CleanPress

Schlagwort: Debian 9

  • Debian-Kernel-Bug legt ARM-Geräte lahm

    Debian-Kernel-Bug legt ARM-Geräte lahm

    Ein Bugreport in Debians Fehlerdatenbank sollte Besitzer von ARM-Geräten derzeit von einem Upgrade des Kernels abhalten, da dieser eine Reihe von ARM-Geräten am Booten hindert.

    Debian-Kernel-Bug

    Der Bugreport sieht Kernel 4.9.144-3 als Verursacher des Problems. Dieser war im Rahmen von GNU/Linux Debian 9.8 »Stretch« mit ausgeliefert worden. Wie der Ersteller des Bugreports und weitere betroffene Besitzer von verschiedenen ARM-Geräten schildern, hängen die Geräte beim Hochfahren bei der Meldung Starting kernel.

    Schuldiger gefunden

    Das es wirklich an dieser Kernel-Version lag, fand der Bugreporter heraus, indem er den aktualisierten Kernel einem Downgrade auf 4.9.130-2 unterzog. Mit diesem vorhergehenden Kernel bootete das Gerät anstandslos.

    Viele Boards betroffen

    Das erste als betroffen gemeldete Gerät war ein Lamobo-R1-Board. Doch schon bald gesellten sich andere Boards hinzu, die die Liste auf Lemaker Bananapi, Cubox-i4pro, Cubox-i4x4, Wandboard Quad, Odroid-XU4, Odroid-U3, Marvell Armada XP, Olimex OLinuXino-LIME2, Cubietruck, Firefly-RK3288 und den Router Linksys WRT1200AC ausdehnten.

    Ein weiterer Betroffener stellte nach Überprüfung fest, dass der inkriminierte Kernel unter vielen anderen Änderungen auch zwei Maßnahmen gegen Spectre beinhaltete. Er baute den Kernel neu und deaktivierte die Maßnahmen, der Kernel startete trotzdem nicht.

    Upstream oder Debian?

    Die Frage, ob der Fehler im Upstream-Kernel oder in Debians Konfiguration steckt, deutet auf Debian, da Hardware mit Allwinner-SoC auf entsprechenden Boards beim Kernel-CI-Projekt keinerlei Probleme aufweist.

    Der gleiche Anwender moniert, dass es bei Debian viel zu kompliziert sei, einen älteren Kernel zu booten. Bei Ubuntu und vielen anderen Distributionen reicht dazu die Auswahl eines älteren Kernel im GRUB-Bootmanager.

    Patch im Test

    Mittlerweile existiert ein Patch, der den Fehler anscheinend behebt, aber noch in der Testphase steckt. Anwender der betroffenen Boards sollten mit einem Update auf Debian 9.8 noch etwas warten, bis der Bugreport offiziell geschlossen ist und auf einen reparierten Kernel verweist.

    Lehrstunde

    Zwei Lehren kann Debian aus diesem Kernel-Bug ziehen: Es sollte einfacher sein, einen älteren Kernel zu booten. Zudem müssen Kernel, zumindest für die ARM-Plattform, besser getestet werden, bevor sie freigegeben werden.

  • GNU/Linux Debian 9.8 »Stretch« freigegeben

    GNU/Linux Debian 9.8 »Stretch« freigegeben

    Debian 9.8
    Screenshot: ft

    Nicht einmal einen Monat nach Debian 9.7 hat das Debian-Release-Team mit Debian 9.8 »Stretch« das achte Punkt-Release für die Stable-Veröffentlichung Debian 9 freigegeben.

    Im Plan

    Ging es bei der außerplanmäßigen Aktualisierung auf 9.7 hauptsächlich um den kurz zuvor aufgefundenen Fehler im Paketmanager APT, so behebt das jetzige Update hauptsächlich Sicherheitslücken der Stable-Veröffentlichung sowie einige ernste Probleme in verschiedenen Paketen.

    Durchschnittliche Aktualisierung

    Die Aktualisierung auf Debian 9.8 ist vom Umfang her durchschnittlich groß, lediglich die Zahl der entfernten Pakete ist mit 22 diesmal relativ hoch. Insgesamt erhielten 87 Pakete eine Fehlerbereinigung und es wurden Sicherheitsprobleme aus 48 »Debian Security Advisories« (DSA) behoben. Alle Änderungen an Paketen beschränken sich wie immer auf das absolut Notwendige, um Regressionen zu vermeiden.

