CleanPress

Kategorie: News

  • Volla Phone X kann vorbestellt werden

    Volla Phone X kann vorbestellt werden

    Das Volla Phone X als Rugged-Ausführung kann ab sofort vorbestellt werden. Es ist die zweite Ausgabe des Volla Phone der Firma »Hallo Welt Systeme« aus Remscheid. Wie die erste Ausgabe nutzt auch das Volla Phone X ein Gerät der Gigaset AG als Grundlage, in diesem Fall das Gigaset GX290, das mit einem MediaTek Helio P23 SoC mit 2,3 GHz und 8 ARM Cortex-A53 Kernen sowie einer Mali-G71 MP2 GPU ausgestattet ist.

    Im mittleren Marksegment angesiedelt

    Das Gerät verfügt über 4 GByte RAM und 64 GByte internem Speicher, der per SD-Card auf bis zu 256 GByte erweitert werden kann. Der Karteneinschub nimmt zwei Nano-SIM-Karten oder eine Nano-SIM-Karte plus Micro-SD-Card auf. Der Akku bietet 6200 mAh, eine Schnellladeoption per Kabel mit 9V2A sowie drahtloses Laden. Bei der Konnektivität werden 2G/3G/4G, VoLTE (VollaOS), VoWifi (VollaOS), WLAN 2.5GHz/5GHz, Bluetooth 5.0 und NFC unterstützt. Bei den Anschlüssen sind USB-C für USB 2.0 und USB-OTG und eine 3,5 mm Stereo-Klinke für Kopfhörer mit Mikrofon vorhanden. Das Gewicht erhöht sich durch das stabilere Gehäuse und den größeren Akku von 190 auf 280 Gramm.

    Schutz vor Staub und Wasser

    Das robuste Volla Phone X erfüllt die IP68-Zertifizierung und bietet damit Schutz vor Staub und ist für bis zu 30 Minuten wasserdicht bis maximal 1,5 Meter Wassertiefe. Als Betriebssysteme stehen wie beim Vorgänger VollaOS und Ubuntu Touch zur Wahl. Volla OS basiert auf dem quelloffenen Android Open Source Project (AOSP) und enthält weder Google Apps noch Google Play Service. Ubuntu Touch ist ebenfalls unabhängig von Google und besitzt einen eigenen App Store. Android Apps lassen sich bei Ubuntu Touch allerdings ohne zusätzliche Software wie Anbox nicht installieren und ausführen.

    Datenschutz zugesagt

    Die Macher des Volla Phone versichern auch für die zweite Auflage, dass keine Daten von Anwendern gesammelt werden und ein Volla-Benutzerkonto nicht zwingend erforderlich ist, damit das Gerät verwendet werden kann. Zur Grundausstattung gehört eine App für den VPN-Dienst Hide.me. Das Volla Phone X kann auf der Webseite für 449 Euro vorbestellt werden und soll im August 2021 ausgeliefert werden.

  • Tor Browser 10.5 integriert Tor Launcher

    Tor Browser 10.5

    Tor Browser ist ein Firefox, der seine Verbindungen über das Tor Netzwerk aufbaut, was eine gewisse Anonymität ermöglicht. Tor Browser 10.5 setzt auf Firefox 78 ESR auf und integriert das aktuelle NoScript 11.2.9 sowie Tor Launcher 0.2.30. Bisher öffnete sich beim Start der Anwendung immer der Tor Launcher, der den Verbindungsaufbau übernahm. Die Funktionalität dieser Hilfsanwendung wurde mit Tor Browser 10.5 direkt in die Oberfläche integriert und öffnet kein eigenes Fenster mehr. Beim ersten Start von Tor Browser 10.5 bietet die Anwendung an, einen Haken zu setzen, der den Browser künftig direkt startet.

    Snowflake umgeht Zensur

    Tor Browser 10.5 integriert Snowflake in Form einer Bridge, die in den Einstellungen ausgewählt werden kann. Snowflake ist ein System zur Umgehung der Internet-Zensur. Menschen, die zensiert werden, können Snowflake nutzen, um auf das Internet zuzugreifen. Ihre Verbindung geht dann über Snowflake-Proxys, die von Freiwilligen betrieben werden. Anwender, deren Zugang zum Netz nicht zensiert ist, können Snowflake installieren, um Menschen mit zensierten Zugängen einen solchen Proxy bereitzustellen.

