich noch das obsolete Paket aiccu entfernt.
Zeitnah aktualisieren
Allen anderen Anwendern wird zur zeitnahen Aktualisierung über das Paketmanagement geraten. Debian GNU/Linux 8.10 und 9.3 stehen ab sofort auf dem Debian-Server sowie den offiziellen Spiegelservern zum Bezug bereit. Für neue Installationen werden in den nächsten Tagen aktualisierte Images auf den Download-Servern zur Verfügung stehen. Weitere Informationen zu Debian GNU/Linux 9 sind in der offiziellen Release-Information nachzulesen. Aktualisierte Images werden in den nächsten Tagen bereitstehen.
Die nächste Veröffentlichung von Debian trägt die Versionsnummer 10 und den Codenamen Buster, eine weitere Figur aus dem Toy-Story-Universum. Die Veröffentlichung von Debian 10 Buster wird vermutlich 2019 stattfinden. Nichtsdestotrotz hat die Entwicklung zu Buster gleich nach der Veröffentlichung von Debian 9 »Stretch« Mitte Juni begonnen und jetzt bereits die zweite Alpha-Version des Installers vorgelegt.
Sicherheitsupdates automatisch installiert
Mit dieser Alpha-Version wird durch die Paketauswahl pkgsel das Paket unattended-upgrades standardmäßig installiert. Damit soll sichergestellt werden, dass künftig Sicherheitsupdates automatisch installiert werden. Die Probleme mit der Architektur mips64el sind behoben, sodass die oft in eingebetteten Systemen eingesetze RISC-ähnliche Architektur wieder über ein Image verfügt. Die 64-Bit Variante dieses MIPS-Ports war erst mit Debian 9 in die offizielle Liste der unterstützten Architekturen aufgenommen worden.
Auf Kernel 4.13 aktualisiert
Die Linux-Kernel-ABI von 4.12.0-1 auf 4.13.0-1 angehoben. Die nächste Version des Installers wird vermutlich Kernel 4.14 nutzbar machen, da 4.13 bereits am 24.11 aus der Unterstützung herausgefallen ist. Beim Bau des Betriebssystems wird jetzt auch snapshot.debian.org unterstützt, um besser mit Regressionen umgehen zu können. Auf dieser Seite kann auf ältere Versionen von Paketen zugegriffen werden.
Mehr Hardware unterstützt
Auch bei der Hardwareunterstützung legt Alpha 2 zu. Neu unterstützt werden einige weitere Einplatinenrechner, unter anderem A20-OLinuXino-LIME2-eMMC, FriendlyArm NanoPi M1 Plus, Marvell Armada 8040 DB, Marvell 8040 MACHIATOBin, Olimex, SolidRun HummingBoard und Solo/DualLite.
Mit einem eigenen Theme kann der Installer noch nicht aufwarten, es wird derzeit noch das Theme von Stretch benutzt. Dafür werden aber bereits 75 Sprachen unterstützt, wovon 10 schon komplett übersetzt sind. Herausgefallen ist die Unterstützung für den Befehl kdesudo.
Wer schon etwas länger auf Computern unterwegs ist und früher einmal Windows genutzt hat, erinnert sich vielleicht an das kostenlose Programm Sysinternals von Mark Russinowitch. Microsoft kaufte 2006 die dahinterstehende Firma Winternals und beide Entwickler erhielten eine Anstellung in Redmond. Russinowitch ist heute der Chef von Microsofts Azure Cloud Computing Platform & Services. Auf Twitter gab er nun bekannt, dass das Tool Procdump als Teil von Sysinternals jetzt für Linux zur Verfügung steht. Noch besser: Mario Hewardt, einer der Entwickler der Portierung kündigt an, noch weitere Tools aus dem Paket nach Linux portieren zu wollen und fragt nach Wunschkandidaten.
