Vermutlich jeder Linux-Anwender hat schon mal das GNU-Kommandozeilenprogramm Wget verwendet. Es dient zum Herunterladen von Dateien unter anderem per FTP, HTTP oder HTTPS aus dem Internet. Ähnlich arbeitet cURL, das allerdings zusätzlich das Hochladen unterstützt. Weniger bekannt ist das seit rund drei Jahren entwickelte Wget2, das gerade in Version 2.0.0 bereitgestellt wurde.
In vielen Fällen ist Wget2 um einiges schneller als Wget selbst, obwohl beide auf der Bibliothek libwget basieren. Das liegt unter anderem daran, dass Wget2 Multithreading-fähig ist und erweiterte Funktionen von HTTP/2 sowie HTTP-Kompression und den HTTP-Header If-Modified-Since unterstützt. Neben Fehlerbereinigungen erhielt Wget2 auch einige neue Kommandozeilenoptionen, die dem Wiki entnommen werden können. Im Gegensatz zu Wget unterstützt Wget2 allerdings kein FTP(S). Wget2 ist, wie Wget, in vielen Distributionen aus den Archiven direkt installierbar.
Mit GNU Guix 1.2.0 feierte das Projekt im November 2020 den achten Geburtstag, jetzt folgt Guix 1.3.0. GNU Guix ist eine deklarative Paketverwaltung mit transaktionalen Updates und Rollback, die sowohl alleinstehend als auch als GNU-Distribution angeboten und dann als Guix System bezeichnet wird. Das System enthält keinerlei proprietäre Komponenten und ist somit vollständig frei im Sinne von GNU und wurde 2015 der Liste freier Linux-Distributionen der Free Software Foundation (FSF) hinzugefügt.
Erweiterter Befehlssatz
Jetzt liegt GNU Guix 1.3.0 sowohl als Paketmanager sowie als Distribution vor. Über 200 Entwickler trugen mit mehr als 8.300 Beiträgen zur neuen Version bei. Der eingangs erwähnte Begriff »deklarativer Paketmanager« bedeutet in diesem Zusammenhang, dass Paketinstallationen über eine Manifest-Datei durchgeführt werden, die der Anwender erstellt und dann per guix package --manifest=manifest.scm ausführt. Diese Art des Systemaufbaus hat den Vorteil, dass die Manifest-Dateien unter Versionskontrolle stehen können. Zudem können sie später leicht auf anderen Maschinen angewendet oder mit anderen Anwendern geteilt werden.
Eine seit Langem gewünschte Funktion rüstet der neue Befehl guix-package--export-manifest nach. Er erzeugt ein Manifest, das auf dem Inhalt eines vorhandenen Profils basiert. Das macht den Übergang vom klassischen imperativen Modell, bei dem zur Paketinstallation Befehle wie guix install zum Einsatz kommen zum deklarativen Modell sehr einfach.
Aus dem Repositorty gebaut
Benutzer, die gerne immer neueste Software verwenden, erhalten mit der neuen Option --with-latest die Möglichkeit, Pakete direkt aus den Repositories der Entwickler der gewünschten Anwendung zu bauen und zu installieren und müssen nicht warten, bis Guix die neue Version als Binärpaket anbietet. Das gelingt mit der Einschränkung, dass sich weder Build-System noch die Abhängigkeiten im Vergleich zur letzten von Guix paketierten Version unterscheiden.
POWER9 unterstützt
Das Guix-Referenzhandbuch ist jetzt vollständig ins Französische, Deutsche und Spanische übersetzt, mit vorläufigen Übersetzungen ins Russische, Chinesische und in andere Sprachen. Guix kann auf beliebigen Distributionen als zusätzlicher Paketmanager installiert werden. Dabei überprüft ein Installationsskript die Voraussetzungen und erfragt die verwendete Distribution sowie die Architektur. Bei Letzteren werden mit Guix 1.3.0 auch Systeme auf der Basis von IBMs POWER9-Prozessoren als technische Vorschau unterstützt.
