Quelle: Nextcloud
Sicherheit ist in einem Unternehmen wie Nextcloud, das in Europa die sensitiven Datenbestände seiner Kunden mit einer cloudbasierten Open-Source-Softwearelösung absichert, nicht erst seit dem Inkrafttreten der DSGVO das A und O. In diesem Sinne setzt Nextcloud, die Client-Server-Software für File-Hosting unter eigener Kontrolle, bereits seit 2016 auf die Zusammenarbeit mit der Bug-Bounty-Plattform HackerOne.
Mehr Augen sehen mehr
Dahinter steht die Erkenntnis, dass ein Team von über 100 qualifizierten Hackern Probleme früher entdeckt und schnellere Lösungen für Sicherheitsprobleme anbieten kann als die im Unternehmen angestellten Sicherheitsexperten eines kleinen Teams. In der Praxis sieht das so aus, das die Hacker prämienbasiert für die Entdeckung und Behebung von im Bounty-Programm definierten Sicherheitslücken entlohnt werden.
»Given enough eyeballs, all bugs are shallow« – Linus Torvalds
Damit kann Nextcloud bei Sicherheitsproblemen eine Reaktionszeit von unter einer Stunde aufweisen, kann aber andererseits das Budget schonen, indem Sicherheitsexpertise »on demand« zugekauft wird.
Diese Lösung hat bereits zur Behebung von rund 120 spezifischen Sicherheitsproblemen beigetragen. Dafür hat Nextcloud rund 8.500 US-Dollar Prämien gezahlt, deren Höhe im Durchschnitt bei 100 – 150 US-Dollar lagen und deren höchste 750 US-Dollar betrug.
Illustre Kundschaft
Viele großen Unternehmen wie General Motors, Google, Twitter, GitHub, aber auch mit Regierungsstellen wie das US-Verteidigungsministerium arbeiten mit HackerOne zusammen. Dabei konnten bisher über 72.000 Schwachstellen behoben werden, wobei mehr als 32 Millionen US-Dollar an Prämien gezahlt wurden.
»We might not be a 1,000-person company but we have expertise that challenges companies many times our size and this is one way it shows.« – Jos Poortvliet, Head of Marketing
Jetzt hat Nextcloud zusammen mit HackerOne eine Fallstudie veröffentlicht, die die Zusammenarbeit zwischen dem kleinen Sicherheitsteam bei Nextcloud und den Experten bei HackerOne detailliert.
Nextcloud-Konferenz 2018
Nextcloud wird unter anderem die Ergebnisse des letztjährigen HackerOne-Programms auf der heute beginnenden Nextcloud-Konferenz am 25. August 2018 an der Technischen Universität in Berlin vorstellen. Durch das Bug-Bounty-Programm mit HackerOne schützt Nextcloud nicht nur seine Kunden, sondern auch das Unternehmen selbst im Fall von gerichtlichen Auseinandersetzungen in Sachen DSGVO. Die Zusammenarbeit ist ein guter Beleg dafür, dass Nextcloud seine Möglichkeiten voll ausgeschöpft hat.
Flatpak 1.0 ist seit einigen Tagen als produktiv einsetzbare Version des alternativen Paketsystems verfügbar. Entwickler Alex Larsson vermutet, dass sich nach drei Jahren intensiver Entwicklung die Schlagzahl der Änderungen nun verlangsamen wird. Der Fokus soll sich jetzt mehr auf die umgebende Infrastruktur konzentrieren. Dazu gehört es unter anderem, Flathub für weiteres Wachstum zu rüsten und Flatpak 1.0 in die Distributionen zu bekommen. Darüber hinaus soll an den Laufzeitumgebungen und Portals gearbeitet werden.
