Connect with us

Datenschutz & Sicherheit

„Any dependency is a bad thing“



„Any dependency is a bad thing“

What actually makes infrastructure independent? For Michiel Leenaars of the NLnet Foundation, the answer is not where technology comes from, but whether it can be controlled and replaced. One year after raising concerns about missing EU funding for initiatives like his own, the foundation’s Director of Strategy reflects on what has changed since then and what Europe still gets wrong about building a sovereign digital stack.

netzpolitik.org: What is NLnet currently doing to support open source infrastructure?

Michiel Leenaars: We do open calls to fund open infrastructure. On all layers of the stack, from people making open hardware chips to office suites, search engines and social media, like Mastodon.

People just knock on our door and tell us what’s wrong with the internet and if it’s a good idea, we will help them.

netzpolitik.org: With money?

Michiel Leenaars: Yes, but also with team building, legal questions, performance tuning, security audits, license compliance, accessibility scans…

We want to make sure that we’re not just talking about building a European stack, but that we’re actually supporting the people who are building it. It really boils down to paying the people who work on alternatives. And to do so in a way that it can actually scale.

And it works. We have already funded over 1.450 projects in about 80 countries. You can see them all on our website. And some of the best people apply to us.

netzpolitik.org: But you are a small team and have a limited budget, how do you manage?

Michiel Leenaars: Yes. We are a tiny team with a fairly limited budget compared to the size of the challenges we try to address, around 15 million Euro a year. But we work with targeted small grants, between 5.000 and 50.000 Euro.

Small budgets are often looked down upon. But there really isn’t a need for billion-dollar projects in most cases. You just need individual experts to solve the actual problems and for all these components to fit together in a very specific way.

netzpolitik.org: Where do you get your money from?

Michiel Leenaars: It’s a beautiful blend. The biggest share comes from the EU’s Next Generation Internet programme from the European Commission which has been our main driver in the last couple of years.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

There is a company called Radically Open Security, and every year they give use their profits. We also receive some funding from governments, such as the Dutch and French governments, as well as just regular people that care about what we do, private donors and aligned organisations.

netzpolitik.org: The Next Generation Internet programme was discontinued. What is happening now with EU funding for open source projects?

Michiel Leenaars: There is now a successor initiative called the Open Internet Stack. The contours of that are still vague, and it has more constraints and a smaller budget. We are about to start the first programme, and that will allow us to at least continue tackle some of the work that needs to be done.

We of course applied for the new calls for 2026. We hope to be awarded some of that money, but these calls are massively oversubscribed. A lot of organisations apparently also want to take some of this budget to advance their own projects, but they don’t realise that this is all the budget there is to be had. We have a huge sense of urgency, but it is quite uncertain we’ll come out on top.

And then for 2027 there is no new budget. So without intervention from say the European Commissioner on digital sovereignty, the new opportunity will be the next EU budget, the Multiannual Financial Framework (MFF) in 2028. That would mean a big gap.

netzpolitik.org: The European Commission is planning an Open Source Strategy for end of May. What do you expect from it?

Michiel Leenaars: We are hoping that the Commission’s strategy will tackle all the long term interest of the European economy and design a strategic intervention for the benefit of all the European society, not just what it needs itself.

The difficult thing will be to operationalize it.

netzpolitik.org: The Commission also stated that the Open Source sector needs to be more commercial. Do you agree?

Michiel Leenaars: I think that there are many ways to be sustainable, and while there is certainly healthy profit to be made developing and maintaining critical infrastructure, there are not that many examples of where this works well in the long term. There is a tension.

Collective models are an interesting model. You can have a nonprofit which gets paid by the stakeholders. If you look at how many internet exchanges are organised, you see that such collective approaches are robust and allow for healthy independent organisations. As long as you get enough money to operate, you don’t need to go look for business.

Essential software should be treated as a shared public good and funded collectively, so it can be maintained securely and sustainably without the incentives of commercial tech markets to move super fast and get money.

netzpolitik.org: These days, the idea of “Buy European”, a European preference in procurement, is being discussed a lot. Do you believe that this would help Europe’s digital sovereignty?

