Newsupdate 04/24 - XZ und Kernel-CVE, Forgejo 7.0.0 RC, 12 Jahre Ubuntu LTS-Support, Incus 6.0 und RHEL-Betas

Shownotes

Der April war vor allem von der omnipräsenten XZ-Lücke geprägt, die wir im Detail besprechen müssen. Bedeutend erfreulicher war euer zahlreiches Feedback sowie die aktuelle Forgejo-Vorabversion. Canonical bietet fortan bis zu 12 Jahre Support für LTS-Versionen, beginnend ab Ubuntu 14.04. Betas von Ubuntu, AlmaLinux und Red Hat Enterprise Linux wollen getestet werden, während Xen-Kund:innen mit gesteigerten Kosten rechnen müssen. Die angekündigten Redis-Forks zeigen erste Entwicklungen und Incus erreicht die LTS-Version 6.0.

Intro

• Netzolino: https://netzpolitik.org/netzolino/

Feedback und Ankündigungen

• Teaser zu Proxmox-Theme: https://chaos.social/@stdevel/112253257786913438
• Feedback von Florian: https://social.tchncs.de/@fwilhe/112230467669918973
• Open Source Initiative - Definition: https://opensource.org/osd
• Free Software Foundation - What is Free Software: https://www.gnu.org/philosophy/free-sw.en.html
• Feedback von mlnf: https://mastodontech.de/@mlnf/112286066626181231
• Kommentar von Ethon: https://mastodontech.de/@Ethon/112292709863510869

Aufreger des Monats

• YouTube-API geändert: https://social.tchncs.de/@invidious/112191317707645834

xz-Sicherheitslücke

• Sicherheitsdiskussion XZ: https://www.openwall.com/lists/oss-security/2024/03/29/4
• Toot von Andres Freund: https://mastodon.social/@AndresFreundTec/112180406142695845
• Analyse der XZ-Backdoor: https://boehs.org/node/everything-i-know-about-the-xz-backdoor
• Technische Erklärung XZ (Bash): https://gynvael.coldwind.pl/?lang=en&id=782
• Codebeispiel XZ-Backdoor: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
• Überblick XZ-Sicherheitslücke: https://infosec.exchange/@fr0gger/112189232773640259
• Problemanalyse XZ-Backdoor: https://ariadne.space/2024/04/02/the-xz-utils-backdoor-is-a-symptom-of-a-larger-problem/
• XZ-Backdoor Werkzeug: https://github.com/amlweems/xzbot
• Codeanalyse XZ-Sicherheitslücke: https://gist.github.com/q3k/af3d93b6a1f399de28fe194add452d01
• Landlock Sandbox: https://hachyderm.io/@joeyh/112184894199962268
• XZ auf Mac: https://mastodon.xyz/@garrett/112185307414232500
• XZ auf Windows: https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27?permalink_comment_id=5006612#gistcomment-5006612
• Sicherheitswarnung Fedora: https://www.redhat.com/en/blog/urgent-security-alert-fedora-41-and-rawhide-users
• Sicherheitswarnung Suse: https://news.opensuse.org/2024/03/29/xz-backdoor/
• Devuan zu XZ: https://toot.community/@devuan/112185687582188156
• Kommentar zu Devuan: https://chaos.social/@[email protected]/112195310948211923
• Sicherheitsmeldung Debian: https://framapiaf.org/@debian/112187263796870835
• Diskussion über SELinux: https://chaos.social/@zhenech/112185162416143644
• CVE zur Sicherheitslücke: https://nvd.nist.gov/vuln/detail/CVE-2024-3094
• Hintergrundinfo zur Backdoor vom Autor: https://tukaani.org/xz-backdoor/
• Open-Source-Interaktionen: https://robmensching.com/blog/posts/2024/03/30/a-microcosm-of-the-interactions-in-open-source-projects/
• Soziale Implikationen XZ: https://hachyderm.io/@danderson/112182299348258318
• Mitgefühl mit dem Autor: https://social.gabekangas.com/notice/AgMCqDxqKVFKqjJkGm
• Philosophisches zur Backdoor: https://blog.janet.place/XZ/
• SSH-Gefährdung durch XZ: https://www.heise.de/news/Hintertuer-in-xz-Bibliothek-gefaehrdet-SSH-Verbindungen-9671317.html
• Weitere Angriffsversuche: https://www.heise.de/news/xz-Attacke-Hinweise-auf-aehnliche-Angriffsversuche-bei-drei-JavaScript

