Trotzt der Thanksgiving-Feiertage in den USA wurde das Zeitfenster für Einreichungen zu Kernel 4.15 eingehalten. Nach zwei Wochen, in denen Entwickler ihre Patches einreichen konnten, hat Linus Torvalds nun Kernel 4.15-rc1 freigegeben, der über die nächsten Wochen bis in den Januar 2018 stabilisiert wird. Torvalds bedankt sich bei den Entwicklern dafür, dass sie größtenteils seiner Maßgabe gefolgt sind und ihre Patches in der ersten Woche des Merge-Window eingereicht hatten und damit seinen Urlaub in der zweiten Woche weniger arbeitsintensiv gestalteten.
Mehr Änderungen als zu 4.14-rc1
Die Patches für 4.15-rc1 sind recht umfangreich. Bis gestern liefen fast 13.500 Einreichungen auf, die über 580.000 neue Codezeilen bedeuten und Änderungen an fast 12.000 Dateien bewirken. Gleichzeitig wurden über 270.000 Zeilen Code entfernt. Derzeit besteht der Kernel aus 62.285 Dateien mit über 25.350.000 Zeilen Code. Damit umfasst er rund 1.000 Dateien mehr als noch Kernel 4.14.
AMDGPU DC umfasst 130.000 Zeilen
Der Großteil des hinzugekommenen Codes ist AMDGPU DC zu verdanken. Der neue Display-Stack für den AMDGPU DRM-Treiber umfasst über 130.000 Zeilen Code. Damit werden AMDs Vega-GPUs endlich unter Linux gut unterstützt. Auch einige weitere, auch ältere Radeon-Karten profitieren von den AMD-Patches, die zu Ende bringen was bei AMD vor fast zwei Jahren als DAL begann und dann zu DC umbenannt wurde.
Intel und Nvidia
Weitere Änderungen im Grafikbereich gab es für Intels »Coffee Lake Graphics«. Der neue Kernel wird Core-i-8-Prozessoren der Coffe-Lake-Generation direkt unterstützen. Für den freien Treiber Nouveau für Nvidias Grafikkarten wurde die Speicherverwaltung überholt. Auch die Grafiktreiber für den Raspberry Pi wurden erneut verbessert.
Control Groups 2
Eine wichtige Änderung betrifft die Control Groups. Hier wurde die zweite Version der Control Groups jetzt komplettiert. Die RISC-V-Architektur wird anfänglich unterstützt, auch wenn es noch eine Weile dauern wird, bis sie durch entsprechende Treiber praktisch nutzbar ist. Besitzer von NVMe-Laufwerken können sich auf potentiell mehr Geschwindigkeit freuen, denn der Blocktreiber für NVMe wurde um Multipath erweitert. ThunderboltIP ist eine weitere interessante Neuerung, erlaubt sie es doch, Netze per Thunderbolt-Kabel zu erstellen. Aus dem aktuellen Kernel entfernt wird das Open Sound System (OSS), das heute kaum mehr Rolle mehr spielt.
LibreOffice 6.0 wurde jetzt in einer ersten Beta-Version zu Testzwecken freigegeben und ist derzeit nur im Quelltext verfügbar. In den nächsten Tagen werden erste Distributionen damit beginnen, Binärpakete für ihre Anwender zum Testen bereitzustellen. Anfang 2018 soll dann die finale Ausgabe dieser neuen Hauptversion der beliebten freie Office-Suite veröffentlicht werden.
Parallele Abarbeitung für LO-Calc
Zu den Änderungen, an denen für dieses Release von LibreOffice gearbeitet wird gehört Multi-Threading für die Tabellenkalkulation Calc, was zu einer erhöhten Verarbeitungsgeschwindigkeit führen wird. Die Entwickler bei Collabora haben den Code zur parallelen Abarbeitung bei OpenOffice Calc beigetragen. Des Weiteren wird ein erstes Qt5-Interface-Plugin für Anwender von mit Qt5 erstellten Umgebungen ausgeliefert, über das wir bereits berichtet haben. Dieses löst das alte Qt4-Plugin ab.