Larssons Revolution
Derweil hat sich Red-Hat-Mitarbeiter Larsson dazu geäußert, warum er die Entwicklung zu Flatpak überhaupt begonnen hat. Er hofft auf nichts weniger als auf eine Revolution – eine Revolution des Linux-Paketsystems, dass er als »fundamental kaputt« empfindet. App-Entwickler haben laut Larsson keine sinnvolle Möglichkeit, ihre Arbeit zeitnah an die Anwender zu verteilen.
Entwickler ohne Kontrolle
So müssten Entwickler theoretisch Pakete für verschiedenste Distributionen selbst zur Verfügung stellen, wenn sie die Kontrolle über die Aktualität behalten wollen. Tun sie das nicht – was alleine zeitlich oft nicht möglich ist, ergeben sich weitere Probleme. Nicht alle Distributionen paketieren alle Apps oder warten oft, bis die Anwendung bekannter ist, was zu einem typischen Henne-Ei-Problem für neue Apps führt. Und wenn die Anwendung dann paketiert ist, hat der Entwickler keine Kontrolle mehr über die angebotene Version und deren Updates, so Larsson.
Maintainer in der Mitte
Diese Entscheidungen obliegen dem Paketbetreuer der jeweiligen Distribution. Viele dieser Maintainer machen einen ganz prima Job. So war etwa Flatpak 1.0 in Debian Unstable bereits rund 12 Stunden nach Veröffentlichung verfügbar. Distributionen wie Arch Linux. KDE Neon oder KaOS bieten immer sehr aktuelle Pakete an.
Bugreports ins Leere
Auf der anderen Seite stehen Distributionen wie Debian Stable, wo viele Pakete bereits veraltet sind, wenn eine neue Version der Distribution veröffentlicht wird. Einerseits machen die abgehangenen Pakete einen Großteil der Stabilität von Debian aus, andererseits hat der Entwickler die dort verteilten Versionen bereits längst vergessen. Die Anwender schreiben aber im Bedarfsfall Bugreports gegen diese Versionen. Die Fehler sind dann oft längst mit neuen Versionen behoben, die der Anwender aber nicht installieren kann. Im Idealfall portiert der Maintainer die Fixes zurück in die ältere Version. Somit sind Entwickler und Endanwender getrennt, in der Mitte steht – zum Wohl oder Übel – der Maintainer.
Entwickler am Drücker
Hier kommen neue Paketsysteme wie Flatpak gerade recht. Sie erlauben auch bei eher unbeweglichen Distributionen die Verwendung aktueller Bibliotheken, gebündelt in verschiedenen Laufzeitumgebungen. Damit können dann auch aktuelle Software-Versionen genutzt und aktualisiert werden. Ziel ist, dass der Upstream-Entwickler die Kontrolle über die Updates hat.
Schulterschluss mit den Usern
Wenn der Entwickler einen wichtigen Fehler behebt, wird im Fall von Flatpak eine neue stabile Version veröffentlicht, die die Anwender verschiedenster Distributionen sofort nutzen kann. Alle Fehler werden gegen die neueste stabile Version eingereicht, so dass sie nicht veraltet sind, und sobald der Fehlerbericht geschlossen wird, erhält der Benutzer die Korrektur. Das bedeutet, dass das Melden von Fehlern für den Benutzer greifbar Sinn macht. Diese Art von virtuosem Zyklus trägt laut Larsson dazu bei, sowohl die Entwicklungsgeschwindigkeit als auch die Softwarequalität zu verbessern.
Die Gnadenfrist für Anwender, die Firefox-Erweiterungen nach dem alten Standard noch per Firefox ESR 52 verwendet haben, läuft am 5. September ab. Dann steht die Veröffentlichung von Firefox 62 und das Ende des Zyklus von Firefox ESR 52 an. Firefox-Erweiterungen nach demXML User Interface Language-Standard (XUL) gelten seit Firefox Quantum 57 als veraltet und werden als Legacy-Add-ons bezeichnet.