Das auf GitHub gehostete Kommandozeilen-Werkzeug Procdump bietet Linux-Entwicklern eine bequeme Möglichkeit, auf Basis von Performance-Triggern Core-Dumps ihrer Anwendung zu erstellen. Es erleichtert damit die Fehlersuche bei Speicherlecks, Hängern, ausgelasteter CPU und anderen Fehlerbildern. Die einfachste Möglichkeit, einen Coredump einer Applikation zu erstellen ist sudo procdump -p 1234, wobei 1234 die Prozessnummer ist. Auf GitHub finden sich Anwendungsbeispiele, die weitere Parameter einsetzen. Eine etwas komplexere Anweisung ist etwa sudo procdump -C 65 -n 3 -s 5 -p 1234 womit bis zu drei Coredump im Abstand von mindestens fünf Sekunden erzeugt werden, wenn der betreffende Prozess mindestens 65 Prozent der CPU beansprucht.
Baukasten mit 65 Werkzeugen
ProcDump wurde auf Ubuntu 14.04 und 16.04 gestestet und benötigt mindestens Kernel 3.5. Die Entwickler wollen das Tool mit weiteren Distributionen testen. Noch fehlen ein paar Funktionen, über die die Windows-Version verfügt. Das Tool steht unter einer MIT-Lizenz. Interessant für Linux-Endanwender wird es, wenn Windows, wie angekündigt, weitere Tools aus dem Sysinternals-Baukasten wie etwa den Process Explorer, Procmon, RootkitRevealer oder weitere der insgesamt 65 Werkzeuge für Linux anbieten.
Google hat Chrome 63 für Linux, macOS und Windows freigegeben. Es wurden insgesamt 37 Sicherheitslücken beseitigt, wovon einige eine hohe Gefährdung darstellten. Google zahlte den Entdeckern der Lücken im Rahmen seines Bug-Bounty-Programms über 45.000 US-Dollar aus.
Google hat Chrome 63 an einigen Stellen übersichtlicher gestaltet. So bietet die Seite chrome:flags, die experimentelle Funktionen von Chrome zum Aktivieren anbietet, nun einen wesentlich besseren Überblick. Die Schaltfläche zum Zurücksetzen aller Funktionen auf Standardwerte sitzt prominent und größer als zuvor am Kopf der Seite. Außerdem wurde ein Suchfeld hinzugefügt.
Chrome 63 wird übersichtlicher
Auch die Informationen zur Sicherheit einer Seite, die links neben dem Adressfeld angezeigt werden, sieht nach einem Klick darauf nun aufgeräumter aus. Es werden weniger Informationen direkt angezeigt, der Rest ist über eine Schaltfläche erreichbar, die auf eine Seite in den Einstellungen führt.
Eine neue experimentelle Sicherheitsfunktion bei Chrome 63 ist Strict Site Isolation, eine Funktion, mit der jede Webseite in einem eigenen Prozess ausgeführt wird. Zunächst nur in Chrome for Business offiziell verfügbar, lässt sich die Funktion in Chrome 63 manuell freischalten.
Ein eigener Prozess pro Webseite
Google selbst erklärt die zusätzliche Sicherheit beim Sandboxing so:
»Googles Website-Isolationsfunktion verbessert die Sicherheit für Chrome-Browser-Benutzer. Wenn Sie die Site-Isolation aktivieren, wird der Inhalt für jede geöffnete Website im Chrome-Browser immer in einem dedizierten Prozess gerendert, der von anderen Websites isoliert ist. Dadurch wird eine zusätzliche Sicherheitsgrenze zwischen den Websites geschaffen.«
Zur Freischaltung wird in chrome:flags in das Suchfeld der Begriff site-per-process eingegeben. Daraufhin wird das Experiment angezeigt und kann aktiviert werden. Google warnt allerdings derzeit noch vor erhöhtem Speicherbedarf von 10 – 20 Prozent. Dieser Wert soll erst erheblich reduziert werden bevor die Anwender von Chrome offiziell auf diese Funktion zugreifen können.