Noto-Fonts als Standard in LibreOffice 6.0
Weiterhin auf dem Programm stehen flimmerfreie OpenGL-Übergänge, realisiert im Rahmen der besseren GTK3-Unterstützung für das Office-Paket. Vor einem Jahr hatte Entwickler Caolán McNamara die Unterstützung für OpenGL-Übergänge rudimentär eingeführt. Das diese nicht perfekt war sieht man beim Vergleich in dem YouTube-Video am Ende der News.
Darüber hinaus warten auf die Anwender ein neuer Standard-Tabellen-Stil in LibreOffice Writer, Verbesserungen bei der Rechtschreibprüfung, ein neues Standard-Folienformat in Impress/Draw, die standardmäßige Einbindung von Noto-Fonts, OOXML-Filterverbesserungen und verschiedene weitere Aufwertungen der Benutzeroberfläche.
Release-Kandidaten kurz vor Weihnachten
Details zu vielen der Änderungen für LibreOffice 6.0 werden im LibreOffice-Wiki beschrieben und bebildert. Als Nächstes auf der Roadmap zu LibreOffice 6.0 stehen die Release-Kandidaten kurz vor Weihnachten, gefolgt vom Code-Freeze im Januar 2018. Ende Januar oder Anfang Februar 2018 soll dann die offizielle Version 6.0.0 veröffentlicht werden.
Linux Mint 18.3 trägt den Codenamen »Sylvia« und steht in Varianten mit Cinnamon- und MATE-Desktop seit gestern auf dem FTP-Server des Projekts zum Download in jeweils 32- und 64-Bit bereit. Noch fehlt allerdings die offizielle Notiz zur Veröffentlichung auf der Projekt-Webseite. Die Veröffentlichung basiert auf Ubuntu 16.04.3 LTS »Xenial Xerus« und erfährt wie dieses Unterstützung bis 2021.
Cinnamon und MATE
Linux Mint 18.3 setzt auf Kernel 4.10 aus dem Hardware-Enablement-Paket (HWE) für Ubuntu 17.04 »Zesty Zapus«. Als Desktop-Umgebungen werden Cinnamon in Version 3.6 sowie MATE in Version 1.18 ausgeliefert. In den nächsten Wochen wird die Veröffentlichung von Images mit KDE Plasma und XFCE erwartet. Dabei wird dies die letzte Veröffentlichung mit Plasma für Linux Mint sein. Entsprechende Pakete bleiben aber auch darüber hinaus zur Installation verfügbar.
Wie Chefentwickler Clement Lefebvre bereits im August mitteilte, wird mit Mint 18.3 die Handhabung von Backups mittels der Anwendung mintBackup verbessert. Das bisherige Backup-Tool wurde komplett überarbeitet. Es soll laut Lefebvre »weniger können als bisher, das aber besser«. Eine grundlegende Änderung erfuhr das Berechtigungssystem. Das überarbeitete Backup-Werkzeug benötigt keine Root-Rechte mehr.
Backups vereinfacht
Einhergehend mit der Reduzierung der Komplexität wird der Anwender nun nicht mehr nach einer Quelle oder der Art des Backups gefragt. Die Anwendung beschränkt sich nun auf die Sicherung des Home-Verzeichnisses. Es sichert alle dort befindlichen Daten in ein Tar-Archiv und stellt diese bei Bedarf an alter Stelle mit den gleichen Besitzrechten und Zeitstempeln wieder her.
Dabei kann der Nutzer wie gewohnt Daten ausschließen. Versteckte Dateien und Verzeichnisse sind standardmäßig ausgeschlossen, können aber manuell einbezogen werden. Die Anwendung merkt sich einmal vorgenommene Einstellungen für die nächste Sicherung. Zusätzlich können die Anwendungen, die durch den Software-Manager installiert wurden gesichert und bei Bedarf wiederhergestellt werden. Mit Linux Mint 18.3 kommt eine zweite Backup-Anwendung namens Timeshift hinzu, die für Ubuntu entwickelt wurde und sich auf das Anlegen und Wiederherstellen von System-Schnappschüssen versteht. Das Tool wurde zusammen mit dem Entwickler an Linux Mint angepasst.