Michiel Leenaars: Any dependency is a bad thing. The fact that something is owned by an entity with a European address doesn’t make it honest. The fact that you can leave when they do bad stuff keeps them honest.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Many digital services today are actually pseudo-infrastructure. Messaging services like WhatsApp or Signal can be switched off at any moment, if a single manager decides to do so.

We hate that idea. That’s why we are funding all these alternatives.

netzpolitik.org: So, it doesn’t matter if it is a European product or a US product if it’s proprietary?

Michiel Leenaars: I think there is a benefit in hosting services in Europe.

Although what is important is the jurisdiction, not the locality. That other jurisdictions can’t turn it off, don’t have a kill switch. Like, if Microsoft or Amazon puts up a datacentre in Europe, they could still be forced to turn off the service.

netzpolitik.org: What is your take on digital sovereignty, then?

Michiel Leenaars: From a societal perspective, my idea is that at least the basic stuff should not be dependent on anybody. Governments should own their infrastructure, or be owned.

I believe that it is fundamental to be self-sustaining and to choose the conditions under which we run society – without having to ask for permission or fearing to be degraded in terms of functionality, because someone else decides so.

netzpolitik.org: What should Europe focus on if it wants to strengthen its digital independence?

Michiel Leenaars: Europe needs to invest in open source infrastructure and long-term maintenance.

In the artificial intelligence field, I believe the vast majority of investment in AI now is a disinvestment because you’re just pumping up the Nvidia shares while pursuing a dead end. We should instead increase our capacity, build our own chips and shift gear towards the AI models we believe in.

And stop the economic haemorrhaging from our insane dependency on rented computers and proprietary software, if you follow the money, that is absolutely clear. The „AI Race“ frame is tempting, but wrong: it is not a fair sprint, it is long term economic sustainability and societal health we are seeking in the face of a skewed and broken market.

We therefore need to enforce the legislation, to remove bad actors, and force competitors to have interoperability, allowing the Digital Markets Act (DMA) to do its work.



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Krise der Meinungsfreiheit: Die Beleidigten


Schon wieder geht die Polizei auf einer Demonstration wegen einer angeblichen Beleidigung des Bundeskanzlers gegen einen jungen Menschen vor. Solche Maßnahmen beschränken die Versammlungs- und Meinungsfreiheit. Eine Analyse.

Krise der Meinungsfreiheit: Die Beleidigten
Schilder wie dieses gab es auf mehreren Demonstrationen gegen die Wehrpflicht. – Alle Rechte vorbehalten: IMAGO / Stefan Trappe

8. Mai 2026, in München demonstrieren junge Menschen gegen die Wehrpflicht. Eine 20-jährige Schülerin trägt ein Plakat mit der Aufschrift „Friedrich stirb doch selber an der Ostfront!“. Unter Einsatz von Gewalt und sogar Schlagstöcken bahnen sich Polizist:innen einen Weg zu der Schülerin, um ihre Personalien aufzunehmen. Das Plakat stellt angeblich eine Beleidigung des Bundeskanzlers dar, die Polizei verkündet später, ein Ermittlungsverfahren gegen die Schülerin einzuleiten.

Man muss kein Jurist sein, um zu sehen, dass es sich hier wohl kaum um eine Straftat handelt. Es ist weder eine Beleidigung noch eine gegen Personen des politischen Lebens gerichtete Beleidigung, üble Nachrede und Verleumdung noch eine Bedrohung des Kanzlers. Es ist der patzige Spruch: „Geh doch selber an die Front“ – um die Konsequenz ergänzt, was Wehrpflicht und Militärdienst nämlich ultimativ bedeuten können: im Krieg zu sterben.

Wir sehen hier eine zugespitzte, klare und harte Kritik daran, dass die Regierung über das Leben, Schicksal und im Zweifelsfall den Tod von jungen Menschen entscheidet. Es ist eben nicht der mächtigste Mann des Landes, der bei einem Militäreinsatz sterben wird, sondern es sind die jungen Menschen, die er dorthin schickt.