Neue API nutzt RAM besser aus
Mit »Device Memory JavaScript API« steht eine neue API zur besseren RAM-Ausnutzung zur Verfügung. Diese Funktion soll Anwendern auf Geräten mit wenig RAM helfen. Die API erkennt automatisch die Menge des Speichers im Gerät und kann bei hohem RAM-Verbrauch auf Lite-Versionen von Websites umleiten. Der Sicherheit zugute kommt zudem der neue Schutz von GMail durch TLS 1.3.
Die Firma SoftMaker bietet ihr Office 2018 für Linux in der Beta-Version bis zum Heiligen Abend zum kostenlosen Test an. Die ansonsten kostenpflichtige Office-suite, die sich besonders die Kompatibilität mit Windows-Formaten auf die Fahnen geschrieben hat, besteht aus dem Schreibprogramm TextMaker, der Tabellenkalkulation PlanMaker und der Präsentations-Software Presentations. Softmaker will damit nicht nur die wichtigsten Funktionen von Microsoft Office bieten, sondern nativ neben den alten Microsoft-Dateiformaten auch die Formate DOCX, XLSX und PPTX unterstützen. Diese sollen geöffnet, bearbeitet und wieder im gleichen Format gespeichert werden können.
Klassisch oder Ribbon
Eine weitere von Microsoft Office übernommene Komponente sind die dort mit Office 2007 eingeführten Ribbons. Neben den klassischen Bedienleisten und Menüs kann sich der Anwender bei SoftMaker Office 2018 für Linux auch für die Bedienung mit Ribbons entscheiden. Allerdings bleibt das klassische Menü auch in diesem Modus noch erreichbar.
Thunderbird integriert
TextMaker zählt nun Zeichen und Worte in Echtzeit und bindet die neueste Version des Duden-Korrektors ein. Ein Thesaurus und der Langenscheidt sind ebenfalls vorhanden. Auch der E-Mail-Client Thunderbird ist über ein Icon direkt erreichbar. Neben den Microsoft-Formaten unterstützt PlanMaker in der neuen Version erstmals auch OpenDocument Calc (ODS) aus der LibreOffice-Suite, OpenOffice und weiteren Open-Source-Applikationen.
Native 64-Bit
SoftMaker Office 2018 für Linux liegt in der Beta-Version erstmals auch als native 64-Bit-Anwendung vor, sodass keine Multiarch-Umgebung mit 32-Bit-Abhängigkeiten mehr notwendig ist. Auf der Webseite des Herstellers stehen Versionen in 32- und 64-Bit jeweils als DEB und RPM sowie als gepacktes Archiv zum Download bereit. Diese Testversion ist bis zum 24.12 lauffähig. Danach folgt entweder eine weitere Beta oder die kostenpflichtige Veröffentlichung. Preise dafür sind auf der Webseite noch nicht angegeben, die letzte Linux-Version aus 2016 kostete in der Standard-Version rund 70 Euro, die Professional-Version war für rund 100 Euro zu haben.
Google hat die App Files Go! aus dem Beta-Stadium entlassen und beschert Android damit zumindest einen rudimentären Dateimanager. Das Go im Namen weist darauf hin, dass die App hauptsächlich für Android Go, die leichtgewichtige Version von Android 8 »Oreo« erstellt wurde. Nun ist die Anwendung offiziell aus dem Play Store installierbar. Mit vollwertigen Dateimanagern wie etwa Solid Explorer kann Files Go dabei nicht mithalten.
Der Schwerpunkt liegt laut Google auf der Systembereinigung. Die Anwendung scannt automatisch nach doppelten Anwendungen und ermöglicht es, als überflüssig eingeschätzte Anwendungen zu entfernen. Es identifiziert große Dateien und gibt verschiedene Tipps, wie zusätzlicher Speicherplatz auf dem Smartphone eingespart werden kann.
