Herzlich willkommen!

Hier erhalten Sie Tipps, Tricks, Workshops und Informationen rund um Linux, dem freien und erfolgreichen Betriebssystem. Außerdem können Sie chatten und sich kleinere Skripte und Programme herunterladen. Nachfolgend finden Sie zudem verschiedene Neuigkeiten aus dem Linux- und Open-Source-Bereich.

Software-Versionen
  stable develop
Kernel 3.19 3.19-rc7
GNOME 3.8.2 3.9.92
KDE 4.14.3 4.13.97
X.Org 7.7 7.8
LibreOffice 4.4.0 4.4.1
Calligra 2.3.3 2.8.91
GIMP 2.8.10 2.7.5
Wine 1.6.2 1.7.37
Samba 4.1.16 4.2.0rc4
Apache 2.4.12 2.3.16

Linux-/Unix-Kalender
 KW  Mo Di Mi Do Fr Sa So
05              1
06  2  3  4  5  6  7  8
07  9 10 11 12 13 14 15
08 16 17 18 19 20 21 22
09 23 24 25 26 27 28  

News-Archiv
Im News-Archiv finden Sie ältere Nachrichten und Einträge, die sich einmal als News direkt hier auf der Homepage befunden haben. Dieses Archiv können Sie verwenden, falls Sie etwas verpasst haben oder etwas bestimmtes suchen.

22. Februar 2015: Gestern Abend war ich im Metropol der Innenstadtkinos in Stuttgart und habe den Kinofilm "Blackhat" gesehen. In dem Film geht es um einen US-amerikanischen Hacker, der chinesischen Ermittlern bei der Suche nach einem kriminellen Hacker (also Black-Hat) hilft, der unter anderem einen Cyberangriff auf ein chinesisches Atomkraftwerk durchgeführt hat. Als Computer-Freaks haben wir natürlich genauer hingesehen, so tauchten beispielsweise die Bash, whois, ssh, mount und ein bootendes Red Hat Enterprise Linux (oder Derivat) auf. Ein bisschen seltsam finde ich, dass während der Handlung des Films auch Daten auf ein Medium mit dem NTFS-Dateisystem kopiert wurden. Ebenfalls Erwähnung findet das Tor-Netzwerk, jedoch wurde bei der Bedeutung etwas übertrieben. Die IPv4-Adressen wirken dafür jedoch plausibel und sind zumindest gültig - leider konnte ich mir diese so schnell nicht merken. Wie man ganz am Ende des Films an einem Geldautomaten am Flughafen in Jakarta (zumindest wirkt es so) allerdings Euro-Banknoten abheben kann erschließt sich mir keineswegs.

21. Februar 2015: Seit 1,5 Wochen habe ich nun auch einen GitHub-Account. Eigentlich hatte ich ja gehofft um den Trend herumzukommen bei jedem Hosting-Dienst für Software-Entwicklungsprojekte einen Account anzulegen, aber nachdem das mir persönlich wichtige GNU-Projekt jwhois am 7. Januar 2015 den Wechsel von Savannah auf GitHub angekündigt hat, ist das nun vorhersehbar gewesen. Inzwischen habe ich einen größeren Patch für jwhois, eine Sicherheitskorrektur für zarafa-webapp-passwd, eine Sicherheitskorrektur für zarafa-ldap-passwd und einen Patch für einen RFC-Verstoß in emailverifier vorgeschlagen. Daneben habe ich mehrere Probleme im neuen FedMsg Notification (kurz: FMN) des Fedora Projects gemeldet. Insgesamt gibt es derzeit 22 Contributions meinerseits bei über 10 verschiedenen Projekten auf GitHub - zukünftige Contributions sind nicht auszuschließen...