Aus für Legacy-Add-ons für Firefox
Anwender, die diese Add-ons weiter verwenden wollten, hatten bei Verwendung von Firefox ESR 52 eine Verlängerung erhalten. Wie Mozilla nun mitteilte, läuft diese Frist mit dem Ende der Unterstützung für Firefox ESR 52 am 5. September aus. Mozilla plant, die Legacy-Add-ons ab Anfang Oktober von der Add-ons-Webseite AMO zu entfernen.
Portierung notwendig
Bereits ab dem 6. September wird es nicht mehr möglich sein, Erweiterungen nach dem alten Standard auf AMO einzustellen, wie Caitlin Neiman, die Add-ons-Community-Managerin von Mozilla, mitteilte. Legacy-Add-ons können nur durch den ursprünglichen Entwickler wiederbelebt werden, indem dieser sie auf die neue WebExtensions-API portiert. Sobald eine portierte Version eingereicht und auf AMO freigeschaltet ist, erhalten die Nutzer, die das Legacy-Add-on noch installiert haben automatisch eine Aktualisierung auf die neue, nun kompatible Version.
Nicht alle werden portiert
Allerdings werden bei weitem nicht alle früher verfügbaren Firefox-Erweiterungen auf den neuen Standard portiert. Das verärgert nicht nur die Anwender, auch Entwickler monieren vielfach, ihre Erweiterungen seien nicht sinnvoll auf WebExtensions umzustellen, da die APIs immer noch viele Funktionen und Gestaltungsmöglichkeiten vermissen lassen, die der alte Standard geboten habe. Mozilla rechtfertigt den neuen Standard mit der Kompatibilität zu Chrome-Erweiterungen sowie besserer Stabilität und erhöhter Sicherheit.
Keine XUL-Erweiterungen mehr
So ist etwa eines der beliebtesten Add-ons, Tab Mix Plus (TMP) immer noch nicht nach dem neuen Standard verfügbar. Der Entwickler weist darauf hin, dass TMP aus über 35.000 Codezeilen in 139 Dateien bestehe. Das verdeutlicht den Arbeitsaufwand einer solchen Portierung.
Debian weist im aktuellen Security Advisory DSA-4279-1 auf die Schließung der kürzlich unter der Bezeichnung Foreshadow beziehungsweise L1 Terminal Fault (L1TF) bekannt gewordenen Sicherheitslücken in Intel-CPUs hin. Die geschlossenen Lücken beziehen sich auf die Kennnummern CVE-2018-3620 und CVE-2018-3646. Von den Lücken sind sowohl auf realer Hardware laufende als auch virtualisierte Systeme betroffen.
Bereits länger bekannt
Mehrere Forscher hatten die Schwachstellen in der Art, wie Intel-CPUs bei der spekulativen Ausführung von Anweisungen private Daten zugreifbar machen kann bereits vor Monaten entdeckt. Diese Fehler ähneln der Meltdown-Attacke und betreffen speziell die virtuelle Speicherverwaltung über Pagetables.
Kernel und Microcode
Um diese Schwachstellen vollständig zu schließen, ist es neben dem veröffentlichten Debian-Kernel 4.9.110-3+deb9u3 erforderlich, dass unter Debian »Stretch« der aktualisierte CPU-Microcode in Version 3.20180703.2~deb9u1 aus dem unfreien Repository non-free eingespielt wird. Dazu müssen Anwender kurzzeitig ihre Quellenliste erweitern. Dieser Microcode schließt durch Speculative Store Bypass Disable (SSBD) zusätzlich auch die Lücken Spectre Variante 3a und Variante 4 (CVE-2018-3639).
Anwender von Debian Stable sind aufgerufen, die aktualisierten Pakete schnellstmöglich einzuspielen, um gegen die Lücken geschützt zu sein.