    Viel Python

    Bei den Paketkorrekturen wurden viele Pakete für Python neu gebaut, um die Sperrung der Domainvalidierung per TLS-SNI-01 durch Let’s Encrypt nachzuvollziehen. Samba wurde aktualisiert, um ein Speicherleck zu stopfen.

    Im Paket Wayland wurde ein möglicher Ganzzahl-Überlauf behoben. Fehler wurden zudem unter anderem in Linux, Postfix und Openvpn bereinigt. Ein neuer Nvidia-Treiber wurde integriert. Der Intel-Microcode erhielt gesammelte Korrekturen. Auch der Debian-Installer wurde erneuert, um die Sicherheitskorrekturen zu reflektieren.

    Bei den Paketen mit behobenen Sicherheitsproblemen liegt Chromium-Browser diesmal vor Firefox-ESR und Thunderbird. Weitere Sicherheitslücken betrafen unter anderem Openvpn, LibreOffice, Systemd und Wireshark.

    Firefox-Erweiterungen entfernt

    Beim Löwenanteil der entfernten Pakete handelt es sich um Firefox-Erweiterungen, die mit neueren Firefox-ESR-Versionen nicht mehr kompatibel sind. Zwei weitere entfernte Pakete sind API-Änderungen bei Twitter und Flickr geschuldet.

    Frische Installationsmedien

    Eine Liste aller Änderungen kann der Ankündigung entnommen werden. Aktualisierte Installationsmedien werden auf den Download-Servern in den nächsten Stunden und Tagen bereitgestellt. Bestandsanwender aktualisieren über das Paketmanagement.

  • MX-18 »Continuum« veröffentlicht

    An den Feiertagen oder zwischen den Jahren bleibt oft Zeit, sich neue oder aktualisierte Distributionen anzuschauen. Etwas abseits vom Linux-Mainstream wurde gerade MX-18 »Continuum« veröffentlicht.

    Gelungene Kooperation

    MX Linux ist eine Kooperation zwischen der Distribution antiX und der ehemaligen MEPIS-Community. Es ist ein Betriebssystem, das entwickelt wurde, um mit Xfce als Desktop Eleganz und Effizienz mit einfacher Konfiguration und hoher Stabilität zu verbinden.

    Stabile Basis

    MX-18 basiert auf dem aktuellen Debian 9.6 »Stretch« und Kernel 4.19.5. MX Linux gehört zudem zu den Distributionen, die auf Systemd verzichten und weiterhin auf SysVinit setzen. Mit seiner Debian-Grundlage und einem relativ geringen Speicherverbrauch von unter 400 MByte gleich nach dem Start bietet MX eine zuverlässige Basis sowohl für ältere als auch für moderne Hardware.

    Auch für 32-Bit

    Die Distribution liegt in zwei jeweils rund 1,5 GByte großen Varianten für 32- und 64-Bit-Rechner vor, wobei die 32-Bit-Version einen PAE-Kernel mitbringt. PAE steht für Physical Address Extension und erlaubt 32-Bit-Hardware, mehr als die nominellen 4 GByte an Speicher zu adressieren.

    Monatliche Snapshots

    Die MX-Entwickler bringen die Images während eines Veröffentlichungszyklus monatlich als Snapshots jeweils auf den aktuellen Stand. Für komfortables Arbeiten empfiehlt das Projekt eine i686-CPU, 1 GByte Arbeitsspeicher und mindestens 10 GByte freien Platz auf der Festplatte oder dem USB-Stick. Zum Erstellen eines bootbaren und auf Wunsch auch persistenten USB-Sticks bringt MX das Tool »MX Live USB Maker« mit, für das Aufbereiten eines Speichersticks unter Windows empfehlen die Entwickler Rufus.

    MX-18 ist ein weiteres Release eines engagierten Teams, das Linux auch weiterhin für ältere Rechner anbietet. Die aktuellen Images sind auf SourceForge oder einem der Spiegelserver der Distribution zu finden. Ich hatte mich MX bereits 2016 in einem Artikel für den LinuxUser gewidmet, der mittlerweile frei verfügbar ist.