Kein üblicher Dateimanager
Anstatt ein Dateiverzeichnis anzuzeigen gibt es stattdessen Kategorien wie unter anderem Bilder, Videos, Audio, Dokumente, Apps. Mit der App können a Dateien auch an einen anderen Files Go-Benutzer gesendet werden. Die App erstellt dazu einen lokalen verschlüsselten Hotspot, über den sie dann die Datei per WLAN versendet. Files Go ist ab Android 5.0 »Lollipop« lauffähig.
Die beiden Hauptschirme von Files Go: Storage und Files
Speicher und Dateien
Nach dem Öffnen der App kann der Anwender aus zwei Hauptbildschirmen wählen – Storage und Files. Unter Storage kann man sehen, wie viel Platz vom verfügbaren Speicherplatz auf Ihrem Gerät genutzt wird. Außerdem finden sich hier Tabs zum Reinigen von Anwendungs-Caches und zum Löschen von Fotos, Videos oder Anwendungen, die nach Ansicht von Files Go entfernt werden könnten. Kriterien zum Entfernen von Dateien können in den Einstellungen definiert werden. Auf dem Tab für Dateien können alle Inhalte des Smartphones nach den bereits erwähnten Kategorien durchsucht werden. Allerdings können die Inhalte mit Files Go lediglich betrachtet, aber nicht editiert oder entfernt werden.
Gute Schätzung
Google gibt an, dass mit der App im Durchschnitt rund 1 GByte überflüssiger Daten bereinigt werden können. Auf meinem Nexus 5 trifft diese Einschätzung zu, Files Go bietet an, 408 MByte Anwendungs-Cache zu bereinigen und listet 884 MByte an großen Dateien auf, die, einzeln bestätigt, bei Platznot entfernt werden können
Mit der Veröffentlichung von TeamViewer 13 für Linux geht ein langgehegter Wunsch der Anwender der Fernwartungssoftware in Erfüllung. Das zunächst als Vorabversion vorliegende TeamViewer 13 für Linux kommt erstmals ohne Wine aus. Die neue Version liegt nativ in 32- und 64-Bit vor. Eine 64-Bit-Version gab schon immer, jedoch handelte es sich um eine verkappte 32-Bit-Anwendung, die dementsprechend auch ein Multiarch-System voraussetzte. Die Basis dafür stellt die Kommandozeilenversion TeamViewer Host dar, die erstmals im Mai für Linux erschien und beispielsweise zum ständigen Monitoring entfernter Rechner eingesetzt wird.
Pakete für die meisten Distributionen
TeamViewer 13 für Linux liegt in den Formaten DEB und RPM in je 32- und 64-Bit vor, zusätzlich wird für andere Formate ein offiziell nicht unterstütztes Tar-Archiv angeboten. Bei der Installation der Binärpakete legt TeamViewer einen Eintrag in der Quellenliste an, allerdings ohne den Anwender vorher zu fragen. Wer TeamViewer nicht vertraut sollte diesen Eintrag wieder entfernen. Zudem gibt es zumindest unter Debian einen Fehler mit der Komponente »main« des automatsichen Eintrags.
Qt als Basis für TeamViewer 13
Die Anwenderschnittstelle basiert, wie bereits bei TeamViewer Host für Linux und für den Raspberry Pi, auf dem Qt-Framework geschrieben. TeamViewer 13 für Linux verfügt in der Vorabversion über die Funktionalität der Host-Version, aber noch nicht über alle Funktionen der früheren Wine-basierten TeamViewer-Ausgaben, wie es in der Ankündigung heißt. Diese sollen aber bald nachgereicht werden. Derzeit funktionieren ein- und ausgehende Fernwartung, eingehende Dateiübertragung, das Konto-Management und die Verbindungsliste »Computers & Contacts«. KDE-Anwender können über das Tray-Icon per Klick auf den mittleren Maus-Button diese Liste ein- oder ausblenden.