Alex Larsson hat heute nach insgesamt drei Jahren Entwicklung Flatpak 1.0 freigegeben und damit das distributionsübergreifende Paketsystem, das seine Entwicklung unter dem Namen XDG-App begann, für den produktiven Einsatz freigegeben. Die Serie 1.x folgt auf die im Oktober 2017 veröffentlichte Reihe 0.10.x. Flatpak 1.0 soll über signifikant verbesserte Leistung und Zuverlässigkeit verfügen. Neben einer großen Anzahl an beseitigten Fehlern wurde auch mit neuen und verbesserten Funktionen nicht gespart.
Berechtigungen überarbeitet
Anwender wird es freuen, dass Flatpak 1.0 bereits bei der Installation einer Anwendung die Zustimmung zu den Berechtigungen anfragt, und nicht erst bei der ersten Ausführung. Wenn ein künftiges Update der Anwendung zusätzliche Berechtigungen benötigt, wird Flatpak dabei erneut auffordern, die Anfrage je nach Bedarf zu entscheiden.
Neues Portal
Der Ersteller eines Flatpak kann in der neuen Version der paketierten Anwendung ein Ablaufdatum mitgeben. Das kommt beispielsweise Entwicklern zugute, die eine Testversion herausgeben, die nur eine begrenzte Zeit lauffähig sein soll. Flatpak erhielt auch ein neues Flatpak-Portal, mit dem Linux-Anwendungen Sandboxen erstellen und sich selbst neu starten können. Das neue Werkzeug flatpak-spawn kann Befehle des Hosts ausführen, sofern die Berechtigungen das erlauben und kann unter Verwendung der APIs des neuen Portals neue Sandboxen aus einer Anwendung heraus erstellen. Zudem kann Flatpak 1.0 TLS-Zertifikate des Hosts für Sandbox-Anwendungen freigeben.
Flatpaks lernen SSH
Flatpak 1.0 ermöglicht Apps in Sandboxen zudem den Zugriff auf den SSH-Agent des Hosts für den sicheren Zugriff auf Git-Repositories oder Remote-Server und ermöglicht Apps den Zugriff auf Bluetooth-Geräte. Außerdem ist die P2P-Methode für die Installation von Flatpak-Anwendungen über USB-Sticks oder das lokale Netzwerk nun standardmäßig aktiviert und wird in allen Builds unterstützt. Eine neue Fallback-Lösung für Anwender in einer X11-Sitzung wurde in Flatpak implementiert. Dies kann verwendet werden, um sicherzustellen, dass eine App in Wayland keinen unnötigen X11-Zugriff hat, aber dennoch in einer X11-Sitzung alle nötigen Rechte erhält.
Darüber hinaus erhielt Flatpak neue Kommandozeilenbefehle und weitere Verbesserungen für Plattform-Entwickler und Linux-Distributoren. Hauptentwickler Larsson bezeichnete die stabile Freigabe von Flatpak als »wichtigen Schritt in Richtung des Ziels, das Linux-Ökosystem zu revolutionieren«. Insbesondere bei Fedora 29 wird Flatpak im Rahmen des Projekts Silverblue eine wichtige Rolle zukommen.
Flatpak 1.0 braucht, wenn es aus den Quellen gebaut wird, Bubblewrap 0.2.1 und OSTree 2018.7. Distributoren sind aufgefordert, die neue Version möglichst bald ihren Anwendern zur Verfügung zu stellen. Alle Änderungen zu Flatpak 1.0 sind auf GitHub verzeichnet.
Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.
Peinlicher Vorfall
Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.
Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:
[su_quote style=“modern-light“]»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«[/su_quote]
Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.
Mozilla greift durch
Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.
Unklare Motive
Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:
Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.
Die KDE Applications enthalten die Anwendungen, die nicht direkt mit dem Plasma-Desktop gebündelt ausgeliefert werden. Jetzt wurde die Version KDE Applications 18.08 freigegeben, die eine Vielzahl von Verbesserungen bringt. Hauptsächlich profitieren davon diesmal der Dateimanager Dolphin, der Bildbetrachter Gwenview und das Screenshot-Tool Spectacle. Aber auch KMail und Akonadi wurden verbessert.
