Herzlich willkommen!

Hier erhalten Sie Tipps, Tricks, Workshops und Informationen rund um Linux, dem freien und erfolgreichen Betriebssystem. Außerdem können Sie chatten und sich kleinere Skripte und Programme herunterladen. Nachfolgend finden Sie zudem verschiedene Neuigkeiten aus dem Linux- und Open-Source-Bereich.

Software-Versionen
  stable develop
Kernel 3.17 3.18-rc5
GNOME 3.8.2 3.9.92
KDE 4.14.3 4.13.97
X.Org 7.7 7.8
LibreOffice 4.3.4 4.4.0
Calligra 2.3.3 2.3.3
GIMP 2.8.10 2.7.5
Wine 1.6.2 1.7.31
Samba 4.1.13 4.2.0rc2
Apache 2.4.10 2.3.16

Linux-/Unix-Kalender
 KW  Mo Di Mi Do Fr Sa So
44            1  2
45  3  4  5  6  7  8  9
46 10 11 12 13 14 15 16
47 17 18 19 20 21 22 23
48 24 25 26 27 28 29 30

News-Archiv
Im News-Archiv finden Sie ältere Nachrichten und Einträge, die sich einmal als News direkt hier auf der Homepage befunden haben. Dieses Archiv können Sie verwenden, falls Sie etwas verpasst haben oder etwas bestimmtes suchen.

9. November 2014: Heute ist ein äußerst geschichtsträchtiger Tag: Der Fall der Berliner Mauer jährt sich zum 25. Mal. Mit diesem friedlichen Ereignis vor 25 Jahren wurde die deutsche Wiedervereinigung maßgeblich beeinflusst, welche sich nächstes Jahr am 3. Oktober zum 25. Mal jähren wird. Vor 25 Jahren war ich noch ein kleines Kind und habe weder den Mauerfall noch die Wiedervereinigung wirklich mitbekommen bzw. wahrgenommen. Erst später habe ich z.B. mit dem dann veralteten Buch "Fahnen und Flaggen" von Was ist was oder den neuen Postleitzahlen die Veränderungen in Deutschland bewusst wahrgenommen. Die derzeit in Berlin aufgebaute Lichterkette zum Mauerfall-Jubiläum auf dem Todestreifen in Berlin finde ich persönlich übrigens eine tolle und zugleich beeindruckende Idee. Auch wenn sich in den sozialen Netzwerken unzählige freudige "Selfies" an der Lichterkette finden, so jährt sich die unerfreuliche Reichspogromnacht ebenfalls am heutigen Tag - zum 76. Mal. Im Hinblick auf vorige Ereignisse meist vergessen, dennoch heute vor 96 Jahren geschehen: Die Ausrufung der Republik in Deutschland.

4. November 2014: Eine gute Nachricht im Hinblick auf Verschlüsselung und die IT-Sicherheit ging heute Abend über die Mailingliste von OpenSSL: Steve Marquess, Mitglied des OpenSSL-Entwicklungsteams, hat bekannt gegeben, dass Matt Caswell ab dem 10. November 2014 als Vollzeit-Entwickler beim OpenSSL-Projekt tätig sein wird. Matt Caswell gehört bereits seit einiger Zeit zum OpenSSL-Team und daher ist es aus meiner Sicht um so erfreulicher, dass dieses derzeit nur 2-Mann-Team (in Vollzeit) verstärkt wird. Damit nutzt man bei der OpenSSL Foundation nun die durch Heartbleed (glücklicherweise) neu hinzugekommenen finanziellen Mittel wie Spenden, Support- und Wartungsverträge. Die zwei bisherigen Vollzeit-Entwickler, Steve Henson und Andy Polyakov, werden jedoch weiterhin von der Linux Foundation Core Infrastructure Initiative bezahlt. Gleichzeitig hoffe ich, dass die neuen Entwickler-Ressourcen stärker sichtbarere Fortschritte bei der Abarbeitung der im Juli diesen Jahres vorgelegten Roadmap bringen.

3. November 2014: Gestern Abend ist die FSCONS in Göteborg in Schweden zu Ende gegangen - und ich war leider nicht dabei. Ich bin am Freitag früh krank aufgewacht und habe, abgesehen von einem Arztbesuch, das gesamte Wochenende unfreiwillig im Bett verbracht. Ich habe am Freitag morgen lange mit mir gerungen doch noch nach Göteborg zu fliegen, aber die Vernunft hat letztendlich gesiegt...abgesehen davon, dass es mir wirklich nicht gut ging. Außerdem hätte ich nichts gewonnen gehabt krank nach Göteborg zu fliegen um vielleicht dort nur krank im Hotelzimmer zu liegen. Unglücklicherweise habe ich dann noch am Samstag eine E-Mail von Henrik Nordström erhalten, dass er leider ebenfalls erkrankt ist - natürlich nicht am gleichen wie ich. Rückblickend war es für mich äußerst schade nicht auf die Konferenz zu können, aber daheim im Bett zu bleiben war definitiv richtig.