20. Februar 2015: Seit Mitte Januar 2015 bin ich Mageia-Contributor. Die Linux-Distribution Mageia ist eine Abspaltung von Mandriva Linux, die seit September 2010 existiert - also noch ein relativ junges Projekt. Dabei bin ich dem Fedora Project keineswegs untreu oder gar abtrünnig geworden, aber zwei Bugreports, die ich zufälligerweise entdeckt habe, haben mich handeln lassen: Im ersten Bugreport ist das gemeldete Problem, dass der Zarafa WebAccess in Verbindung mit Apache 2.4 bzw. durch ein fehlerhaftes Unbundling von Bibliotheken nicht benutzbar ist, im zweiten Bugreport geht es um die von mir entdeckte Schwachstelle CVE-2014-9465 und dass Zarafa wohl leider gar nicht auf die E-Mail-Anfragen des Mageia-Maintainers reagiert hat. Da mir die beiden Problematiken bekannt sind, habe ich die in Fedora verwendeten Patches übernommen, teilweise noch angepasst und dem Mageia-Maintainer zur Verfügung gestellt. Das Security Advisory von Mageia verweist auf mein Security Advisory und hat wohl sogar MITRE dazu veranlasst es im CVE-2014-9465 direkt nach der CVE-Anfrage zu referenzieren!

8. Februar 2015: Das Team um den freien Webmailer Roundcube hat heute die Version 1.1.0 freigegeben - etwa 10 Jahre nach dem allerersten Alpha-Release von Roundcube. Was mich sehr freut ist, dass es "mein" Feature "Stronger password encryption using OpenSSL" in die offizielle Liste der Features geschafft hat! Eigentlich wollte ich nur mein System frei von der PHP-Erweiterung mcrypt sehen, habe dann einen Patch geschrieben und bei den Roundcube-Entwicklern eingereicht. Optisch hat mein Patch den Entwicklern wohl eher weniger zugesagt, eine überarbeitete Fassung ist letztendlich committed worden, allerdings mit OpenSSL als Standardfunktionalität und mit mcrypt nur noch als Fallback. Eine weitere zentrale Neuerung in Roundcube 1.1.0 ist die Funktion, dass gleichzeitig mehrere Ordner durchsucht werden können. Das hört sich für viele vielleicht selbstverständlich an, ist es aber in der Praxis keineswegs - die ein oder andere Groupware unterstützt nicht einmal eine ordnerübergreifende Suche. Doch da Kolab als Groupware das Roundcube als Standard-Client verwendet, achtet man eher auf solche Dinge...

31. Januar 2015: Vor einigen Minuten habe ich mein schon seit einiger Zeit vorbereitetes Security Advisory 2014-0011 mit dem Titel "SSLv3 limit in Zarafa Outlook Client" veröffentlicht. Am 2. April 2014 habe ich im Rahmen von Tests zu meinem Patch für den Zarafa-Server um SSL-/TLS-Einstellungen wie Protokoll-Version und Cipher Suite konfigurierbar zu machen entdeckt, dass der proprietäre Zarafa Outlook Client, der für die MAPI-basierte Anbindung von Microsoft Outlook an Zarafa verwendet wird, ausschließlich SSLv3-Verbindungen unterstützt und Zarafa als Hersteller darüber informiert - das war übrigens noch lange vor Bekanntwerden der SSLv3-Schwachstelle POODLE. Mit dem ersten Beta-Release von Zarafa 7.2 (Anfang Dezember 2014) ist nun die lang geplante Änderung in den Zarafa Outlook Client eingeflossen und inzwischen wird auch TLSv1.0 als Transportverschlüsselung unterstützt.