    Onion Services v2 werden eingestellt

    Am 15. Oktober 2021 mit dem Erscheinen von Tor 0.4.6.x werden Onion Services v2 nicht mehr unterstützt. Deshalb warnt Tor Browser 10.5 ab sofort, wenn eine Webseite besucht wird, die Onion Services v3 noch nicht unterstützt. Zudem erhielt die neue Version Wayland-Unterstützung. Nicht mehr unterstützt wird CentOS 6. Die neue Funktion Basic Crypto Safety warnt den Anwender, wenn eine Crypto-Adresse von einer unsicheren HTTP-Webseite kopiert wird.

    Alle weiteren Änderungen sind im Changelog verzeichnet. Die neue Version steht auf der Projektseite zum Download als Binärdatei bereit. Diese muss nicht installiert werden, sondern verfügt über ein Startskript.

  • Proxmox VE 7.0 setzt auf Debian 11

    Proxmox VE 7.0 setzt auf Debian 11

    Proxmox VE 7.0

    Auf Proxmox VE 6.4 vom April folgt nun die neue Version 7.0. Proxmox VE ist eine auf Debian basierende Open-Source-Virtualisierungsplattform zum Betrieb von virtuellen Maschinen, die über eine Web-Oberfläche verwaltet werden und wird von der Proxmox Server Solutions GmbH aus Wien entwickelt.

    Debian 11 »Bullseye« als Untersatz

    Proxmox Virtual Environment (VE) 7.0 basiert auf Debian 11 »Bullseye«, dessen allgemeine Verfügbarkeit für den 31. Juli geplant ist. Der Kernel wurde aktualisiert, es kommt Linux 5.11 LTS zum Einsatz. Weitere aktuelle Zutaten sind QEMU 6.0, LXC 4.0 sowie OpenZFS 2.0.4. Hier sind einige der Highlights der Proxmox VE 7.0 Beta-Version:

    • Ceph Server: Ceph Pacific 16.2 ist der neue Standard. Ceph Octopus 15.2 wird weiterhin unterstützt.
    • Btrfs: modernes Copy-on-Write-Dateisystem, das nativ vom Linux-Kernel unterstützt wird und Funktionen wie Snapshots, integriertes RAID und Selbstheilung über Prüfsummen für Daten und Metadaten implementiert.
    • ifupdown2 ist der Standard für neue Installationen, die das offizielle ISO von Proxmox VE verwenden. Das veraltete ifupdown wird in Proxmox VE 7 noch unterstützt, kann aber in einer zukünftigen Hauptversion entfallen.
    • QEMU 6.0 hat Unterstützung für io_uring als asynchrone I/O-Engine für virtuelle Laufwerke – dies ist nun die Vorgabe für neu gestartete oder migrierte Gäste.
    • LXC 4.0 mit Support für cgroups v2
    • Überarbeitete Proxmox-Installer-Umgebung
    • Single Sign-On (SSO) mit OpenID Connect
    • ACME Standalone-Plugin mit verbesserter Unterstützung für Dual-Stack (IPv4 und IPv6)-Umgebungen

    Das Proxmox VE 7.0 bereits auf dem noch nicht veröffentlichten Debian 11 »Bullseye« basiert, erklärt der Hauptentwickler:

    Obwohl fast alle Debian-Pakete fertig waren, hat das Debian-Projektteam die Pläne für einen Release im Mai aufgrund eines ungelösten Problems im Debian-Installer verschoben. Da wir unseren eigenen Proxmox-Installer verwenden, sind wir nicht von diesem spezifischen Problem betroffen und haben uns entschieden, früher zu veröffentlichen.