Timeshift erstellt Images
Der Software Manager erhielt für 18.3 ebenfalls eine umfassende Überarbeitung. Das Design der in die Jahre gekommenen Anwendung wurde überarbeitet und ist jetzt moderner und die Bedienung vereinheitlicht. Der Code wurde vereinfacht, was zu einer schlankeren Anwendung führt. Der Start ist schneller, ebenso die Suche nach Applikationen. Als Backend dient jetzt AptDaemon, die Anwendung läuft damit nun im User-Mode. Nur die eigentliche Installation von Software benötigt Root-Rechte.
Flatpak besser integriert
Flatpak wird mit Linux Mint 18.3 nun voll unterstützt und ist bereits vorinstalliert. Der Software Manager hat eine direkte Verbindung zu Flathub erhalten. So lassen sich als Flatpak gepackte Anwendungen installieren auch wenn deren Abhängigkeiten nicht mit Mint 18.3 kompatibel sind. Anwender können hier weitere Flatpak-Archive einbinden.
Neu bei Mint 18.3 ist auch mintReport, ein Werkzeug, das bei Fehlern System-Reports an die Entwickler schicken kann. Zudem kann es individuelle Informations-Reports für den Anwender zusammenstellen, die auf seiner Hard- und Software basieren und bei der Beseitigung von Problemen hilfreich sein können. So kann es beispielsweise auf die notwendige Installation fehlender Multimedia-Codecs hinweisen.
Libinput statt Synaptics-Treiber
Cinnamon 3.6 unterstützt nun GNOME Online Accounts und bindet angemeldete Dienste in den Datei-Manager Nemo ein. Wird etwa der Google-account angemeldet, bindet Nemo Google Drive in seine Seitenleiste ein. Änderungen gab es auch bei der Unterstützung von Touchpads und anderen Eingabegeräten. Diese werden künftig von Libinput verwaltet. Wird der Treiber xserver-xorg-input-libinput entfernt, kommt nach einem Reboot wieder der herkömmliche Synaptics-Treiber zum Einsatz.
HiDPI-Unterstützung und HybridSleep
Verbesserungen erhielt das Konfigurationsmodul für Cinnamon Spices, das Applets, Desklets, Erweiterungen und Themes verwaltet ebenso wie die Bildschirmtastatur und die Darstellung auf HiDPI-Displays. Diese Unterstützung ist nun standardmäßig aktiv. Darüber hinaus wird nun HybridSleep unterstützt. Dabei handelt es sich um eine Mischung aus Sleep und Hibernate, die besonders für Desktop-Computer gedacht ist. Der Inhalt des RAM wird auf die Festplatte geschrieben und der Rechner in einen Stromsparmodus versetzt. Das RAM wird dabei weiterhin mit Energie versorgt. Selbst nach einem Stromausfall sollte damit ein Rechner ohne Datenverlust wieder starten.
Oracle hat seine plattformübergreifende Virtualisierungs-Software VirtualBox in Version 5.2.2 freigegeben. Sind die Point-Releases normalerweise nicht allzu spannend, so ist dieser für Linux-Anwender durchaus interssant. Linux-Jünger, die bereits Kernel 4.14 LTS verwenden, mussten nämlich bis zu diesem Upgrade einen Patch anwenden wenn sie VirtualBox 5.2 zum Laufen bekommen wollten. VirtualBox 5.2.2 stellt nun die Unterstützung für Kernel 4.14 LTS bereit.
Weitere Verbesserungen
VirtualBox 5.2.2 bringt aber auch weitere kleine Verbesserungen mit. So wurde die Darstellung der VirtualBox-Oberfläche für HiDPI-Displays weiter verbessert. Der Virtual Media Manager wurde weiter ausgebaut, die X11-Unterstützung wurde erweitert. Zudem wurde die Unterstützung für die Betriebssysteme Haiku, Plan 9 und andere kleine Betriebssysteme verbessert.
Alle Änderungen zu VirtualBox 5.2.2 sind im Changelog zu finden. Downloads für alle unterstützten Systeme finden auf der Projektseite.