Wayland anfänglich unterstützt
Die Entwickler von TeamViewer arbeiten auch an der Unterstützung von Wayland. Die steckt aber derzeit noch in den Anfängen, da Wayland von sich aus keine Fernverbindungen unterstützt. Diese sollen im jeweiligen Compositor der verwendeten Desktop-Umgebung realisiert werden. Am weitesten ist hier GNOME. Somit erwarten die Entwickler für GNOME eine erste funktionierende Version. Die Vorschau auf TeamViewer 13 für Linux und TeamViewer Host für Linux können von der Webseite des Unternehmens heruntergeladen werden.
Die Veröffentlichung von Fedora 28 ist für den 1. Mai 2018 geplant. Wer Fedora kennt sollte diesen Termin allerdings mit einer gewissen Skepsis im Hinterkopf behalten. Denn oft genug muss die Veröffentlichung der Distribution um Wochen verschoben werden. Eines der Ziele für Fedora 28 ist denn auch die Entzerrung der Entwicklungsphase durch Einschieben einer extra Woche.
Eine Woche einschieben
Mit Fedora 27 verzichteten die Entwickler erstmals zugunsten einer kontinuierlichen Entwicklung auf die Veröffentlichung einer Alpha-Version. Jetzt soll die Phase zwischen Beta-Freeze und der Veröffentlichung der Beta-Version von zwei auf drei Wochen verlängert werden. Damit will die Distribution möglichst näher am gesteckten Veröffentlichungstermin bleiben.
Laufzeit von Notebooks
Ein Projekt an dem Red-Hat-Entwickler Hans de Goede schon länger sitzt ist die Verlängerung der Laufzeit von Notebook-Akkus. Auch Fedora 28 wird hier weitere Verbesserungen aufweisen können. Wie auf der Projektseite zu lesen ist, soll an drei Stellen bei der Hardware Energie eingespart werden. Eine dieser Einsparungen wird erst mit dem im Januar erwarteten Kernel 4.15 möglich.
Weitere Einsparungen
Mit einem Patch, der auf der Vorarbeit von Googles Matthew Garret basiert, konnte de Goede den überarbeiteten Code jetzt im nächsten Kernel unterbringen. Damit wird es für SATA möglich, niedrigere Energielevel zu nutzen und so laut Goede Energieeinsparungen im Bereich von einem Watt zu realisieren. Weiterhin will Goede den Stromsparmodus beim Intel-High-Definition-Audio-Codec (HDA) aktivieren und damit zusätzliche 0,4 Watt einsparen. Weitere Einsparungen soll Autosuspend für USB-Bluetooth bringen.
Überschneidungen entfernen
Eine Neuerung, die noch nicht auf der Liste der Ziele für Fedora 28 steht ist die Beseitigung von Redundanzen zwischen dem Installer Anaconda und der Ersteinrichtung des Systems mit den entsprechenden GNOME-Werkzeugen. Im Verlauf der Entwicklung werden vermutlich noch weitere Ziele definiert. DieVeröffentlichung der Beta-Version von Fedora 28 ist derzeit für den 27. März vorgesehen.
Seit einigen Tagen herrscht bei Debian eine rege Diskussion über ausschließlich Freie Software auf den Distributionsmedien auf der Debian-Entwicklerliste. Ausgelöst durch einen Bericht einer fehlgeschlagenen Debian-Installation entwickelt sich der Thread zu einer Grundsatzdiskussion, welche sich bei Debian leicht über Wochen hinziehen können, um dann oft genug ergebnislos zu versickern.
Linux Mint gegen Debian
Der Ausgangspost beschreibt den Versuch eines fortgeschrittenen Computer-Anwenders, erstmals Linux auf einem Notebook zu installieren. Er entschied sich zunächst für Linux Mint und die Installation funktionierte auf Anhieb, die Hardware des Notebooks wurde korrekt erkannt und eingerichtet. Ein befreundeter Debian-Entwickler bat ihn, doch auch Debian 9 »Stretch« eine Chance zu geben. Gesagt – getan. Das Ergebnis war allerdings nicht wie erwünscht. Weder konnte nach der Installation eine WLAN-Verbindung erstellt werden, noch konnte auf angeschlossene NTFS-Laufwerke geschrieben werden. War ersteres zu erwarten, da WLAN-Treiber bei Debian in der Non-Free-Sektion liegen, so scheint das zweite ein Bug in NTFS-3G zu sein. Aber darum geht es hier nicht.