    Thomas Lamprecht, Hauptentwickler Proxmox

    Mit Zstd komprimiert

    Des Weiteren wurde der Installer überarbeitet und die Erkennung und Anpassung von HiDPI-Displays verbessert. Es werden ISOs unterstützt, die von Geräten mit USB Attached SCSI (UAS) gesichert werden, was bei modernen USB3-Flash-Laufwerken häufig der Fall ist. Für das Initrd-Image und die Squashfs-Abbilder wird Zstd als Komprimierungs-Algorithmus verwendet. Zudem wurde die Web-Oberfläche überarbeitet. Die Notiz-Panels für Gäste und Knoten beherrschen nun Markdown und rendern es bei Bedarf als HTML.

    Alle weiteren Änderungen können der Pressemitteilung als auch der Roadmap entnommen werden. Proxmox VE 7.0 steht auf der Projektseite zum Download bereit. Proxmox VE 7.0 kann auch auf einer bestehenden Installation von Debian 11 »Bullseye« aufgesetzt werden. Für Unternehmen bietet Proxmox Server Solutions GmbH zusätzlich Enterprise-Support an, erhältlich als Subskriptions-Abo ab EUR 90 pro Jahr und CPU.

  • Nextcloud Hub 22 bringt PDF-Signaturen und Wissensmanagement

    Nextcloud Hub 22 bringt PDF-Signaturen und Wissensmanagement

    Mit Nextcloud Hub 22 bieten die Entwickler der Nextcloud GmbH benutzerdefinierte Gruppen, integriertes Chat- und Aufgabenmanagement, einen einfachen Genehmigungs-Workflow und integriertes PDF-Signieren mit DocuSign, eID Easy und LibreSign. Mit Nextcloud Hub 22 geht auch die Einführung einer integrierten Wissensmanagement-Anwendung mit dem Namen Collectives einher. Auch Nextcloud Groupware weist einige Verbesserungen auf.

    Veränderte Anforderungen

    Laut CEO Frank Karlitschek hat Nextcloud mit der neuen Version der Open-Source-Plattform für Filesharing und kollaboratives Arbeiten auf die durch die Pandemie veränderten Anforderungen reagiert und »bietet die Funktionen, die für das papierlose Büro erforderlich sind«. Er führt weiter aus, dass mit optimierten Workflows und effektiverem Selbstmanagement für Teams Nextcloud Hub 22 die Remote-Arbeit und die globale Zusammenarbeit für Teams weiter erleichtern werde.

    Entlastung für Admins

    Dazu führt Nextcloud Hub 22 benutzerverwaltete Gruppen namens Circles ein, um damit Administratoren von der Gruppenverwaltung zu entlasten. Die Zusammenarbeit von Teams wird erleichtert, indem die Aufgabenverwaltung enger mit dem Chat verbunden wird, wodurch etwa die direkte Umwandlung einer Chat-Nachricht in eine Aufgabe und das Teilen von Aufgaben in einem Chatraum ermöglicht wird. Darüber hinaus wird der gemeinsame Arbeitsablauf zum Prüfen und Genehmigen eines Dokuments durch vom Administrator definierte Genehmigungsabläufe optimiert.

    PDF-Unterschriften im Workflow integriert

    Das Signieren eines PDF-Dokuments kann jetzt direkt in Nextcloud erfolgen. Derzeit werden die drei PDF-Signaturwerkzeuge DocuSign, eID Easy und LibreSign unterstützt, wobei LibreSign die völlig quelloffene Variante darstellt. Mit der europäischen Lösung eID Easy ist Nextcloud eine Zusammenarbeit eingegangen, um es Nextcloud-Kunden zu erleichtern, effiziente Workflows mit nahtloser Dokumentensignierung zu realisieren. Eine Fähigkeit von eID Easy besteht darin, Dokumente zu signieren, ohne das Dokument an eID Easy zu übertragen, indem nur ein Hash des Dokuments signiert wird.

    Wissen strukturieren und verwalten

    Neu ist weiterhin die App Collectives, die Wissensmanagement in Nextcloud integriert. Collectives bietet Möglichkeiten, um Wissen zu strukturieren und dokumentübergreifende Links, um Informationen zu verbinden. Der Zugriff auf Wissen wird mit benutzerdefinierten Gruppen über Circles verwaltet und Dokumente können mit anderen in Echtzeit bearbeitet werden. Die Volltextsuche erleichtert das Auffinden von Informationen und die Daten sind vollständig portabel, werden in Dateien gespeichert und sind somit von den mobilen und Desktop-Clients als Markdown-Dokumente zugänglich.