Keine Straftat

Ronen Steinke hat in der Süddeutschen Zeitung (€) den Fall eingehend analysiert. Er schreibt:

Der Kontext ist wichtig. Wie immer bei Äußerungen. Und eine Debatte, die von Krieg und Frieden handelt, also letztlich von Leben und Tod, wird unweigerlich immer einen anderen sprachlichen Klang haben als eine Debatte, die von Kultur- oder Steuerpolitik handelt. Das darf sich – darauf weist das Bundesverfassungsgericht in seinen Entscheidungen immer wieder hin – natürlich nicht nur in der Sprache der Regierenden spiegeln, die etwa von „Kriegstüchtigkeit“ sprechen. Sondern auch in der Sprache der Kritiker dieser Regierung. Auch sie müssen nicht zartere Worte wählen. Man darf die Dinge, die einen umtreiben und besorgt stimmen, schon beim Namen nennen.

Es ist nicht das erste Mal, dass die Polizei gegen Wehrpflicht-Proteste mit Härte vorgeht. Die Berliner Polizei hat im März bei einer Schüler-Demo bei einem 18-jährigen das Plakat „Merz leck Eier“ konfisziert, die Personalien des Jungen aufgenommen und Ermittlungen wegen des Anfangsverdachts der „Gegen Personen des politischen Lebens gerichteten Beleidigung, üblen Nachrede und Verleumdung“ eingeleitet.

Chilling Effect

Auch wenn die repressive Aktion nach hinten losging und zahlreiche Memes, Wiederholungen, Remixe und Songs auslöste, die millionenfach verbreitet wurden, ist die Message an Protestierende klar: Wir prüfen jedes eurer Plakate und gehen gegen euch öffentlichkeitswirksam und notfalls auch mit Gewalt vor. Passt auf, was ihr tut.

Aus Perspektive von Meinungs- und Versammlungsfreiheit passiert dabei das, was man im englischen „Chilling Effect“ nennt. Solche repressiven Maßnahmen führen in der Regel dazu, dass Menschen davor scheuen, zu sagen, was sie sagen wollen, weil sie Konsequenzen fürchten. Die Maßnahmen haben also beschränkende Auswirkungen auf die Freiheit aller. Im deutschen Sprachgebrauch spricht man auch von Abschreckungseffekten und Einschüchterung.

Moderne Majestätsbeleidigung

Die Fälle der Einschränkung der Meinungsfreiheit auf Demonstrationen reihen sich eine in eine generelle Tendenz zur Verschärfung im Umgang mit Meinungsäußerungen. Sie geschehen vor dem Hintergrund einer Verschlechterung des Debattenklimas und einer Zunahme von  Hass, Hetze und Desinformation, die mit dem Erstarken der rechtsradikalen AfD zusammenhängt.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

So wurde der Paragraf 188 des Strafgesetzbuches im Zuge dieser Entwicklung und unter dem Eindruck der Ermordung des CDU-Politikers Walter Lübcke durch einen AfD-Anhänger im Jahr 2020 verschärft und um den Straftatbestand der Beleidigung erweitert. Beleidigung, üble Nachrede und Verleumdung, die sich gegen Personen des politischen Lebens richtet kann damit härter bestraft werden als die Beleidigung oder Verleumdung normaler Bürger:innen.

Gesetze, die bestimmte Personengruppen höherstellen als andere, gibt es auch im Zusammenhang mit tätlichen Angriffen auf Vertreter:innen der Polizei und neuerdings auch von Rettungsdiensten. Derartige Regelungen stehen im Konflikt mit der Idee eines Rechtsstaates, der die Gleichbehandlung aller Menschen ja als einen elementaren Grundsatz hat.

Zurück zu den Beleidigungen: So richtig und wichtig die Absicht gewesen sein mag, beispielsweise Kommunalpolitiker:innen vor den zunehmenden rechtsradikalen Angriffen in Schutz zu nehmen, so falsch hat sich die Sache in der Realität entwickelt. Das Gesetz wird seit der Einführung rege genutzt. Schon im Jahr 2021 waren es 748 Fälle, im Jahr 2023 dann schon 2.598  und im letzten Jahr 4.792 Ermittlungsverfahren.