Versteckt, aber funktionierend
Prompt fragte ein Entwickler, warum der Anwender denn nicht ein inoffizielles Image genommen habe, welches die notwendige unfreie Firmware bereits mitbringt. Andere wollten daraufhin wissen, woher denn der Anwender von der inoffiziellen Version gewusst haben solle. Wie sich im weiteren Verlauf heraus stellte, wissen nicht einmal alle Debian-Entwickler, wo diese Images zu finden sind. Daraus ist mittlerweile ein zweiter Thread entstanden.
Kein Ende in Sicht
Damit waren die Grundlagen gelegt, um in Debian eine Grundsatzdiskussion loszubrechen, die sowohl technische als auch ideologische Fragen aufwirft, aber in erster Linie geht es um die Grundfesten der Distribution. Debian hat sich von Beginn an Freier Software verschrieben. Dabei ist das Thema nicht neu. Das 2011 erschienene Debian 6 »Squeeze« basierte erstmals auf einem Kernel, aus dem in zweijähriger Arbeit alle unfreien Firmware-Blobs entfernt worden waren. Vorausgegangen waren zwei GeneralResolutions, (GR), ein Wahlverfahren, bei dem nach einer Diskussionsphase alle Debian-Entwickler einer der angebotenen Lösungen ihre Stimme geben können. Trotzdem kehrt die Diskussion ständig wieder.
Debian verliert
Es wird diskutiert, dass Debian Anwender an andere Distributionen verliert, die noch weniger frei sind und Debian im Endeffekt irgendwann nur noch die Basis für andere Distributionen darstellt, die es dem Anwender einfacher machen, die Hardware zu benutzen, die er bezahlt hat. Ein weiterer Einwurf ist, dass Debian mit diesem Beharren auf ausschließlich Freier Software auf den Images der Distribution Linux insgesamt Schaden zufüge, da neue Anwender, die erstmals eigenständig Debian installieren, Linux generell als nicht funktional empfinden und zu ihren proprietären Betriebssystemen zurückkehren. Dabei geht es im Grunde doch darum, den Anwender zu informieren, bevor er unfreie Software einsetzt, so dass er eine fundierte Endscheidung für sich selbst treffen kann.
Nur Freie Software oder zufriedene Anwender?
Hier geraten die zwei wichtigsten Debian-Schutzgüter in Konflikt: Freie Software und die Debian-Anwender. Im Endeffekt geht es dabei um einen Spagat zwischen der Anerkennung durch die Free Software Foundation (FSF) von Richard Stallman und dem Wunsch der Anwender, dass Debian ihre Hardware bei der Installation erkennt und mit den benötigten Treibern funktionsfähig macht, egal ob free oder non-free. Dabei ist Debian für Richard Stallman nicht frei genug, da es dem Anwender zu leicht gemacht wird, unfreie Software zu installieren. Der Anwender hingegen findet es zu schwer, seine Hardware in Betrieb zu nehmen. Entwickler Marc Haber bringt es auf den Punkt:
»We’re approaching a worst-of-both-worlds scenario: We’re not Free enough to have the FSF recommend us, and we’re not non-free enough for our OS to run on current hardware used by Linux beginners, and cause them to end up with OSses that are (a) not Debian, and (b) even less free than Debian«
Wer kommt bei Debian ohne Firmware-Blobs aus?