GUI-Apps als Root oder nicht?
Besonders oft nachgefragt war die Zurücknahme einer Änderung, die der ehemalige KWin-Betreuer Martin Flöser eingeführt hatte. Da er der Meinung ist, grafische Anwendungen sollten möglichst nicht als Root laufen, verhinderte er dies für die KDE-Anwendungen Dolphin, Kate und KWrite. Zumindest für Dolphin wurde das mit den KDE Applications 18.08 jetzt zurückgenommen. Der Plasma-Dateimanager kann mit dem Update wieder als Root gestartet werden.
Bessere Lösung
Aber die wichtigere Entwicklung in diesem Zusammenhang ist noch nicht abgeschlossen. Die Entwickler arbeiten daran, in einer Dolphin-Umgebung, die im Usermode läuft, eine Datei, die Root gehört, bearbeiten zu können, indem kurzfristig eine Authorisierung dazu erteilt wird und nicht die gesamte Anwendung als Root läuft. Dieses Prinzip soll dann auch auf andere Anwendungen portiert werden.
Darüber hinaus wurde der Einstellungsdialog von Dolphin weiter an die KDE-Design-Richtlinien angepasst und soll nun intuitiver nutzbar sein. Die neue Version soll zudem weniger Speicherlecks haben und sich nun besser an HiDPI-Auflösungen anpassen. Das Kontext-Menü wurde erweitert, das Sortieren nach Änderungszeit soll nun wesentlich schneller vonstatten gehen.
Gwenview aufgewertet
Die meisten Änderungen der KDE Applications 18.08 erfuhr jedoch der Bildbetrachter Gwenview. Dort wird künftig in der Statusleiste die laufende Nummer und die Anzahl der dargestellten Bilder angezeigt. Die Sortierung kann nun auch in umgekehrter Richtung erfolgen, zudem kann nach den Bewertungen sortiert werden. Die Bildgröße kann beim Ändern jetzt auch in Prozent angegeben werden.
Mit Drag&Drop lassen sich künftig Dateien und Ordner in den Ansichtsmodus ziehen. Bilder lassen sich aus der Anzeige in externe Anwendungen ziehen oder per Kopieren und Einfügen dorthin bewegen. Das gelingt auch mit modifizierten Bildern. Das Zoomen innerhalb der Anwendung wurde so erweitert, dass es unter anderem auch dann funktioniert, wenn das Bild im Modus für Beschneiden oder im Rote-Augen-Modus ist.
Der Share-Button weist nun darauf hin, wenn die Kipi-Plugins fehlen und steht nach deren Installation sofort zur Verfügung. Wird ein Bild unter einem neuen Namen gespeichert, springt Gwenview nicht mehr willkürlich zu einem anderen Bild.
Spektakulär
Spectacle, das früher KSnapshot hieß, erbte einige Funktionen von anderen Linux-Screenshootern. Diese betreffen die Rechteck-Auswahl. Vom GTK-Screenshot-Tool Shutter erbte Spectacle einen Zoom, der die genaue Platzierung der Auswahl erlaubt. Von Flameshot stammt die Möglichkeit, den Rahmen auch über das Richtungskreuz der Tastatur anzupassen. Um den gesamten Rahmen pixelweise zu verschieben, lassen sich die Richtungstasten nutzen. Geht es darum, den Rahmen zu verkleinern, lässt sich das pixelweise mittels der Richtungstasten in Kombination mit der Umschalt-Taste erreichen. Screenshots können nun automatisch in benutzerdefinierten Unterverzeichnissen gespeichert werden.