Vor wenigen Tagen musste Intel zum zweiten Mal in diesem Jahr eine Lücke in der umstrittenen Intel Management Engine eingestehen. Durch Hinweise von externen Sicherheitsforschern aufmerksam geworden, hat Intel nun nach einer internen tiefgreifenden Sicherheitsüberprüfung der Intel Management Engine (ME), Intel Server Platform Services (SPS) und der Intel Trusted Execution Engine (TXE) die Lücke bestätigt.
Das Os im OS ist angreifbar
Intel zufolge könnte ein Angreifer unbefugten Zugriff auf Intel ME-Funktionen und die Geheimnisse Dritter erlangen, die durch die Intel Management Engine (ME), den Intel Server Platform Service (SPS) oder die Intel Trusted Execution Engine (TXE) geschützt sind. Das könnte zum Laden und Ausführen von beliebigem Code außerhalb des Wahrnehmungsbereichs des Benutzers und des Betriebssystems führen.
Intel-SA-00086 Detection Tool
Der Konzern hat ein Test-Tool zur Verfügung gestellt, mit dem jeder Nutzer eines Intel-Systems unter Windows oder Linux sein System auf die hin Lücke testen kann. Im Intel-Download-Center steht dafür ein Archiv mit dem Intel-SA-00086 Detection Tool zum Download bereit. Das kleine Python-Script wird entpackt und als Root von der Kommandozeile gestartet.
Schnell überprüft
Zuvor ist darauf zu achten, dass die Dateien intel_sa00086.py und spsInfoLinux64 ausführbar sind. Ist dass der Fall, wird das Script mit dem Aufruf ./intel_sa00086.py gestartet. Nach weniger als einer Sekunde wird das Ergebnis angezeigt. Anwender, die bereits Python 3 als Standard verwenden, müssen vorher den Shebang der Datei von #!/usr/bin/env python zu #!/usr/bin/env python2 abändern. Danke an den Leser Fryboyter für den Hinweis.
Ich habe bei mir zwei Intel-Systeme gestestet. Ein Notebook mit Intel Core i3 4000M wurde als nicht verwundbar eingestuft. Die Workstation mit Intel Core i7-6700 CPU dagegen ist über diese Lücke angreifbar. Selbst wenn Rechner im privaten Umfeld hier primär eher nicht das Angriffsziel sind, will man so etwas nicht haben. Intel rät, den Mainboardhersteller zu kontaktieren, um das System wieder abzusichern. Vermutlich nur bis zur nächsten Lücke.
Mainboard-Hersteller in der Pflicht
Intel hat bereits einen Patch an die Hersteller ausgeliefert, den diese als BIOS-Update an ihre Kunden ausliefern. Ich werde morgen MSI kontaktieren und mal schaun, wie zeitnah die Lücke geschlossen werden kann. Das Problem dabei sind die Millionen von Anwendern privat und in Unternehmen, die diesen Patch nie erhalten werden, da sie von dem Problem gar nichts mitbekommen.
Wie gestern bekannt wurde, soll der Umstieg von LiMux auf Windows 10 die Stadt München rund 50 Millionen Euro kosten. Die Summe ist nur ein Teil eines Gesamtplans (PDF), der innerhalb von sechs Jahren über 89 Millionen Euro in die Neugestaltung der Verwaltungs-IT der bayrischen Landeshauptstadt investieren will. Dabei handelt es sich um Projekte zu Organisation, Personal und Finanzen, Architektur & Infrastruktur, einheitlicher
IT-Arbeitsplatz, IT-Sicherheitsmanagement, Kompetenzen & Werkzeuge, IT-Lösungsmanagement und IT-Projektmanagement, IT-Vorhabensplanung, IT-Performance Management, IT-Strategie und IT-Card sowie ein programmweites Veränderungsmanagement.
Fast 50 Mio. für einen Windows-Client
Dabei entfallen in Summe 49,3 Mio. € auf die Schaffung eines einheitlichen IT-Arbeitsplatzes, und 36,8 Mio. € auf die restlichen Umsetzungsprojekte. Zusätzlich wird die Mitarbeit der Referate und Eigenbetriebe z.B. für die Anforderungserhebung, Test, Schulungsteilnahme und Abnahme der Arbeitspakete der technischen Umsetzungsprojekte und des einheitlichen IT-Arbeitsplatzes mit nicht-zahlungswirksamen Kosten in Höhe von 3,1 Mio. € bewertet.