    Nextcloud Groupware aufgewertet

    Nextcloud Groupware wird um einige Funktionen wie unter anderem einen Papierkorb für den Kalender erweitert, sodass versehentlich gelöschte Termine wiederhergestellt werden können. Zudem erhält der Kalender eine Ressourcenbuchung, um Räume, Fahrzeuge und ähnliches Inventar zu verwalten. Nextcloud Mail bietet verbessertes Threading, E-Mail-Tagging und Unterstützung für Sieve-Filterung. Die Projektmanagement-App Deck wird besser in Talk integriert und erhält eine verbesserte Suche.

    Zu den weiteren Verbesserungen in Nextcloud Hub 22 gehören Benachrichtigungen in der App-Navigation, eine Reihe von Sicherheitsverbesserungen, eine integrierte ZIP-Dateikomprimierung in der Dateioberfläche und erhebliche Leistungsverbesserungen bei der universellen Suche. Die neue Version von Nextcloud Hub wird ab 13:00 in einem Online-Event auf YouTube vorgestellt.

  • Audacity: Muse Group reagiert mit Klarstellung

    Audacity: Muse Group reagiert mit Klarstellung

    Die Muse Group versucht, mit einer Klarstellung auf die harsche Kritik zu reagieren, die nach der Anpassung der Datenschutzbestimmungen vom Wochenende aufkam, die nüchtern betrachtet die Einführung von Telemetrie durch die Hintertür darstellen. Tenor der Stellungnahme: »Ist alles nicht so schlimm, wir haben die Änderungen nur nicht genau genug formuliert«.

    Daniel Ray, Strategieleiter bei Muse Group stellt klar, dass über CPU, OS-Version, IP-Adresse sowie Fehlercodes (opt-in) hinaus keinerlei Daten gesammelt werden. Der automatische Update-Check, der demnächst mit der stabilen Version von Audacity 3.0.3 eingeführt wird, ist Opt-out. Der Begriff »personenbezogene Daten«, der in den Datenschutzbestimmungen Verwendung findet, sei notwendig, da die DSGVO die IP-Adresse potenziell als solche klassifiziere.

    Wir verstehen, dass die unklare Formulierung der Datenschutzrichtlinie und der fehlende Kontext bezüglich der Einführung zu großen Bedenken darüber geführt hat, wie wir die sehr begrenzten Daten, die wir sammeln, verwenden und speichern. Wir werden in Kürze eine überarbeitete Version veröffentlichen.

    Daniel Ray auf GitHub

    Die neuen Datenschutzbestimmungen, die demnächst in einer überarbeiteten Version vorgelegt werden sollen, erhalten erst mit Audacity 3.0.3 Gültigkeit, Version 3.0.2 sammelt laut Ray keinerlei Daten und verfügt über keine aktivierten Netzwerkfunktionen. Zudem stellt Ray klar, dass die Datenschutzbestimmungen nicht für die Nutzung von Audacity als Offline-Version gelten. Sie sind vermutlich auf künftige Produkte wie auf Audacity aufsetzende Cloud-Dienste ausgerichtet, die die Muse Group in Planung, aber noch nicht näher erläutert hat. Das soll zur Finanzierung von Audacity beitragen.

    Zu wenig zu spät

    Meiner Meinung nach ist das zu wenig zu spät. Wie kann man als Unternehmen mit kommerziellen Absichten in eine gewachsene Community reinplatzen und erwarten, willkommen zu sein? Wie kann man dann bereits zum dritten Mal hintereinander ein Fiasko auslösen, indem man Änderungen nicht vorher der Community erklärt, sondern still und leise und nicht ausreichend formuliert veröffentlicht. Entweder hat Muse Group überhaupt keine Ahnung, wie Open Source funktioniert oder es ist ihnen schlicht egal.