Reisedaten im Kalender
Der E-Mail-Client KMail extrahiert auf Wunsch Daten aus E-Mails und trägt sie in den Kalender ein. Das geht nun auch mit den Barcodes von E-Tickets nach UIC 918.3 und von der staatlichen Eisenbahngesellschaft Frankreichs, SNCF. Zudem wurde Unterstützung für Multi-Traveler-Routen hinzugefügt, KMail bietet zudem künftig Integration mit der KDE Itinerary-App. Das PIM-Framework Akonadi arbeitet jetzt schneller und bietet XOAUTH-Unterstützung für SMTP, was eine native Authentifizierung mit Google Mail ermöglicht.
Für Konsoleros
Nicht zuletzt erhielt der Terminal-Emulator Konsole einige neue Escape-Sequenzen und das Fenster für die Suche wurde an den oberen Fensterrand verlegt. Zudem kann Konsole nun beliebige Zeichen auf ein Tastenkürzel legen. KDE hat sich zudem endlich entschieden, mit Ctrl+Alt+T eine standardmäßige globale Verknüpfung zum Starten der Konsole-Terminalanwendung festzulegen. Im Zuge der Entwicklung zu KDE Applications 18.08 wurden 120 Fehler in vielen Anwendungen behoben. Alle Änderungen verzeichnet das Changelog. Und zum Schluss an euch die Frage zu dem kontroversen Thema: Sollten GUI-Anwendungen als Root startbar sein?
SUSE feierte vor rund einem Jahr den 25. Geburtstag, Slackware blickte vor wenigen Wochen auf ein Vierteljahrhundert Entwicklung zurück. Heute nun vor 25 Jahren kündigte Ian Murdock im Usenet auf comp.os.linux.development die bevorstehende Fertigstellung einer neuen Linux-Veröffentlichung an, der er den Namen Debian gab. Der Name setze sich aus seinem und dem Vornamen seiner Freundin Debra zusammen. Murdock hatte die damals erste Linux-Distribution Softlanding Linux System benutzt und war mit einigem unzufrieden. Nach einer Zeit der Erweiterung des Vorhandenen entschloss er sich, ein System »from scratch«, als von vorne zu erstellen. Debian 0.01 wurde dann am 15. September 1998 veröffentlicht.
Oldtimer ohne Chef
Heute ist Debian die älteste der großen Linux-Distributionen, hinter der kein Unternehmen steht. Die rund 1.000 freiwilligen Entwickler leiten die Distribution nach dem Prinzip der Do-okratie. Das bedeutet in etwa: »Wer macht, bestimmt«. Das verlängert zwar Entscheidungen oft über Gebühr durch nicht enden wollende Diskussionen. Aber bisher hält Debian an diesem Prinzip trotzt einiger heftiger Krisen, deren letzte die Entscheidung für Systemd brachte, fest.
Gut geregelt
Den Rahmenbedingungen dieses oft chaotisch wirkenden Haufens bieten einige Richtlinien. Der Debian-Sozialvertrag, der eine Vision der Verbesserung der Gesellschaft bietet, beinhaltet auch die Debian-Richtlinien für Freie Software (DFSG), die Anhaltspunkte dazu geben, welche Software als brauchbar angesehen wird. Ergänzt werden sie durch die Projektverfassung, die die Projektstruktur festlegt, und den Verhaltenskodex, der den Ton für die Interaktionen innerhalb des Projekts vorgibt.
Stable, Testing und Unstable
Debians aktuelle Veröffentlichung hört auf den Namen Debian 9 »Strech«. Alle Veröffentlichungen tragen Namen von Figuren des Films Toy Story, so auch das für nächstes Jahr erwartete Debian 10 »Buster«-. Viele Anwender nutzen aber auch einen der anderen Zweige Testung oder Unstable aka Sid, was nach dem Jungen benennt ist, dessen Lieblingsbeschäftigung das Zerstören von Spielzeug ist. Früher stimmte diese Analogie durchaus, heute ist das nach dem Rolling-Release-Prinzip operierende Unstable aber relativ zahm und mit ein wenig Linux-Kenntnissen gut zu benutzen.