  • Debian GNU/Linux 9.6 erschienen

    Debian GNU/Linux 9.6 erschienen

    Debian 9.6
    Screenshot: ft

    Debian 9.0 »Stretch« erschien am 16.6. 2017 und erhielt jetzt mit Debian 9.6 sein sechstes Punkt-Update. Debian 9.5 erschien Mitte Juli. Wie üblich bei Debian werden mit den Punkt-Releases über die Laufzeit einer Veröffentlichung Sicherheits-Updates verteilt und Fehler in Paketen behoben, wenn dies möglich ist, ohne Regressionen hervorzurufen.

    Firefox erhält bessere Rust-Unterstützung

    Die Anhebung auf Debian 9.6 spielt 84 Fehlerbereinigungen und 88 Sicherheits-Updates ein. Die Anzahl der entfernten Pakete ist dieses Mal mit 46 ungewöhnlich hoch, sie liegt ansonsten fast immer im einstelligen Bereich. Bei den Fehlerbehebungen wurde mit Cargo eine fehlende Abhängigkeit zum Bau von Firefox nach Stretch zurückportiert.

    Cargo ist der Rust-Paketmanager, der es Projekten, die zum Teil oder ganz in Rust geschrieben sind, ermöglicht, ihre verschiedenen Abhängigkeiten zu deklarieren und sicherzustellen, dass das Projekt mit korrekten Parametern gebaut wird.

    Die Kompatibilität von Enigmail und Firetray mit neueren Thunderbird-Versionen wurde sichergestellt, Funktionalität aus GnuPG2 wurde für Enigmail rückportiert. HTTPS-Everywhere wurde ebenfalls rückportiert, um die Kompatibilität mit Firefox ESR 60 zu gewährleisten. Vagrant unterstützt nun Virtualbox 5.2.

    Sicherheit verbessert

    Bei der Verbesserung der Sicherheit erhielt Chromium-Browser insgesamt sechs Security-Updates, unter anderem gefolgt vom Kernel mit fünf, Firefox ESR mit vier und Thunderbird mit drei Vorfällen. Alle Sicherheits-Updates wurden bereits in einem »Debian Security Advisory« (DSA) beschrieben. Bei den entfernten Pakete handelt es sich überwiegend um Firefox-Erweiterungen, die nicht mehr kompatibel zum neuesten Standard WebExtensions sind.

    Bitte aktualisieren

    Insgesamt fassen die Debian-Punkt-Releases die Sicherheitsupdates und Fehlerkorrekturen seit dem jeweils letzten Punkt-Release zusammen. Anwender, die ihr System regelmäßig aktualisieren, haben die meisten Sicherheits-Aktualisierungen bereits erhalten. Ein Debian-Punkt-Release erfordert keine Neuinstallation des Systems. Die neuen Pakete können über die Paketverwaltung aktualisiert werden.

    Frische Images

    Erste aktualisierte Images für Anwender, die trotzdem eine neue Installation vornehmen möchten stehen bereits auf den Download-Servern zur Verfügung, weitere werden in den nächsten Tagen folgen. Bis im nächsten Jahr die nächste Debian-Veröffentlichung Debian 10 »Buster« erscheint, werden vermutlich eine weitere Handvoll Punkt-Releases folgen.

  • Intel Microcode für Debian Stable aktualisiert

    Intel Microcode für Debian Stable aktualisiert

    Intel Microcode
    Screenshot: ft

     

    Für Debian GNU/Linux 9 »Stretch« steht ein aktualisierter Intel Microcode zum Schutz vor Angriffen durch die Sicherheitslücken Spectre 3a und 4 bereit. Er stellt Maßnahmen gegen Speculative Store Bypass (SSB) für weitere Intel CPUs bereit, die vom am 16. August veröffentlichten Microcode nicht abgedeckt wurden.

    Weitere CPUs abgedeckt

    Auf der Debian Mailingliste schreibt Moritz Mühlenhoff, im aktualisierten Microcode, der unter dem Paketnamen intel-microcode 3.20180807a.1~deb9u1 vertrieben wird und als DSA 4273-2 erfasst wurde, seien weitere ältere Prozessortypen, die von DSA-4273-1 im August nicht erfasst waren, abgedeckt.