Das liegt laut Ronen Steinke auch daran, dass die Schwelle, was als Beleidigung gilt, bei den Betroffenen, aber auch Polizei und Justiz in den letzten Jahren offenbar deutlich niedriger geworden ist. Die Fälle harmloser Plakate auf den Demonstrationen, aber ebenso die Verfolgung von „Beleidigungen“ wie „Lügenfritz“ oder „Lackaffe“ zeigen diese Tendenz. Die Sensibilität ist nicht nur auf Friedrich Merz beschränkt: Der Grünen-Politiker Robert Habeck ließ die Bezeichnungen „Vollpfosten“ und „Schwachkopf“ verfolgen, auf „Du bist so 1 Pimmel“ gegen den Hamburger SPD-Innensenator Andy Grote löste eine Hausdurchsuchung aus und auch die rechtsradikale Alice Weidel nutzt den Paragrafen munter.

Merz widerspricht Ermittlungen nicht

Die Einschränkungen der Meinungsfreiheit geschehen nicht nur auf Demonstrationen, sondern, wie Ronen Steinke in seinem Buch und einem Gastartikel bei netzpolitik.org beschrieben hat, auch im Internet. Generell scheint es mittlerweile ein Schieflage zu geben, welche die Meinungsfreiheit über das Mittel der Beleidigung und hier speziell den §188 einschränkt und einschüchernde Effekte hat.

Durch Recherchen verschiedener Medien kam schon im vergangenen Jahr heraus, dass Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.

Die Strafanträge sind laut der Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat.

Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, untermauert diese Schätzungen mit fortlaufenden Fallnummern. Zwischen Mai und Dezember des Jahres 2025 sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung des Bundeskanzlers gestellt worden.

Wir sind ein spendenfinanziertes Medium.

Unterstütze auch Du unsere Arbeit mit einer Spende.

Jetzt spenden

Machtgefälle ignoriert

Hier läuft ein Instrument, das Politiker:innen vor Hass und Hetze schützen soll, mittlerweile vollkommen aus dem Ruder. Natürlich müssen sich auch Politiker:innen nicht alles gefallen lassen und bei Bedrohungen hört jeder Spaß auf. Dennoch sollte man bei Beleidigungen auch das Machtgefälle, die Privilegien und die Reichweite der Beteiligten berücksichtigen.

Was sind ein einsamer pensionierter Wüterich im stillen Kämmerlein oder ein 18-jähriger Schüler im Vergleich zum Bundeskanzler? Wer hat hier welche Handlungsoptionen? Und kann es nicht sein, dass viele der heutigen Nutzer:innen gar nicht mehr den Unterschied zwischen dem privaten Raum, der Kneipe, dem Gespräch mit Kollegen – und dem Post auf Bluesky oder Facebook an 128 Follower:innen sehen? Ist diese Öffentlichkeit wirklich gleichwertig, mit der, die ein Spitzenpolitiker herstellen kann?

Das alles sind Fragen, die sich diejenigen stellen sollten, die strafrechtlich gegen Beleidigungen vorgehen.

Der Eifer, den Merz bei der Verfolgung von Beleidigungen zeigt, passt jedenfalls gut in eine Zeit der autoritären Verschiebung, in der sich die Bundesregierung von Rechtsradikalen vor sich hertreiben lässt und selbst die Axt an der demokratischen Zivilgesellschaft ansetzt.

Die verlogenen Freunde der Meinungsfreiheit

Ausgerechnet die rechtsradikale AfD versucht sich nun auf das Thema draufzusetzen und sich als Kämpferin für die Meinungsfreiheit zu inszenieren. Sie fordert die Abschaffung des Paragrafen 188 StGB. Dabei ist klar, dass die Partei selbst immer wieder gegen die Meinungs- und Pressefreiheit vorgeht, indem sie beispielsweise mit Hass und Häme gegen Journalist:innen agiert.

Kritische Berichterstattung zur AfD führt bei verschiedenen Medien regelmäßig dazu, auch in E‑Mails und Leserkommentaren hier bei netzpolitik.org, dass Autor:innen beleidigt, eingeschüchtert und mit dem Tod bedroht werden. Ein Eintreten für die Meinungsfreiheit sieht anders aus und wer rechtsradikale Regierungen im Amt sieht, ob nun in den USA, Polen oder Ungarn, der weiß, dass die Meinungs- und Pressefreiheit von diesen als Erstes attackiert wird.