Dementsprechend gibt es seit Jahren einige Distributionen wie etwa Siduction, Xanadu oder das auf Router und Firewalls spezialisierte VyOS, die Debian Unstable erfolgreich als Basis nutzen. Insgesamt gibt es über 300 Distributionen, die Debian als ihre stabile Basis benutzen. Darunter sind auch Knoppix, dass das Prinzip von Live-CDs populär machte und Ubuntu, das eine Zeitlang die vermutlich am häufigsten genutzte Distribution war.
Debian GNU Linux wird 25 50!
Bisher konnte sich Debian immer an die Gegebenheiten und Erfordernisse des Marktes anpassen. So wurde vor drei Jahren Langzeitunterstützung realisiert, wodurch Debian-Veröffentlichungen nun insgesamt fünf Jahre Support erhalten und damit für Unternehmen interessant bleiben. Es besteht deshalb kein Grund anzunehmen, dass Debian nicht auch die 50 vollmachen kann.
In einem kurzen Promotion-Video, das anlässlich der SIGGRAPH2018 Konferenz veröffentlicht wurde, bestätigt Intel hartnäckige Gerüchte, der Konzern arbeite an einer diskreten Grafikkarte. In den letzten Jahren hatte Intel Grafikkerne nur als Teil der CPU verkauft.
Zunächst gescheitert
Allerdings ist Intels Plan, eine selbstständige Grafikkarte zu vermarkten, nicht der erste Ausflug des Konzerns in diese Richtung. Bereits 1998, vor 20 Jahren, hat Intel einen diskreten Grafikchip auf den Markt gebracht. Dieser hörte auf den Namen Intel740, kurz i740, trug den Codenamen Auburn und erlebte seinen zweiten Geburtstag nicht.
AGP war schuld
Der Chip, den Intel auf eigenen Karten anbot, wurde damals im 350nm-Prozess hergestellt – heute ist man bei 14nm – und bediente die AGP-Schnittstelle. Intel hatte gehofft, mit dem i740 den AGP-Port zu popularisieren, während die meisten Grafikanbieter noch PCI nutzten. Im Februar 1998 mit großem Aufwand für 34,50 US-Dollar auf den Markt gebracht, entsprach die Karte nicht der erwarteten Leistung und verschwand nach wenigen Monaten bereits wieder aus dem Fokus der Anwender. Im August 1999, nach weniger als 18 Monaten, zog Intel die i740 vom Markt zurück.
Intel versuchte das Debakel abzumildern und entwarf verbesserte Versionen in Form der Chips i752 und i754, die doppelte beziehungsweise vierfache AGP-Leistung brachten, hatte jedoch auch damit keinen Erfolg. Karten mit dem i752 erreichten den Markt, konnten die Leistung der i750 jedoch nur marginal verbessern. Die i754 wurde daraufhin erst gar nicht veröffentlicht. Die i752- und i754-Kerne wurden später für die integrierte Grafik in den Intel-Chipsätzen 810 und 815 verwendet. In späteren Analysen erhielt die AGP-Schnittstelle den schwarzen Peter.
Zweiter Versuch
Jetzt folgt also ein weiterer Anlauf von Intel in Sachen diskrete Grafikchips. Die derzeitigen HD-Grafik-Chips des Herstellers bieten 4K-Video und hardwareunterstütztes Video-Encoding, lassen aber einen großen Teil der Gamer und Grafikdesigner außen vor. Auch Data-Center und Artificial Intelligence (AI) kommen nicht ohne AMD oder Nvidia aus.
Letztes Jahr gab es erste Hinweise auf Intels Pläne, als das Unternehmen den AMD-Vizepräsidenten und ehemaligen Apple-Grafik-Chef Raja Koduri als Vizepräsident und Chief Architect seiner Grafikabteilung anheuerte. Intel CEO Brian Krzanich verriet bereits im Juni, kurz vor seinem Ausscheiden, 2020 werde Intel in den Markt einsteigen.