  • postmarketOS v21.06 unterstützt weitere 4 Geräte

    postmarketOS v21.06 unterstützt weitere 4 Geräte

    Die neueste Veröffentlichung der mobilen Distribution postmarketOS basiert auf dem am 15. Juni veröffentlichten Alpine Linux 3.14. Zuletzt wurde postmarketOS auf Beta 2 im April aktualisiert. Üblicherweise wird pmOS alle sechs Monate aktualisiert, diesmal sei die Integration der neuen Alpine-Version aber besonders schnell gelungen, wie die Release Notes berichten.

    Vier neue Geräte unterstützt

    Wurden damals 11 Geräte offiziell unterstützt, so sind es mit postmarketOS v21.06 nun 15. Hinzugekommen sind die Smartphones OnePlus 6, OnePlus 6T, Xiaomi Mi Note 2 und Xiaomi Redmi 2. Alle unterstützten Nutzerschnittstellen werden in der aktuellsten Version ausgeliefert. Generelle Verbesserungen in der neuen Version umfassen eine Beschleunigung um rund 35 % beim Aufschließen eines LUKS-Volume mittels Osk-sdl.

    Geräte-spezifische Verbesserungen betreffen den Kernel für das PinePhone, die unter anderem zur Verlängerung der Akku-Laufzeit beitragen, wie ein Blogeintrag von Entwickler Megi aufzeigt. Geräte werden künftig generell nicht mehr in Suspend gehen, wenn Musik abgespielt wird. Dies gilt auch für Apps wie VLC, die das Inhibit-API nicht unterstützen.

    Neuer Dateimanager

    Als Standard-Dateimanager in Phosh kommt künftig Portfolio zum Einsatz, der besser an mobile Displaygrößen angepasst ist als der bisher verwendete Nemo. Dieser ist auf Wunsch immer noch im Alpine-Repository zu finden.

    Mit v21.06 erthält postmarketOS eine Firewall, die auf nftables beruht. Der Zweck ist, eine weitere Sicherheitsebene einzuflechten. Sie ist auf allen Geräten außer dem OnePlus 6/6T und Xiaomi Mi Note 2 aktiviert. Es sind Standardregeln enthalten, die die meisten Anwendungsfälle abdecken sollten, und die bei Bedarf mit weiteren Regeln erweitert werden können.

    Abbilder der neuen Version von pmOS für die unterstützten Geräte sind auf der Projektseite verfügbar, Updates von der Vorgängerversion v21.03 werden unterstützt. Die Entwickler weisen darauf hin, dass auch v21.06 sich hauptsächlich an Enthusiasten richtet. Die Distribution hat noch immer Ecken und Kanten und mit Fehlern muss gerechnet werden.

  • Report: Open-Source-Bibliotheken in Unternehmen kaum aktualisiert

    Bibliotheken selten aktualisiert
    Photo by Florian Olivo on Unsplash

    Ein 36-seitiger Report über die Sicherheit von Software von Sicherheitsanbieter Veracode mit dem Titel State of Software Security (SoSS) v11: Open Source Edition, der im Juni veröffentlicht wurde, stellt einem Großteil der Bibliotheken von Drittanbietern in Repositories ein schlechtes Zeugnis aus. Demnach werden fast 80 % dieser Bibliotheken von den Entwicklern, die sie in ihrer Software verwenden, nie aktualisiert. Als Resultat daraus enthielten fast alle diese Repositories Bibliotheken mit mindestens einer Sicherheitslücke, die sich in 92 % der Fälle mit einem einzigen Update beheben ließen.

    Solide Basis

    Der Report von Veracode (Download erst nach Anmeldung) scheint eine solide Basis zu haben, wie Günter Born in seinem Blog berichtet. Demnach wurden für den Report 13 Millionen Scans von mehr als 86.000 Repositories mit mehr als 301.000 Bibliotheken analysiert. Zudem wurden rund 2.000 Entwickler über ihre Verwendung von Software aus dritter Hand befragt.

    Angst vor Regressionen

    Dabei wird klar, dass es zwei Hauptgründe gibt, warum Entwickler keine Updates einspielen. Einerseits wird dies bei der Vielzahl der verwendeten Bibliotheken auch in proprietärer Software einfach vergessen, andererseits werden nach der Devise »never touch a running system« durch Updates eingeführte Regressionen befürchtet. Der Report stellt allerdings klar, dass 65 % solcher Updates nur minimale Änderungen mitbringen, die selbst bei komplexen Anwendungen kaum dazu in der Lage sind, Schaden anzurichten.