Die AfD-Position ist dabei heuchlerisch. Die AfD-Vorsitzende Alice Weidel hat selbst hunderte Anzeigen nach dem Paragrafen 188 gestellt, den sie jetzt wieder abschaffen will. Und auch der AfD-Mann Stephan Brandner, der in der gestrigen Bundestagssitzung den Paragrafen heftig kritisierte, ließ mit eben jenem zuletzt einen Rentner verfolgen, der ihn „Schrumpfpimmel“ genannt hatte.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.





Source link

Weiterlesen

Datenschutz & Sicherheit

Ivanti Sentry: Verwirrung um Status von kritischem Befehlsschmuggel-Leck


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Heckmeck um Sicherheitslücken mit Höchstwertung des Risikos in Ivantis Sentry: Die CISA und einige IT-Sicherheitsunternehmen warnen vor laufenden Angriffen. Ivanti wiegelt ab, es handele sich nur um Honeypots.

Weiterlesen nach der Anzeige

Während die CISA die fragliche Lücke in den „Known-Exploited-Vulnerabilities“-Katalog (KEV) aufgenommen hat, hat Ivanti mit einer Aktualisierung der eigenen Sicherheitsmitteilung reagiert. Konkret geht es um eine Schwachstelle in Sentry, durch die Angreifer aus dem Netz ohne vorherige Anmeldung Befehle ins Betriebssystem schmuggeln und damit beliebigen Code mit root-Rechten ausführen können (CVE-2026-10520, CVSS 10.0, Risiko „kritisch“). Eine zweite Sicherheitslücke ermöglicht die Umgehung der Authentifizierung – bösartige Akteure aus dem Netz können ohne vorherige Anmeldung beliebige Administratorkonten erstellen und damit vollen Admin-Zugang erlangen (CVE-2026-10523, CVSS 9.9, Risiko „kritisch“).

Betroffen ist die VPN-ähnliche Sicherheits-Gateway-Lösung in den Versionen 10.5.1, 10.6.1, 10.7.0 und älteren. Die bereitstehenden Aktualisierungen auf die Versionen 10.5.2, 10.6.2 und 10.7.1 bessern die Schwachstellen aus.

Exploit-Code öffentlich verfügbar

Die IT-Sicherheitsforscher der watchTowr Labs haben einen Proof-of-Concept-Exploit veröffentlicht, der den Missbrauch der beiden Lücken demonstriert. Auch Rapid7 schließt in einer eigenen Analyse, dass sie wüssten, dass Angreifer das Produkt wahrscheinlich angreifen werden, da in der Vergangenheit mehrere Sentry-Lücken im CISA-Katalog der missbrauchten Schwachstellen gelandet sind.

Ivanti hat auf die Angriffsmeldungen reagiert. In der Sicherheitsmitteilung steht noch immer, dass Ivanti von keinen Missbrauchsfällen vor der Veröffentlichung der Meldung wüsste. Es gebe keinen öffentlichen Missbrauch der Schwachstelle, weshalb das Unternehmen auch keine Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC) geben könne. Die CISA habe die Lücke in den KEV aufgenommen, da es Berichte über Angriffsversuche auf Honeypots gebe. Zur Einschätzung sei wichtig zu wissen, dass der Missbrauch der Lücke CVE-2026-10520 Zugriff auf den Managementport 8443 benötige. Und Management-Interfaces sollten ohnehin niemals im Internet zugänglich sein, auch wenn Honeypots derartige Fehlkonfigurationen simulieren, um bösartiges Verhalten zu erkennen.

Die Einschätzung dürfte aber bereits überholt sein. Die Shadowserver Foundation teilt auf X mit, dass ihre Scans 19 verwundbare Instanzen entdeckt habe, von denen mindestens zwei bereits mit Backdoors kompromittiert seien. Die IT-Forscher gehen davon aus, dass die anderen Instanzen inzwischen ebenfalls Angreifern zum Opfer gefallen sind.

Admins sollten sich von der Beschwichtigung nicht abhalten lassen, die verfügbaren Updates schnellstmöglich zu installieren.