Mit Guix System stellen die Entwickler auch eine komplette Distribution auf der Basis des Paketmanagers zur Verfügung. Als Kernel kommt Linux-libre zum Einsatz, GNU Shepherd dient als Init-System. Als Desktop findet Xfce Verwendung. Auf der Download-Seite des Projekts steht neben GNU Guix System 1.3.0 und GNU Guix 1.3.0 Binary auch ein Qemu-Image bereit. Der Sourcecode des Paketmanagers als auch der Distribution liegt auf dem Projektserver.
MediaGoblin Logo | Lizenz: Public Domain | Quelle: MediaGoblin
Die seit 2011 innerhalb des GNU-Projekts entwickelte Media-Publishing-Platform MediaGoblin ist in Version 0.11.0 als »Punky Magmalian« veröffentlicht worden. Seit der Vorversion 0.10.0 sind 10 Monate vergangen.
MediaGoblin ist eine dezentralisierte Web-Plattform zum Hosten und Teilen digitaler Medien und Inhalte, die 2008 ihren Anfang bei einer Konferenz der Free Software Foundation (FSF) nahm, auf der über den weiteren Weg zum Hosten und Teilen angesichts immer mehr zentralisierter geschlossener Dienste diskutiert wurde. MediaGoblin ist in Python realisiert und unterliegt der AGPLv3. Die Software steht für Linux, macOS und Windows bereit.
Nur noch Python 3 unterstützt
Die neue Version von MediaGoblin markiert das Ende der Unterstützung für Python 2 und von fünf Jahren gleichzeitiger Unterstützung für Python 2 und Python 3. Die in der Ankündigung verlinkten Release Notes wurde noch nicht auf die Änderungen zu Version 0.11.0 aktualisiert, sodass derzeit keine weiteren Änderungen bekannt sind.
Logo von GnuPG | Quelle: GnuPG | Lizenz: Public Domain
Werner Koch, Entwickler von GNU Privacy Guard (GnuPG), gibt die sofortige Verfügbarkeit von GnuPG 2.2.23 bekannt. Die neue Version schließt eine kritische Sicherheitslücke in den Vorgängerversionen 2.2.21 und 2.2.22. Darüber hinaus ist auch Gpg4win 3.1.12 betroffen.
Lücke beim Import
Das Importieren eines OpenPGP-Schlüssels mit einer Präferenzliste für AEAD-Algorithmen kann zu einem Array-Überlauf und damit oft zu einem Absturz oder anderem undefiniertes Verhalten führen. AEAD steht für Authenticated Encryption with Associated Data und stellt laut Wikipedia neben dem Schutz einer vertraulichen Nachricht die Authentizität und Integrität weiterer Daten sicher, die nicht verschlüsselt werden.
Nicht trivial auszunutzen
Das Importieren eines willkürlichen Schlüssels kann laut Koch oft leicht von einem Angreifer ausgelöst werden und damit diesen Fehler auslösen. Das Ausnutzen des Fehlers abgesehen von Abstürzen ist nicht trivial, aber wahrscheinlich für einen engagierten Angreifer möglich.
Software-Verteilung nicht betroffen
Die Hürde für einen Angreifer ist, dass nur jedes zweite Byte kontrolliert und manipuliert werden kann, jedes erste Byte hat dagegen einen festen Wert von 0x04. Eine Überprüfung bei der Software-Verteilung sollte von diesem Fehler nicht betroffen sein, weil ein solches System eine kuratierte Liste von Schlüsseln verwendet.
Zeitnah aktualisieren
Anwender, die Version 2.2.21 or 2.2.22 von GnuPG verwenden, sollten zeitnah auf GnuPG 2.2.23 aktualisieren. Für Anwender älterer Versionen oder einer Beta-Version von GnuPG 2.3 besteht kein dringender Handlungsbedarf. Bei Verwendung von Gpg4win 3.1.12 oder GnuPG VS-Desktop 3.1.12 sollte entweder auf einen zeitnah erscheinenden Fix gewartet werden oder GnuPG Version 2.2.23 darüber installiert werden. Anwender, die keine neue Version installieren können, sind mit der Anwendung eines Patches ebenfalls auf der sicheren Seite.
Neben dieser Sicherheitslücke wurde in GnuPG 2.2.23 unter anderem eine mögliche Schutzverletzung (segfault) und ein Fehler beim Parsing beseitigt. Zudem wurden Übersetzungen für Ungarisch, Polnisch, Tschechisch und Ukrainisch überarbeitet.