    Richtlinien notwendig

    Die beliebtesten Bibliotheken entstammen Tools und Frameworks wie .NET, Go, JavaScript, Ruby, PHP, Python Java und Swift, wobei die Beliebtheit von Jahr zu Jahr stark schwanken kann. Der Report geht auch darauf ein, ob Unternehmen Richtlinien haben, wenn es um die Auswahl von Bibliotheken geht und wie diese aussehen.

    Als Fazit kann man mitnehmen, dass die Sicherheit der Lieferkette bei Software einen steigenden Wert darstellt und die Einstellung vieler Entwickler von »Einbinden und Vergessen« nicht länger tragbar ist. Da sich Bibliotheken schnell ändern können, sei eine Bestandsaufnahme der verwendeten Bibliotheken im Unternehmen unabdingbar.

  • Audacity schießt sich endgültig ins Abseits

    Audacity schießt sich endgültig ins Abseits

    Erst vor wenigen Tagen sah es so aus, als sei Audacity samt neuem »Besitzer« Muse Group zur Ruhe gekommen. Ein Update auf Audacity 3.0.3 behob einige Fehler und brachte kleine Verbesserungen. Kaum war das geschehen, veröffentliche Muse Group am vergangenen Freitag überarbeitete Datenschutzbestimmungen, die mit Datenschutz nun wirklich nichts zu tun haben und mit denen sich Audacity in den Augen der Open-Source-Community endgültig ins Abseits stellt. Es handelt sich dabei um eine gekürzte Version der generellen Datenschutzbestimmungen von Musecore. Niemand, dem seine Daten etwas wert sind, wird Audacity künftig noch mit der Mistgabel anfassen können.

    Nachdem der Versuch, Telemetrie einzuführen am Protest der Community scheiterte, folgt nun eine Datenschutzerklärung, die das Nach-Hause-Telefonieren legitimiert und der Muse Group völlig unakzeptable Rechte einräumt, die in der Form vermutlich von der DSGVO nicht gedeckt sind. Natürlich blieb diese Anpassung der Community nicht lange verborgen und am Wochenende wurden die neuen Richtlinien auf GitHub und Reddit stark kritisiert und ein Fork nahegelegt.

    Was wird gesammelt?

    Zunächst erklären die Richtlinien, welche Daten über die Hard- und Software des Rechners gesammelt werden:

    • OS Name und Version
    • Land des Anwenders basierend auf der IP
    • CPU des Rechners
    • Fehlercodes und Crash Reports, die Audacity erzeugt

    Daten nach Russland und die USA?

    Darüber hinaus werden Daten gesammelt, die »notwendig für Strafverfolgung, Rechtsstreitigkeiten und Anfragen von Behörden« sind. Was das für Daten sind, wird nicht verraten. Klar wird dagegen, dass eine Identifizierung über die IP-Adresse problemlos möglich ist, da die IP erst nach 24 Stunden gehashed wird. Wenn es um die Speicherung der Daten geht, heißt es zudem:

    Alle Ihre personenbezogenen Daten werden auf unseren Servern im Europäischen Wirtschaftsraum (EWR) gespeichert. Gelegentlich sind wir jedoch verpflichtet, Ihre personenbezogenen Daten mit unserer Hauptniederlassung in Russland und unserem externen Rechtsberater in den USA auszutauschen.

    Datenschutzbestimmungen für Audacity

    Außerdem heißt es in Absatz 4 unter anderem, dass Muse Group die Daten an jeden weitergeben kann, den sie als »Drittpartei«, »Berater« oder »potenzielle Käufer« klassifizieren. Für mich heißt das: potenziell an jeden. Die Community rätselt noch, warum für Audacity eine Altersbeschränkung eingefügt wurde, die zudem noch gegen die GPL verstößt, die solche Einschränkungen der Nutzung nicht zulässt:

    Die von uns zur Verfügung gestellte App ist nicht für Personen unter 13 Jahren bestimmt. Wenn Sie unter 13 Jahre alt sind, verwenden Sie die App bitte nicht.