HashiCorp vs. OpenTofu

• Forbes-Artikel: https://www.forbes.com/sites/justinwarren/2024/04/11/opentofu-responds-to-hashicorp-copyright-infringement-claims/?sh=603d5c773efc
• OpenTofu-Antwort auf die Unterlassungsaufforderung: https://opentofu.org/blog/our-response-to-hashicorps-cease-and-desist/

Follow-Up Redis

• valkey auf GitHub: https://github.com/valkey-io/valkey
• Redict-Ankündigung: https://redict.io/posts/2024-04-03-redict-7.3.0-released/

CVE-2023-6546 im Linux-Kernel

• Heise-Artikel: https://www.heise.de/news/Linux-Kernel-Neuer-Exploit-verschafft-Root-Privilegien-9682586.html

Schleswig-Holstein führt den digital souveränen IT-Arbeitsplatz ein

• Artikel: https://www.dataport.de/fachinterview/open-source-arbeitsplatz-schulterschluss-mit-der-linux-community/

Citrix steigert Lizenzkosten u.a. für Xen

• Golem-Artikel: https://www.golem.de/news/us-softwareanbieter-massive-steigerung-der-lizenzkosten-bei-citrix-2404-183925.html

KDE als Standard-Desktop für Fedora 42

• Fedora Wiki: https://fedoraproject.org/wiki/Changes/FedoraPlasmaWorkstation

Ubuntu 24.04 Beta

• Ankündigung: https://lists.ubuntu.com/archives/ubuntu-announce/2024-April/000300.html
• Release Notes: https://discourse.ubuntu.com/t/noble-numbat-release-notes/39890
• Download: https://releases.ubuntu.com/noble/

Uyuni 2024.03

• Release Notes: https://www.uyuni-project.org/doc/2024.03/release-notes-uyuni-server.html

AlmaLinux 9.4, RHEL 9.4 und 8.10 Betas

• Red Hat Blog: https://www.redhat.com/en/blog/explore-new-capabilities-red-hat-enterprise-linux-94-and-810-beta-releases
• AlmaLinux-Blog: https://almalinux.org/blog/2024-04-15-announcing-94-beta/
• Phoronix: https://www.phoronix.com/news/AlmaLinux-9.4-Beta

Incus 6.0 LTS

• Ankündigung: https://www.heise.de/news/Linux-Container-LXC-6-und-Incus-6-mit-Langzeit-Unterstuetzung-9682717.html

Canonical erweitert LTS-Support auf 12 Jahre

• Ankündigung: https://ubuntu.com/blog/canonical-expands-long-term-support-to-12-years-starting-with-ubuntu-14-04-lts

Forgejo 7.0.0 RC

• Monatlicher Blog-Artikel: https://forgejo.org/2024-03-monthly-update/
• Aussprache: https://forgejo.org/static/forgejo.mp4

Kurznews

• openSUSE Leap Micro 6 Alpha: https://www.phoronix.com/news/openSUSE-Leap-Micro-6-Alpha
• LXQt 2.0 erschienen: https://www.phoronix.com/news/LXQt-2.0-Released

Tooltipps

• Apache Guacamole: https://guacamole.apache.org/
• techBeck03/guacamole Terraform-Provider: https://registry.terraform.io/providers/techBeck03/guacamole/latest
• guacamole-docker-compose Beispiel: https://github.com/boschkundendienst/guacamole-docker-compose
• seccomp-stream: https://github.com/not-jan/seccomp-stream
• Ansible-Dokumentation: https://docs.ansible.com/ansible/latest/index.html
• Jinja2: https://jinja.palletsprojects.com/
• YAML: https://yaml.org/