Es geht dabei um mehr als das oft angesprochene, ohne unfreie Firmware nicht funktionierende WLAN. Auch einige Chips für kabelgebundenes Internet verlangen nach unfreier Software. Ebenso brauchen unsere CPUs zum einwandfreien Betrieb unfreien Microcode. Diese Tatsachen werden aus politischen Gründen auf debian.org nicht erwähnt, ebenso wenig wie die Existenz offizieller Images, die diese Probleme bei der Installation lösen helfen. Eine endgültige Lösung dieser Probleme in Debian ist nicht in Sicht, dazu gehen die Ansichten darüber bei den Entwicklern zu sehr auseinander. Eine Lösung für die nächsten Jahre könnte wohl nur, wie von Debian-Urgestein Ian Jackson leise angedeutet, eine neue General Resolution sein.
Der US-amerikanische Hersteller System76, der auf Linux-Notebooks und PCs spezialisiert ist, gab bekannt, Intels umstrittene proprietäre Management Engine (ME) in den von ihnen vertriebenen Geräten abschalten zu wollen. Dazu will der Hersteller demnächst automatisiert eine Firmware anbieten, die die ME abschaltet. Möglich wurde das, nachdem Forscher von Positive Technologies eine undokumentierte High Assurance Platform (HAP)-Einstellung in der Intel ME-Firmware entdeckt hatten. HAP wurde von der NSA für Secure Computing entwickelt. Das Setzen des Bits „reserve_hap“ auf 1 deaktiviert laut System 76 die ME. Damit ist System 76 der zweite Hersteller von Linux-Notebooks, die ihre Notebooks mit abgeschalteter ME ausliefern. Bereits im Oktober hatte der Linux-Notebook-Hersteller Purism, der auch das freie Smartphone Librem 5 entwickelt, die Abschaltung der ME für seine Notebooks angekündigt.
System76 ohne ME
Im Juli dieses Jahres begann bei System 76 ein Projekt zur automatischen Bereitstellung von Firmware für ihre Laptops, ähnlich der Art und Weise, wie Software derzeit über das Betriebssystem ausgeliefert wird. Das Werkzeug zur Auslieferung der Firmware ist Open Source und wird auf GitHub entwickelt. Nach Intels Ankündigung der Sicherheitslücken in der ME vom 20. November fiel die Entscheidung, automatisch aktualisierte Firmware mit deaktivierter ME auf betroffene Laptops mit Intels letzten drei Chip-Generationen 6, 7 und 8 anzubieten. Die ME bietet keine Funktionalität für System76 Laptop-Kunden und ist sicher zu deaktivieren.
Künftig möglichst auch für andere Notebooks
Der Rollout erfolgt im Laufe der Zeit und die Kunden werden vor der Auslieferung per E-Mail benachrichtigt. Sie müssen Ubuntu 16.04 LTS, Ubuntu 17.04, Ubuntu 17.10, Pop!_OS 17.10 oder ein Ubuntu-Derivat sowie den System76-Treiber installiert haben, um die neueste Firmware mit deaktivierter ME zu erhalten. System76 will zudem untersuchen, wie man ein distro-agnostisches Kommandozeilen-Firmware-Installations-Tool erstellen kann, damit auch andere Notebooks davon profitieren können. Auch für PCs von System 76 wird zeitnah eine entsprechende Firmware bereitgestellt.
Minnich im Vortrag: Habt ihr schon Angst? Wir schon!
Googles Coreboot-Entwickler Ronald Minnich und sein Team gehen mit ihren Nachforschungen darüber weit hinaus. Er möchte Intel ME und UEFI für Googles Server ersetzen. Dazu wurde das Projekt NERF aufgelegt, was für Non-Extensible Reduced Firmware steht. Darunter stellt sich Minnich eine ME-ROM auf der Basis von Open Source sowie eine UEFI-Implementation vor, die reduziert auf die unbedingt notwendigen Teile beschränkt wird. Da dies laut Minnich ein weiter Weg ist, sollen zunächst die Reichweite und die Möglichkeiten von Intels ME und UEFI eingeschränkt werden.