Wenig Details
Krzanich ging nicht im Detail darauf ein, welches Leistungsniveau oder welchen Zielmarkt diese erste diskrete GPU-Lösung ansprechen soll, aber Intels Executive Vice President der Rechenzentrumsgruppe, Navin Shenoy, bestätigte, dass die Strategie des Unternehmens auch Lösungen für Rechenzentrumssegmente (Think AI, Machine Learning) umfassen wird. Für uns als Anwender kann es nur gut sein, wenn ein weiterer Anbieter den Markt der diskreten Grafikkarten betritt.
Intel hat drei neue Sicherheitslücken in den Prozessoren der Baureihen Skylake und Kaby Lake bekannt gegeben. Eine der Lücken wurde vor Monaten von Forschern entdeckt und bekam den Namen Foreshadow. Die beiden anderen Lücken entdeckte Intel selbst während der Untersuchung von Foreshadow. Intel bezeichnet die Lücken als L1 Terminal Fault (L1TF), da sie den Inhalt des Level-1-Cache der Prozessoren gefährden. Die drei neuen Lücken wurden als CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646 katalogisiert. Es sind davon nur Intel-Prozessoren betroffen.
Foreshadow betrifft nur Intel
Auch hier handelt es sich, wie bereits bei den anderen bekannten Spectre-Lücken, um Seitenkanal-Attacken. In einem Papier der Entdecker der ersten Lücken im Januar 2018 heißt es dazu, diese Angriffe veranlassten die CPU zu spekulativen Operationen, die während der korrekten Programmausführung so nicht stattfinden würden. Die so abgegriffenen Informationen werden dann über einen Seitenkanal exfiltriert.
Tatort Pagetables
Die neuen Lücken ähneln der Meltdown-Attacke und betreffen die virtuelle Speicherverwaltung über Seitentabellen. Diese Tabellen übernehmen die Zuweisung virtueller und realer Speicheradressen, denn in einem virtuellen Speichersystem zeigen die Speicheradressen, die sowohl vom Userspace als auch vom Kernel verwendet werden, nicht direkt auf den physischen Speicher.
Bis zu 50 Prozent langsamer
Besonders betroffen von den neuen Angriffsvektoren sind Cloud-Anbieter. Um sich gegen die neuen Angriffe zu schützen, reicht es nicht, auf Software-Ebene Patches einzuspielen. Es muss, wenn es um virtuelle Maschinen geht, auch das Hyperthreading abgeschaltet werden, da sich diese Threads teils den gleichen L1-Daten-Cache teilen. Das Abschalten kann zu großen Performance-Verlusten führt. Im Endeffekt wird Intel, wie bereits gehabt, neue Microcodes zur Verfügung stellen, um die Patches zu ergänzen.
Die unbeabsichtigte Offenlegung von Speicherinhalten des Level-1-Datencache kann zwischen Userspace-Prozessen, zwischen Kernel und Userspace, zwischen virtuellen Maschinen und zwischen VMs und dem Gastsystem stattfinden.
Kernel bereits gepatched
Linus Torvalds hat den Linux-Kernel bereits gestern, zeitgleich mit Intels Bekanntgabe der Lücken, mit Patches gegen L1TF versehen. Neben dem im Oktober erwarteten Kernel 4.19 wurden die Patches von Greg Kroah-Hartman auch in die noch unterstützten Kernel-Versionen 4.18.1, 4.17.15, 4.14.63, 4.9.120 und 4.4.148 rückportiert.
Die Distributionen arbeiten bereits an der Umsetzung auf die jeweiligen Distributionskernel. Red Hat hat sich sehr ausführlich zu L1TF geäußert. Im Ubuntu-Wiki gibt es ebenfalls ausführliche Informationen sowie Verweise auf bereits gepatchte Kernel. Auch auf Kernel.org selbst gibt es Informationen zu den Lücken.