Insgesamt rund 90 Mio. in 6 Jahren
Die zahlungswirksamen Gesamtkosten in Höhe von 86,1 Mio. € teilen sich Kostenkategorien auf in Kosten für Personal in Höhe von 14,0 Mio. €, externe Beratung in Höhe von 24,0 Mio. €, it@M Dienstleistungen in Höhe von 13,4 Mio. €, Hardware in Höhe von 4,8 Mio. € und Lizenzen (für Microsoft Windows, Microsoft Office, Softwareverteilung, Lizenz-, Druck- und Profilmanagement, Identity Management im Rahmen des einheitlichen Verwaltungsnetzes sowie die Erweiterung der Virtualisierungsumgebung) in Höhe von 29,9 Mio. €.
Stadtrat entscheidet am 23.11.
Laut einem Gutachter sollen anfangs Windows-Client und LiMux-Client noch nebeneinander bestehen, sodass die Nutzer den für sie passenden Client wählen können. Auf lange Sicht sei das aber wirtschaftlich nicht sinnvoll. Welcher Client dann überleben wird ist wohl kaum fraglich. Endgültig wird der Stadtrat am Donnerstag, dem 23. November, über die Sitzungsvorlage entscheiden.
Intel hat jetzt eine offizielle Warnung vor einer Lücke in der Intel Management Engine (IME) herausgegeben. Bereits im Mai musste der Konzern eine kritische Lücke in der umstrittenen Komponente eingestehen. Die neuerliche Lücke, auf die externe Sicherheitsforscher Intel hingewiesen hatten, hat Intel nun nach einer internen tiefgreifenden Sicherheitsüberprüfung der Intel Management Engine (ME), Intel Server Platform Services (SPS) und der Intel Trusted Execution Engine (TXE) bestätigt. Zur Schwere der Lücke sagt Intel:
»Auf Grundlage der durch die umfassende Sicherheitsüberprüfung identifizierten Elemente könnte ein Angreifer unbefugten Zugriff auf Intel ME-Funktionen und die Geheimnisse Dritter erlangen, die durch die Intel Management Engine (ME), den Intel Server Platform Service (SPS) oder die Intel Trusted Execution Engine (TXE) geschützt sind. Dazu gehören Szenarien, in denen ein erfolgreicher Angreifer folgendes tun könnte: Imitieren der ME/SPS/TXE, wodurch die Gültigkeit der lokalen Sicherheitsmerkmale beeinträchtigt würden; Laden und Ausführen von beliebigem Code außerhalb des Wahrnehmungsbereichs des Benutzers und des Betriebssystems; Verursachen eines Systemabsturzes oder einer Systeminstabilität.«
Fast alle Plattformen betroffen
Dabei sind fast alle Plattformen, die Intel in den letzten Jahren veröffentlicht hat, betroffen. Jeder Rechner mit Intel-Core-Prozessoren der Generatikonen 6, 7 und 8 ist betroffen. Die Liste umfasst Intel Core, Intel Xeon E3-1200 v5 und v6, Xeon Processor Scalable, Xeon Processor W, Atom C3000, Apollo Lake-basierte Atom oder Pentium, sowie Celeron N oder J.
Schutz der Anwender dauert noch
Intel hat zwar die Lücken mittlerweile geschlossen, trotzdem wird es noch einige Zeit dauern, bis die Anwender dadurch geschützt werden. Der Microcode, der die Lücken stopft wird über Firmware-Updates ausgeliefert, die von den Mainboard-Herstellern integriert und verteilt werden. Ältere Systeme werden von solchen Fixes oft gar nicht mehr erreicht.