28. Januar 2015: Gestern Abend hat Zarafa die WebApp 2.0 als finale Version veröffentlicht. Bei den Neuerungen seit der WebApp 1.6 werden ein neuer HTML-Editor (ein Update von TinyMCE), verbesserte Unterstützung für Plugins und ein Plugin für Dateihandling (basierend auf SabreDAV) angeführt. Weitere Plugins sind wohl in Entwicklung, allerdings findet diese nicht öffentlich statt - was zu einer Open-Source-Software meines Erachtens eher nicht passt. Ich kann verstehen und nachvollziehen, dass man die Spannung aufrecht erhalten möchte, aber sollte der aktuelle Slogan "Zarafa is not only a product...we are a community" auf der Zarafa-Webseite nicht für eine aktive und offene Einbindung der Community stehen? Andererseits ist die WebApp 2.0 meines Erachtens nicht fertig, so fehlt z.B. weiterhin die Möglichkeit für Themes (die es im älteren bzw. abgekündigten WebAccess gibt). Ein weiterer Wermutstropfen: Die Zarafa WebApp 2.0 ist für die von mir im August 2014 entdeckten Schwachstellen CVE-2014-5447 und CVE-2014-5449 verwundbar; immerhin wurde die Schwachstelle CVE-2014-9465 jetzt geschlossen.

27. Januar 2015: Im Community-Forum von Zarafa wurde am 16. Januar 2015 ein Thread dazu eröffnet, Pro-Linux hat am 26. Januar 2015 darüber berichtet und auf Heise ist es seit heute zu finden: Zarafa stellt die Unterstützung von Microsoft Outlook und EWS zum 31. März 2016 ein. Hintergrund dafür ist wohl ein Strategiewechsel um nicht Microsoft hinterher zu programmieren sondern um die Zukunft aktiv mitzugestalten. Grundsätzlich sehe ich die Zukunft ebenfalls im Web, allerdings wundere ich mich sehr warum dafür die Outlook-Unterstützung schon jetzt auf der Strecke bleibt - zumal die Outlook-Unterstützung meines Erachtens das maßgebliche Verkaufsargument für Zarafa gewesen sein müsste. Die würdige Nachfolge soll die Zarafa WebApp antreten, allerdings sehe ich das zum aktuellen Zeitpunkt eher kritisch: Es gibt Benutzer die Outlook zwingend benötigen, da es durch Plugins für CRM, DMS, CTI oder einfach nur mit S/MIME mit und Kartenlesegerät zu einer "Middleware" gemacht wird. Ein richtiger Offline-Modus (für 10 oder gar 20 GB E-Mails) dürfte selbst mit HTML5 und localStorage nicht realisierbar sein, Caching sucht man in der WebApp derzeit sowieso vergebens. Das fehlende responsive Webdesign für die Nutzung auf mobilen Geräten zeigt zudem, dass es sich bei der Zarafa WebApp bislang leider um keine richtige "App" handelt...

14. Januar 2015: Bei heise Security bin ich heute über einen Bericht zu einem spannenden Werkzeug gestolpert: SSLyze, ein sehr umfangreicher und leistungsfähiger SSL-Scanner für die Kommandozeile. Die vorhandenen Tests beschränken sich, wie bei diversen anderen Werkzeugen, nicht nur auf HTTPS, sondern können auch für andere SSL-basierte Dienste wie IMAP-SSL verwendet werden. Neben gängigen Standardprüfungen wie die unterstützten Protokollversionen von SSL/TLS oder Cipher Suites, können sogar die Trust-Stores von Apple, Google, Microsoft und Mozilla mit Hilfe von catt heruntergeladen und als Grundlage für Prüfungen verwendet werden. So toll das Werkzeug auch ist, es dürfte vermutlich sehr schwer sein es für Linux-Distributionen zu paketieren, da es idealerweise mit OpenSSL statisch gelinkt wird und unter Umständen eine neuere Version benötigt als die jeweilige Linux-Distribution ausliefert. Die Mindestvoraussetzung von Python 2.7 schränkt die Möglichkeit der in Frage kommenden Linux-Distributionen leider noch weiter ein. Etwas seltsam: Das zugrunde liegende nassl warnt vor dem produktiven Einsatz und vor Fehlern bei der Überprüfung von SSL-Zertifikaten.