Newsupdate 04/24 - XZ und Kernel-CVE, Forgejo 7.0.0 RC, 12 Jahre Ubuntu LTS-Support, Incus 6.0 und RHEL-Betas
Shownotes
Der April war vor allem von der omnipräsenten XZ-Lücke geprägt, die wir im Detail besprechen müssen. Bedeutend erfreulicher war euer zahlreiches Feedback sowie die aktuelle Forgejo-Vorabversion. Canonical bietet fortan bis zu 12 Jahre Support für LTS-Versionen, beginnend ab Ubuntu 14.04. Betas von Ubuntu, AlmaLinux und Red Hat Enterprise Linux wollen getestet werden, während Xen-Kund:innen mit gesteigerten Kosten rechnen müssen. Die angekündigten Redis-Forks zeigen erste Entwicklungen und Incus erreicht die LTS-Version 6.0.
Intro
- Netzolino: https://netzpolitik.org/netzolino/
Feedback und Ankündigungen
- Teaser zu Proxmox-Theme: https://chaos.social/@stdevel/112253257786913438
- Feedback von Florian: https://social.tchncs.de/@fwilhe/112230467669918973
- Open Source Initiative - Definition: https://opensource.org/osd
- Free Software Foundation - What is Free Software: https://www.gnu.org/philosophy/free-sw.en.html
- Feedback von mlnf: https://mastodontech.de/@mlnf/112286066626181231
- Kommentar von Ethon: https://mastodontech.de/@Ethon/112292709863510869
Aufreger des Monats
- YouTube-API geändert: https://social.tchncs.de/@invidious/112191317707645834
xz-Sicherheitslücke
- Sicherheitsdiskussion XZ: https://www.openwall.com/lists/oss-security/2024/03/29/4
- Toot von Andres Freund: https://mastodon.social/@AndresFreundTec/112180406142695845
- Analyse der XZ-Backdoor: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
- Technische Erklärung XZ (Bash): https://gynvael.coldwind.pl/?lang=en&id=782
- Codebeispiel XZ-Backdoor: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
- Überblick XZ-Sicherheitslücke: https://infosec.exchange/@fr0gger/112189232773640259
- Problemanalyse XZ-Backdoor: https://ariadne.space/2024/04/02/the-xz-utils-backdoor-is-a-symptom-of-a-larger-problem/
- XZ-Backdoor Werkzeug: https://github.com/amlweems/xzbot
- Codeanalyse XZ-Sicherheitslücke: https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01
- Landlock Sandbox: https://hachyderm.io/@joeyh/112184894199962268
- XZ auf Mac: https://mastodon.xyz/@garrett/112185307414232500
- XZ auf Windows: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27?permalink_comment_id=5006612#gistcomment-5006612
- Sicherheitswarnung Fedora: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
- Sicherheitswarnung Suse: https://news.opensuse.org/2024/03/29/xz-backdoor/
- Devuan zu XZ: https://toot.community/@devuan/112185687582188156
- Kommentar zu Devuan: https://chaos.social/@nebucatnetzer@emacs.ch/112195310948211923
- Sicherheitsmeldung Debian: https://framapiaf.org/@debian/112187263796870835
- Diskussion über SELinux: https://chaos.social/@zhenech/112185162416143644
- CVE zur Sicherheitslücke: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
- Hintergrundinfo zur Backdoor vom Autor: https://tukaani.org/xz-backdoor/
- Open-Source-Interaktionen: https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/
- Soziale Implikationen XZ: https://hachyderm.io/@danderson/112182299348258318
- Mitgefühl mit dem Autor: https://social.gabekangas.com/notice/AgMCqDxqKVFKqjJkGm
- Philosophisches zur Backdoor: https://blog.janet.place/XZ/
- SSH-Gefährdung durch XZ: https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html
- Weitere Angriffsversuche: https://www.heise.de/news/xz-Attacke-Hinweise-auf-aehnliche-Angriffsversuche-bei-drei-JavaScript
HashiCorp vs. OpenTofu
- Forbes-Artikel: https://www.forbes.com/sites/justinwarren/2024/04/11/opentofu-responds-to-hashicorp-copyright-infringement-claims/?sh=603d5c773efc
- OpenTofu-Antwort auf die Unterlassungsaufforderung: https://opentofu.org/blog/our-response-to-hashicorps-cease-and-desist/
Follow-Up Redis
- valkey auf GitHub: https://github.com/valkey-io/valkey
- Redict-Ankündigung: https://redict.io/posts/2024-04-03-redict-7.3.0-released/
CVE-2023-6546 im Linux-Kernel
- Heise-Artikel: https://www.heise.de/news/Linux-Kernel-Neuer-Exploit-verschafft-Root-Privilegien-9682586.html
Schleswig-Holstein führt den digital souveränen IT-Arbeitsplatz ein
Citrix steigert Lizenzkosten u.a. für Xen
- Golem-Artikel: https://www.golem.de/news/us-softwareanbieter-massive-steigerung-der-lizenzkosten-bei-citrix-2404-183925.html
KDE als Standard-Desktop für Fedora 42
Ubuntu 24.04 Beta
- Ankündigung: https://lists.ubuntu.com/archives/ubuntu-announce/2024-April/000300.html
- Release Notes: https://discourse.ubuntu.com/t/noble-numbat-release-notes/39890
- Download: https://releases.ubuntu.com/noble/
Uyuni 2024.03
AlmaLinux 9.4, RHEL 9.4 und 8.10 Betas
- Red Hat Blog: https://www.redhat.com/en/blog/explore-new-capabilities-red-hat-enterprise-linux-94-and-810-beta-releases
- AlmaLinux-Blog: https://almalinux.org/blog/2024-04-15-announcing-94-beta/
- Phoronix: https://www.phoronix.com/news/AlmaLinux-9.4-Beta
Incus 6.0 LTS
- Ankündigung: https://www.heise.de/news/Linux-Container-LXC-6-und-Incus-6-mit-Langzeit-Unterstuetzung-9682717.html
Canonical erweitert LTS-Support auf 12 Jahre
- Ankündigung: https://ubuntu.com/blog/canonical-expands-long-term-support-to-12-years-starting-with-ubuntu-14-04-lts
Forgejo 7.0.0 RC
- Monatlicher Blog-Artikel: https://forgejo.org/2024-03-monthly-update/
- Aussprache: https://forgejo.org/static/forgejo.mp4
Kurznews
- openSUSE Leap Micro 6 Alpha: https://www.phoronix.com/news/openSUSE-Leap-Micro-6-Alpha
- LXQt 2.0 erschienen: https://www.phoronix.com/news/LXQt-2.0-Released
Tooltipps
- Apache Guacamole: https://guacamole.apache.org/
- techBeck03/guacamole Terraform-Provider: https://registry.terraform.io/providers/techBeck03/guacamole/latest
- guacamole-docker-compose Beispiel: https://github.com/boschkundendienst/guacamole-docker-compose
- seccomp-stream: https://github.com/not-jan/seccomp-stream
- Ansible-Dokumentation: https://docs.ansible.com/ansible/latest/index.html
- Jinja2: https://jinja.palletsprojects.com/
- YAML: https://yaml.org/
Neuer Kommentar