    Datenschutzbestimmungen für Audacity

    Ein Fork kappt den Zugang zum Netz

    Auf GitHub wird gemutmaßt, dass ohne diese Einschränkung die stillschweigende Zustimmung zu den Richtlinien durch Nutzung der App nicht möglich ist, da dies je nach Land erst ab einem gewissen Alter erlaubt ist. Was den GPL-Verstoß betrifft, so ist Muse Group durch die kürzliche Einführung eines CLA vermutlich nicht mehr daran gebunden. Ein Fork, der bereits nach dem Versuch der Einführung von Telemetrie gestartet war, wurde nun umbenannt und erweitert, indem er unterbindet, dass Crash-Reports gesendet und Update-Checks vorgenommen werden. Dazu wurde aller Code, der Networking betrifft entfernt. Denn eigentlich braucht Audacity keinen Zugang zum Internet.

    Die neue Datenschutzbestimmung wird die Maintainer der Distributionen auf den Plan rufen, die Audacity in dieser Form kaum in die Repositories lassen werden. Damit dürfte Audacity in dieser Form in Linux am Ende sein. Schade drum.

  • Vom Rest das Beste – Woche 26

    Vom Rest das Beste – Woche 26

    Woche 26 hat das Jahr in der Mitte geteilt. Interessant fand ich die Personalie der Woche: Jim Whitehurst, der Red Hat von 2007 bis 2019 bis zur Übernahme durch IBM als CEO vorstand, ist nach nur 14 Monaten als Präsident von IBM zurückgetreten. Das lässt viel Spielraum für Interpretation.

    Distributionen

    Die Woche bietet reichlich Updates bestehender Distributionen und einen interessanten Neuzugang. Dieser nennt sich rlxos (RelaxOS) und teilt sich unter anderem mit Fedora Silverblue das Attribut immutable, was für unveränderlich steht. Die von Grund auf entwickelte Distribution erreicht das mit einem nur lesbaren Root und einem Overlay-Dateisystem obendrauf. Ein YouTube zeigt dazu bewegte Bilder. Die Updates der Woche wurden mit dem auf Kodi 19.1 basierenden Mediacenter LibreELEC 10.0 Beta5 eingeläutet. Zwei Seiten von KDE vereint Q4OS. Die mit Plasma 5 und Trinity (KDE 3.5) ausgelieferte stabile Ausgabe Q4OS 3 Centaurus LTS 3.15 basiert auf Debian 10.10.

    KaOS ist eine kleine aber feine Distribution, die stets die neueste Version der KDE-Desktop-Umgebung und andere Anwendungen bietet, die das Qt-Toolkit verwenden. Es ist die einzig mir bekannte Distribution, die bereits nutzbare Teile von Qt 6 ausliefert. Der neueste Schnappschuss der Rolling-Release-Distribution ist KaOS 2021.06, das KDE Plasma 5.22, neue visuelle Effekte und einen neuen Systemmonitor bietet. Mit Pop!_OS 21.04 stellt Linux-Notebook-Hersteller System 76 COSMIC vor, was für Computer Operating System Main Interface Components steht. Nitrux ist eine KDE nahestehende Distribution aus Mexiko, die in Ausgabe 1.5 neben Plasma 5.22 bereits Linux 5.13 ausliefert. Nicht zuletzt hat auch Deepin mit 20.2.2 eine neue Version vorgelegt, die einen neuen App-Store mitbringt.

    Anwendungen

    Wer im Urlaub mehr Zeit mit dem Nachwuchs verbringen möchte, kann die Kids mit dem preisgekrönten Tux Paint in Version 0.9.26 spielerisch an freie Software heranführen. Fürs Büro gab es gleich zwei Updates von Collabora. Neben Collabora Office 21.06 erblickte auch Collabora Online mit CODE 6.4.10 das Licht der Welt. Mit Darktable 3.6 erhielt der Open-Source RAW Image Editor viele neue Funktionen. OpenZFS 2.1 kommt mit Linux 5.13 und führt unter anderem das lange erwartete dRAID (Distributed Spare RAID) ein. Für Spielernaturen hat Valve Proton 6.3-5 veröffentlicht, das Fortschritte beim Video-Rendering bringen soll. Derweil ist Wine 6.12 besser für Windows-Games gerüstet. PipeWire wurde auf v0.3.31 aktualisiert und bringt neue PulseAudio-Module mit.