Verstecktes Betriebssystem
Angesichts der erneuten Lücke sieht sich Intel wieder mit Forderungen konfrontiert, IME für den Anwender abschaltbar zu gestalten oder einen externen Sicherheits-Audit zu erlauben. Die Management Engine (IME), die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist, wird über die permanente 5-V-Versorgung aus dem Netzteil gespeist. Die Firmware ist eine von Intel kryptografisch signierte Binärdatei. Die IME ist nicht durchgehend dokumentiert. Somit führt die CPU im Rahmen der ME unbekannten und nicht nachprüfbaren Code aus, auf die der Käufer von Intels CPUs keinerlei Einfluss hat.
Das herkömmliche BIOS, das Basic Input/Output System, soll es nach Plänen von Intel ab dem Jahr 2020 nicht mehr geben. Die Firmware zum Starten von x86-PCs wird dann ausschließlich durch UEFI 3.0 repräsentiert, was für Unified Extensible Firmware Interface steht, Ab Version 3.0 wird das herkömmliche BIOS nicht mehr unterstützt. Das geht aus einer Präsentation (PDF) hervor, die Intel-Entwickler Brian Richardson kürzlich als Grundlage eines Vortrags benutzte. Richardson hat seine gesamte Karriere mit der Arbeit an BIOS-Firmware verbracht und arbeitet jetzt an UEFI.
Kein BIOS mehr mit UEFI Class 3
Die jetzige UEFI Spezifikation 2.5 ermöglicht noch die Verwendung des Legacy-Bios, was auch die allermeisten Hersteller auf ihren Mainboads anbieten. Dort besteht meist die Wahl zwischen BIOS, UEFI oder beidem als Einstellung. Mit einer dieser Vorgaben lassen sich die allermeisten Linux-Distributionen starten. Mit UEFI 3.0 soll es diese Wahlmöglichkeit nicht mehr geben. Damit fällt eine Möglichkeit weg, Linux-Distributionen mit einer seit langem bekannten, vergleichsweise einfachen und gut verstandenen Technik zu booten. Das hat Linus Torvalds bereits vor über zehn Jahren treffend formuliert: BIOS ist nur ein Bootloader und so hässlich, dass niemand auf die Idee kommt, daraus etwas anderes machen zu wollen.
Mehr Nachteile
Sicher bietet UEFI auch Vorteile, aber es sind vermutlich nicht die, die Richardson in seinem Papier hervorhebt. Wenn er von mehr Sicherheit spricht, meint Intel damit wohl eher mehr Kontrolle. Und dass die Ausgabe eines Compilers, denn nichts anderes ist UEFI, platzsparender sein soll als handgeschriebener Assembler-Code wie beim BIOS ist auch nicht unbedingt glaubwürdig. Ein Vorteil für den Endanwender ist da eher die einfachere Möglichkeit, Updates der UEFI-Firmware einzuspielen. Unverändert wird es nach jetzigem Stand die Möglichkeit geben, Rechner mit oder ohne Secure Boot zu betreiben.
Die Plasmashell ist bekannt dafür, gerne einmal die CPU auszulasten, manchmal auch über längere Zeit. Mit Liquidshell stellt sich jetzt eine leichtgewichtige Oberfläche für KDE Plasma vor, die als Alternative zu Plasmashell dienen kann und Plasma auf schwächeren Rechnern zu neuem Leben verhelfen könnte. Die neue Shell steckt noch in der anfänglichen Entwicklung, ist aber bereits zum Testen bereit. Der Entwickler hat das Projekt mit QtWidgets anstatt mit QtQuick realisiert um zu gewährleisten, dass keine Hardware-Beschleunigung benötigt wird.
Ressourcen sparen
Ziel der Entwicklung des auf GitHub gehosteten Projekts von Martin Koller ist, CPU- und RAM-Ressourcen zu schonen. Liquidshell bietet nur ein Menü anstatt derer drei wie die Plasmashell und verzichtet unter anderem auf Unterstützung für Activities. Das Panel ähnelt dem von Plasmashell. Widget-Stil, Icons und Farben werden aus den Systemeinstellungen übernommen. Mittels einer angepassten CSS-Datei können aber auch andere Designs auf der Kommandozeile mit der Option -stylesheet dateiname.css übergeben werden.