30. Oktober 2014: Morgen geht es für mich endlich einmal wieder auf die FSCONS nach Göteborg in Schweden. Ich habe die jährlich stattfindende Veranstaltung das letzte Mal vor nun 3 Jahren besucht und es in den letzten beiden Jahren leider aus verschiedenen Gründen nicht geschafft. Das Free Society Conference and Nordic Summit (kurz: FSCONS) ist die größte Veranstaltung der skandinavischen Länder für freie Kultur, freie Software und eine freie Gesellschaft. Es handelt sich um eine Konferenz von und für die Menschen, die daran arbeiten, unsere Zukunft zu verändern - und hat 250-300 Teilnehmer, vor allem aus Nordeuropa. Gemeinsam mit Henrik Nordström werde ich dort das Fedora Project mit einem kleinen Stand vertreten, Fragen der Besucher beantworten und bestehenden Fedora-Benutzern bei ihren Problemen weiterhelfen. Natürlich freue ich mich auch sehr darauf bestimmte Leute wieder einmal zu treffen - insbesondere diejenigen, die ich das letzte Mal vor 3 Jahren getroffen habe und üblicherweise im hohen Norden zu Hause sind.

27. Oktober 2014: Am 15. November 2014 halte ich für das Fedora Project einen Workshop zum RPM-Paketbau - in Phnom Penh, der Hauptstadt Kambodschas. Der mehrstündige Workshop wird an der Development Innovations Cambodia, einem Projekt gefördert von der Behörde der Vereinigten Staaten für internationale Entwicklung (kurz: USAID), stattfinden. So toll sich das ganze anhört, so ernüchternd ist es zugleich: Ich werde nicht nach Kambodscha reisen sondern der Workshop wird remote und interaktiv stattfinden, technisch soll es über ein Google Hangout gelöst werden. Ich bin sehr gespannt, denn auch für mich ist es das erste Mal einen so umfangreichen Workshop remote zu halten, wenngleich ich über das Thema an und für sich schon öfters referiert habe. Mein "RPM packaging workshop (Fedora)" ist überwiegend technisch orientiert und richtet sich an Einsteiger und Fortgeschrittene zum Bereitstellen von eigenen Programmen oder beliebter Software als RPM-Pakete. Natürlich werden typische Fehler und Probleme besprochen und geeignete Build-Umgebungen vorgestellt - das ganze wird durch ein Live-Packaging und praktische Übungen für die Teilnehmer abgerundet!

24. Oktober 2014: Heute morgen habe ich meine Entdeckung aus dem September 2014, dass die bereits älteren Schwachstellen CVE-2012-3414 und CVE-2013-2205 auf den Zarafa WebAccess anwendbar sind, koordiniert veröffentlicht. Die beiden Schwachstellen selbst wurden von Nathan Partlan und Neal Poole entdeckt und ermöglichen XSS bei der bekannten und relativ weit verbreiteten Flash-Datei SWFUpload. Glücklicherweise hat WordPress schon vor längerer Zeit die Initiative ergriffen und einen sicheren Fork von SWFUpload entwickelt. Was ich erschreckend finde ist, dass sich eine verwundbare Drittsoftware so lange unbemerkt halten kann - denn Zarafa ist vermutlich nicht die große Ausnahme. Viele Software-Projekte binden Drittsoftware ein ("Bundling") und liefern diese einfach mit aus - ohne regelmäßig auf Schwachstellen zu prüfen. Im konkreten Fall von Zarafa ist der Zarafa WebAccess seit Version 6.40.4, also seit der Existenz des Multi-Upload-Features, betroffen. In meinem Security Advisory 2014-0009 kann - neben technischen Details - nachgelesen werden wie sich die Verwundbarkeit des Zarafa WebAccess mit SWFUpload manuell beseitigen lässt.