    Bitte aktualisieren

    Das Debian-Projekt fordert alle Benutzer auf Debian 9 »Stretch« mit Intel-CPUs dazu auf, die Mikrocode-Firmware auf Version 3.20180807a.1~deb9u1 zu aktualisieren. Um die Gefahr, die von den beiden Spectre-Sicherheitslücken ausgeht, weiter zu verringern, müssen die Anwender auch das neueste Kernel-Update installieren.

    Die beiden Lücken, die als Spectre Variante 3a »Rogue System Register Read«, katalogisiert unter CVE-2018-3640 und Spectre Variante 4  »Speculative Store Bypass«, die als CVE-2018-3639 in die Liste der CVE einging, können Angreifern Zugang zu sensiblen Informationen auf anfälligen Systemen ermöglichen.

    Debian blieb seiner Linie treu

    Mit dem letzten Microcode-Update gab es einigen Ärger bei Debian, da Intel in die Lizenzbedingungen eine Klause eingebaut hatte,  der es untersagte, Benchmarks oder Vergleiche, die auf der Grundlage des eingespielten Microcodes entstanden sind, zu veröffentlichen. Debian-Kernel-Maintainer Henrique de Moraes Holschuh verweigerte die Auslieferung für Debian, während andere Distributionen den Microcode trotzdem freigaben. Open-Source-Urgestein Bruce Perens machte die Geschichte dann in seinem Blog publik, worauf sie ein großes Medienecho erfuhr. Intel ruderte daraufhin zurück und entfernte die Klausel wieder.

  • Debian GNU/Linux 9.5 erschienen

    Debian GNU/Linux 9.5 erschienen

    Debian 9.5
    Screenshot: ft

     

    Debian 9.0 »Stretch« erschien am 16.6. 2017 und erhielt jetzt mit Debian 9.5 sein fünftes Punkt-Update. Debian 9.4 erschien Mitte März. Wie üblich bei Debian werden mit den Punkt-Releases über die Laufzeit einer Veröffentlichung Sicherheitsupdates verteilt und Fehler in Paketen behoben, wenn dies möglich ist, ohne Regressionen hervorzurufen.

    Neuer Intel-Microcode

    Debian 9.5 ist vergleichsweise groß ausgefallen und bringt 100 Sicherheits-Updates und 91 behobene Fehler in Paketen. Unter anderem erhält Debian 9.5   »Stretch«  damit einen neuen Intel-Microcode mit der Versionsnummer 3.20180425.1~deb9u1, der auch Code zum Schutz gegen die Prozessor-Lücke Spectre v2 enthält. Neben der Auslieferung des neuen Kernel 4.9.110 und einem Update für den  Debian-Installer wurden auch Pakete wie apache2, base-files, clamav, dpkg, reportbug und systemd von Fehlern befreit.

    Sicherheit verbessert

    Bei der Verbesserung der Sicherheit erhielt Firefox-ESR insgesamt sechs Security-Updates, unter anderem gefolgt von Xen mit vier und Thunderbird mit zwei Vorfällen. Weiterhin betroffen war auch hier der Webserver Apache2 ebenso wie WordPress Drupal7, Gnupg1 und 2. Alle Sicherheits-Updates wurden bereits in einem »Debian Security Advisory« (DSA) beschrieben.

    Bitte aktualisieren

    Insgesamt fassen die Debian-Punkt-Releases die Sicherheitsupdates und Fehlerkorrekturen seit dem jeweils letzten Punkt-Release zusammen. Anwender, die ihr System regelmäßig aktualisieren, haben die meisten Sicherheits-Aktualisierungen bereits erhalten. Ein Debian-Punkt-Release erfordert keine Neuinstallation des Systems. Die neuen Pakete können über die Paketverwaltung aktualisiert werden.

    Frische Images

    Erste aktualisierte Images für Anwender, die trotzdem eine neue Installation vornehmen möchten stehen auf den Download-Servern zur Verfügung, weitere werden in den nächsten Tagen folgen. Bis im nächsten Jahr die nächste Debian-Veröffentlichung Debian 10 »Buster« erscheint, werden vermutlich eine weitere Handvoll Punkt-Releases folgen.