Start und Umstellung
Derzeit findet sich Liquidshell in den Repositories von KaOS und bei Arch Linux im Anwender-Repositorium AUR. Das Paket ist gerade einmal 170 KByte groß. Nach der Installation wird Plasmashell gestoppt und Liquidshell gestartet mit dem Befehl kquitapp5 plasmashell && liquidshell. Zurück geht es umgekehrt mit kquitapp5 liquidshell && plasmashell. Auf GitHub findet sich auch eine Anleitung, ganz auf Liquidshell umzustellen.
Für produktives Arbeiten eignet sich Liquidshell nur bedingt. Die Oberfläche funktioniert, abgesehen von einem falsch platzierten Icon, so wie sie soll. Beim Zurückschalten auf Plasmashell gab es aber wiederholt Probleme, die sich nur durch Abmelden beheben liessen. Nichtsdestotrotz ist Liquidshell ein Projekt, dass sich bei ausreichender Traktion zu einer guten Alternative entwickeln könnte. Derzeit durchläuft die Anwendung das KDE-Review.
Tails steht für »The Amnesic Incognito Live System« und bedient sich zur Anonymisierung des Tor-Netzwerks, durch dessen Knotenrechner bei Verwendung des Tor-Browsers sämtlicher Netzverkehr geleitet wird. Die neue Version der als Live-System konzipierten anonymisierenden Distribution, behebt Sicherheitsprobleme auf der Basis von Debian Security Advisories (DSA) im Kernel, bei Tor, Tor Browser, LibreOffice, Samba, Git, Nautilus, OpenSSL, Thunderbird, dem Xorg-Server und einigen anderen Anwendungen. Darüber hinaus wurde der Kernel auf 4.13 und die Version von Tor auf 0.3.1.8 angehoben. Der auf Firefox basierende Tor Browser ist in Version 7.0.10 vertreten, Thunderbird wurde auf 52.4.0 aktualisiert.
Weniger Fehler
Zudem wurden einige Fehler behoben. Die UEFI-Unterstützung bei USB-Sticks, die mit dem »Universal USB Installer« erstellt wurden, ist nun wieder gegeben. Ein Fehler im Tails-Installer wurde behoben, der die Erstellung des Dateisystems betraf, wenn der als Ziel dienende USB-Stick bereits vor dem Start des Installers angesteckt war. Screen-Reader und Bildschirmtastatur im Tor Browser und in Thunderbird funktionieren nun wieder. Die Konfiguration der Tastatur ist nun robuster gegen Fehlbedienung. Alle Änderungen zu Tails 3.3 sind im Changelog nachzulesen.
Reproducible Builds
Das Projekt für reproduzierbare Builds arbeitet daran, Anwender eindeutig verifizieren zu lassen, dass ein Binärpaket mit exakt dem Quellcode erstellt wurde, den es angibt, und das mit ebenfalls verifizierbaren, vertrauenswürdigen Werkzeugen. Seit den Anfängen des Projekts im Jahr 2015 sind Distributionen und Projekte wie Arch Linux, Baserock, Bitcoin, Coreboot, Debian, F-Droid, FreeBSD, Fedora, GNU Guix, LEDE, NetBSD, NixOS, openSUSE, OpenWrt, Tails, Tor Browser und Webconverger dazugestoßen. In den letzten 12 Monaten konnten sowohl Coreboot als auch NetBSD zu 100 Prozent reproduzierbare Pakete vermelden.
Debian Policy erweitert
Zudem hat Debian Reproduzierbare Builds in seine Richtlinien aufgenommen. Jetzt kann auch das auf Debian aufbauende Tails Vollzug melden. Das Projekt hatte von Mozilla über den Open-Source-Support-Award 77.000 US-Dollar erhalten, um Tails zu einer binär reproduzierbaren Distribution zu machen. Die technischen Hintergründe dieses Prozesses sind auf der Mailing-Liste des Reproducible-Builds-Projekts nachzulesen. Anwender sind angehalten, ihre Systeme aus Sicherheitserwägungen zeitnah zu aktualisieren. Eine automatische Aktualisierung von Tails 3.1 und 3.2 ist möglich. Die nächste Version Tails 3.5 wird für den 16. Januar 2018 erwartet.