18. Oktober 2014: Wie ich heute beim Update meines Systems auf Red Hat Enterprise Linux 6.6, das bereits am 14. Oktober 2014 veröffentlicht wurde, festgestellt habe, ist endlich mein Patch für PCSC-Lite zur Unterstützung des Chipkartenlesers "cyberJack® RFID standard" von REINER SCT für sicheres Online-Banking mittels HBCI bzw. FinTS auch in das RPM-Paket in RHEL eingeflossen und wird sogar in den RHEL 6.6 Technical Notes erwähnt! Technisch muss letztendlich einfach versucht werden das Kartenlesegerät zusätzlich über das libusb-Schema anzusprechen bevor abgebrochen werden darf. Damit wird endlich gut, was schon im Januar 2013 begonnen hat...

17. Oktober 2014: Auch wenn die Schwachstelle "POODLE" in SSLv3.0 derzeit nur HTTPS-Verbindungen betrifft empfehlen verschiedene Software-Hersteller und -Projekte zur Sicherheit SSLv3.0 in sämtlichen Diensten zu deaktiveren - kein Fehler wie ich finde. Leider ist das in der Praxis nicht bei allen Diensten möglich, so z.B. bei Zarafa: Den Wunsch zur Konfigurierbarkeit von SSL-/TLS-Protokollen und -Ciphers habe ich bereits im September 2013 geäußert. Ich habe dann selbst vor fast genau 7 Monaten exakt dafür einen Patch in meiner Freizeit entwickelt und bei Zarafa eingereicht. Unglücklicherweise wurde mein Patch aus verschiedenen Gründen bislang in kein Zarafa-Release aufgenommen - das soll aber mit Zarafa 7.2 dann der Fall sein. Mein Patch sorgt allerdings für ein kleines Problem für proprietäre Benutzer: Der Zarafa Client Connector unterstützt, auch wenn Änderungen geplant sind, derzeit nur SSLv3.0. Ich habe vorhin die Zarafa-RPMs in Fedora und EPEL aktualisiert und dabei den vorher erwähnten Patch und meinen nun bereits 6 Monate alten Patch für ECDHE-Unterstützung hinzugefügt.

16. Oktober 2014: Wie heute bekannt gegeben wurde ist die Fusion der Open Source Business Alliance (aus Stuttgart) mit der Open Source Business Foundation (aus Nürnberg) leider gescheitert. Maßgeblicher Grund dafür ist wohl gewesen, dass mindestens Teile des Vorstands der OSBF den Namen der Initiative "Deutsche Wolke" der OSBA als "strategisch falsch gewählt, aus Marketingsicht ungeeignet, international ausgrenzend und zu leicht hinsichtlich rechtsnationalem Gedankengut fehlinterpretierbar" halten. Gut, glücklich ist der Name meines Erachtens wirklich nicht. Andererseits ist es aus meiner Sicht nicht wirklich schade was die geplatzte Fusion betrifft: Jeder der beiden Vereine betreibt eine Plattform bzw. ein Forum für seine Mitglieder und versucht sich und die Mitglieder geschäftlich vorwärts zu bringen; aber ein Vorantreiben und Unterstützen von Open-Source-Projekten (der eigentlichen Grundlage) ist aus meiner Sicht jedoch leider kaum zu erkennen. Auch bei den selbstgesetzten Zielen der Vereine fehlt meines Erachtens Biss und Öffentlichkeitsarbeit - oder geht das alles spurlos an mir vorbei?

15. Oktober 2014: Gestern Nachmittag ist bereits erstmals das Gerücht für eine Schwachstelle in SSLv3.0 aufgekommen und wurde heute früh bestätigt: Bodo Möller, Thai Duong und Krzysztof Kotowicz vom Google Security Team haben die Schwachstelle "POODLE" entdeckt und öffentlich bekannt gemacht. Dabei handelt es sich um einen Design-/Entwicklungsfehler im bald 18 Jahre alten SSLv3.0 selbst (der völlig plattform- und betriebssystemunabhängig ist). Die einzig sinnvolle Lösung zum aktuellen Zeitpunkt scheint das Deaktivieren von SSLv3.0 in den Serverdiensten wie dem Apache Webserver zu sein. Meist wird SSLv3.0 noch zusätzlich für Rückwärtskompatibilität zur Verfügung gestellt obwohl eigentlich alle halbwegs gängigen und nicht völlig veralteten Browser auch problemlos mit TLS klarkommen sollten. Interessanterweise ist die Schwachstelle derzeit nur auf HTTPS anwendbar trotzdem empfiehlt es sich meines Erachtens die Verwendung von SSLv3.0 in sämtlichen Diensten zu deaktivieren, da sich viele vergangenen Schwachstellen in der Verschlüsselung irgendwann auf alle Dienste haben anwenden lassen. Doch leider kann man SSLv3.0 nicht in allen Diensten dekonfigurieren...