    KDE darf natürlich auch in dieser Woche nicht fehlen. Nate Graham bietet wie immer den Überblick über die aktuelle Entwicklung. Wer mit einem Dock für Plasma liebäugelt, kann sich das Beta-Release von Latte Dock v0.10 anschauen. Auch für Android gibt es eine gute Nachricht, wie GNU/Linux.ch zu berichten weiß, denn mit dem zwar nicht neuen, aber trotzdem recht unbekannten Fdroidcl lassen sich alle per F-Droid installierten Android-Apps vom Desktop aus mit nur einem Befehl auf dem Smartphone aktualisieren.

    Lesestoff

    Wer schon immer wissen wollte, wie das dezentralisierte Internet funktioniert, findet auf Hackernoon jetzt eine Antwort. BusinessInsider macht sich dagegen Sorgen um Nachwuchs bei den Kernel-Entwicklern und die Nachfolge von Linus Torvalds. Geburtstag hat diese Woche das BitTorrent-Protokoll, es wird 20. Mein Lieblings-Blogger Dedoimedo hat sich derweil in dieser Woche mit der Konfiguration des Plasma-Desktops für Neueinsteiger beschäftigt.

    Das war’s für heute. Nun starten wir durch in die zweite Jahreshälfte. Bleibt schön gesund!

  • Red Hat-Paketsystem RPM braucht Nachbesserung

    Photo by CHUTTERSNAP on Unsplash

    Im März 2021 hatte Dmitry Antipov, einer der Entwickler bei CloudLinux, der Firma hinter Alma Linux, entdeckt, dass die Signaturprüfung von RPM-Paketen unvollständig ist. Antipov sieht das als Sicherheitslücke, RPM-Entwickler Panu Matilainen eher als fehlende Implementierung von Teilaspekten der Signaturprüfung. Logisch, was nicht implementiert ist, kann keine Fehler enthalten. Geht aber völlig am Problem vorbei. Egal, wie man es benennen will, böswillige Akteure können dieses Verhalten ausnutzen, um einen widerrufenen oder abgelaufenen Schlüssel zur Installation schädlicher Pakete zu verwenden.

    Widerruf ist eines der vielen nicht implementierten Dinge in der OpenPGP-Unterstützung von RPM. Mit anderen Worten, Sie sehen keinen Fehler als solchen; es ist einfach überhaupt nicht implementiert, ähnlich wie es die Ablaufzeit nicht ist.

    Panu Matilainen auf GitHub

    Seit 24 Jahren unsicher

    Wie bei Debian mit DEB, werden Pakete im Paketformat RPM, was für Red Hat Package Manager steht, vom jeweiligen Maintainer mit seinem privaten Schlüssel signiert, dem die Anwender der Pakete vertrauen müssen. Seit der Einführung von RPM im Jahr 1997 durch Red Hat-Gründer Marc Ewing und Entwickler Erik Troan fehlen der Paketverwaltung sicherheitskritische Mechanismen wie die Prüfung, ob ein Schlüssel abgelaufen ist oder zurückgezogen wurde (revoked). Schlüssel werden unter anderem zurückgezogen, wenn sie kompromittiert sind. Somit passieren auch Pakete, die keinen gültigen Schlüssel mehr haben, die Sicherheitsbarriere, wie der Bugreport auf GitHub aufzeigt.

    Patch-Implementierung kann dauern

    Antipov hat einen Patch bereitgestellt, befürchtet aber, es könne aufgrund der Komplexität der Materie Monate dauern, bis der Patch angenommen, implementiert und bei den Anwendern angekommen ist. Da diese prekäre, leicht auszunutzende Lücke nun publik ist, denkt Antipov über eine CVE-Katalogisierung (Common Vulnerabilities and Exposures) bei Red Hat nach, um der Angelegenheit mehr Nachdruck zu verleihen.