Weiterlesen nach der Anzeige

Am Donnerstag wurden weitere Sicherheitslücken in Ivantis Endpoint Manager Mobile bekannt. Sie gelten als hohes Risiko, Admins sollten auch hier rasch die Aktualisierungen anwenden.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Angriffswelle auf Arch Linux: Hunderte Paketbeschreibungen mit Malware im AUR


Das Arch User Repository (AUR) sieht sich einer umfangreichen Angriffswelle ausgesetzt. Die Angreifer haben Hunderte verwaiste Paketdefinitionen übernommen, um Malware ergänzt und in neuen Versionen veröffentlicht. Die Arch-Maintainer steuern mit einem Meldeaufruf und einer groß angelegten Lösch-Aktion gegen, um bösartige Updates zu entfernen und von den Angreifern genutzte Accounts zu sperren.

Weiterlesen nach der Anzeige

Das AUR von Arch Linux enthält keine Pakete im engeren Sinne, sondern Beschreibungen, sogenannte PKGBUILDs, mit denen Nutzer die Pakete selbst bauen können. Wenn eine Beschreibung offenbar nicht mehr gewartet wird, können Nutzer dies melden und sie wird nach einer Weile als verwaist markiert. Dann können beliebige Nutzer die Paketbeschreibung „adoptieren“ und ihre Wartung übernehmen.

Diesen Mechanismus nutzten die Angreifer aus: Sie übernahmen solche verwaisten Beschreibungen, ergänzten sie um eine Abhängigkeit für den JavaScript-Paketmanager npm und fügten einen Schritt nach der eigentlichen Software-Installation hinzu, der das npm-Paket „atomic-lockfile“ auf das System brachte. Atomic-Lockfile enthielt wiederum einen Prä-Installationsschritt, den npm befolgte und dabei die im npm-Paket mitgelieferte Datei „deps“ ausführte. Bei deps handelt es sich einer ersten (KI-gestützten) Analyse zufolge um einen Credential-Stealer, eine Malware, die diverse Arten von Zugangsdaten ausliest und an den Angreifer ausleitet. „deps“ kann sich außerdem im System festsetzen, bei ausreichenden Rechten die eigene Präsenz verschleiern und weitere Software nachladen.

AUR-Software wird nicht geprüft

Die Angriffswelle ist ein guter Anlass, darauf hinzuweisen, dass das Arch User Repository keine offizielle Softwarequelle für Arch Linux ist. PKGBUILDs werden vom Arch-Team nicht geprüft. AUR-Nutzer handeln auf eigenes Risiko, wenn sie Software aus dem AUR installieren, und sollten jedes Update selbst prüfen.

Allerdings wird Software aus dem AUR oft mit darauf spezialisierten Programmen installiert, sogenannten AUR-Helpern. Diese Hilfsprogramme automatisieren die mitunter komplizierten Bauschritte (AUR-Software wird oft beim Nutzer aus dem Quellcode kompiliert), sodass Nutzer weder Zeit noch spezielle Kenntnisse zur Installation benötigen. Das ist praktisch, verleitet aber dazu, Updates unbesehen durchzuwinken, weil der AUR-Helper ohnehin alle nötige Arbeit übernimmt oder man die vom Update vorgenommenen Änderungen schlicht nicht versteht.

In der aktuellen Angriffswelle kam hinzu, dass die Änderungen in den PKGBUILDs selbst nur die Inklusion von npm und atomic-lockfile auswiesen. Je nach betroffener Software muss eine Abhängigkeit von npm nicht verdächtig erscheinen. Nutzer benötigen zumindest rudimentäre Kenntnisse der Softwareentwicklung, um npm als deplatziert zu erkennen oder atomic-lockfile nachzuspüren und dort die eigentliche Malware zu entdecken.

Weiterlesen nach der Anzeige

Arch-Nutzer, die sich dergleichen nicht zutrauen, sollten idealerweise keine Software aus dem AUR installieren. Grundsätzlich sollten AUR-Nutzer die zugehörige Mailingliste abonnieren, um Malware-Warnungen mitzubekommen, worauf auch das Arch-Wiki hinweist.


(syt)



Source link

Weiterlesen

Beliebt