Connect with us

Datenschutz & Sicherheit

IoT-Linux Ubuntu Core Version 26 liefert 15 Jahre Updates


Das immutable Linux-System Ubuntu Core für Internet-of-Things- (IoT) und Edge-Geräte ist in Version 26 erschienen. Canonical hebt „präzise“ Linux-Builds, optimierte OTA-Updates, Live-Kernel-Patching, Hardware-unterstützten Schutz sowie bis zu 15 Jahre Sicherheitsupdates hervor.

Weiterlesen nach der Anzeige

In einem Blog-Beitrag kündigt Canonical die aktualisierte Distribution an. Die Verbesserungen des minimalen Betriebssystems prädestinieren es demnach für KI-Anwendungen mit niedriger Latenz, für missionskritische Einsätze. Dafür seien reduzierte Installationszeiten, die Reduzierung der OTA-Update-Größe um 90 Prozent und „präzise“ Builds mittels Chisel verantwortlich. Der Fokus bleibt auf Sicherheit, jede Komponente läuft in der Sandbox, die Snaps sind kryptografisch signiert und die „measured Boot-chain“ erlaubt, nur verifizierte Software zu starten.

Das Long-Term-Support-Release (LTS) hilft zudem, dem Cyber Resilience Act (CRA) der EU Rechnung zu tragen. Für Betreiber kritischer Infrastrukturen will Ubuntu Core 26 die Kosten etwa für Softwareupdates und Wartungs- sowie Installationszeiten reduzieren. Die Over-the-Air-Updates (OTA) fallen deutlich kleiner aus, da das verbesserte Delta-Format für Snap die Größe für die Snaps um 50 bis 90 Prozent reduziert. Die Updates der Core-Snaps sollen anstatt 16 MByte nur noch 1,5 MByte umfassen. Die Installationen setzen auf initramfs, was redundante Neustarts umgehen soll.

Das Chisel-Build-System von Ubuntu bringt eine präzise Zusammensetzung für die Core-Snaps. Es erzwingt etwa explizite und nachverfolgbare Abhängigkeiten. Dadurch lasse sich jede Datei im System zu ihrem Ursprung zurückverfolgen. Das soll Integritätsprüfungen und Schwachstellenanalyse verbessern. Als Abgrenzung nennt Canonical Builds mit Yocto – dort sind Herkunft und Abhängigkeiten größtenteils lediglich implizit angegeben. Chisel sorgt zudem für eine Reduktion der Größe des Basis-Images um sieben Prozent.

Ubuntu Core setzt auf Full Disk Encryption und speichert Schlüssel mit den LUKS2-Headern im TPM. Auch Arm-Trusted-Execution-Environments (TEE) werden unterstützt. Die Verbesserungen bezüglich Sicherheit aus Ubuntu 26.04 ziehen auch in Ubuntu Core 26 ein. Etwa Livepatch bringt das Anwenden von Sicherheitspatches im Kernel ohne Neustart nun auch auf ARM64-Architekturen. Sogar rückwirkend offiziell ab Core 20. Canonical verspricht „Zero-Downtime“.

Die Ankündigung im Blogbeitrag nennt noch weitere nützliche Funktionen für die Verwaltung in größeren Netzen. Zuletzt brachte Ubuntu Core 24 größere Änderungen am IoT-Betriebssystem.

Weiterlesen nach der Anzeige


(dmk)



Source link

Datenschutz & Sicherheit

Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als „kritisch“ bezeichnet.

Weiterlesen nach der Anzeige

Die betreffende, bislang nicht mit einer CVE-ID bezeichnete Lücke könnte demnach von Angreifern missbraucht werden, um speziell präparierte E-Mails zu verschicken. In ZCS-Versionen vor 10.1.19 könnte darin enthaltener, schädlicher Programmcode möglicherweise bereits beim Öffnen der betreffenden Mail zur Ausführung kommen.

Wie das Zimbra-Team etwas vage ausführt, könnten sich Angreifer auf diesem Wege unbefugten Zugriff auf Mailbox-, Session- oder Account-Informationen verschaffen. Wie aus den separat veröffentlichten Release-Notes zu 10.1.19 hervorgeht, handelt es sich technisch wohl um einen Stored-Cross-Site-Scripting-Angriff.

Admins tun auch dann gut daran, die ZCS auf den neuesten Stand zu bringen, wenn der Classic Web Client im Unternehmen nicht zum Einsatz kommt. Erst vor wenigen Monaten hat die US-Sicherheitsbehörde vor aktiven Angriffen auf die Collaboration Suite gewarnt. Auch damals hatten die Übeltäter eine Cross-Site-Scripting-Lücke im Visier. Im Hinblick auf den aktuellen Lückenfund bislang zwar keine Exploitversuche bekannt; dennoch ist es ratsam, zeitnah zu handeln.

Endanwender verwundbarer ZCS-Versionen sollten derweil auf die Nutzung des Classic Client verzichten und alternativ etwa auf den Modern Client umschwenken, bis das Update eingespielt wurde.

Upgrade-Anleitungen, je nach Ausgangsversion, sind den Release Notes zu entnehmen.

//Update 07.07.26, 14:52: Anriss und Text nach Leserfeedback angepasst (Update-Verantwortung liegt bei den Admins).

Weiterlesen nach der Anzeige


(ovw)



Source link

Weiterlesen

Datenschutz & Sicherheit

Widerstand gegen Beseitigung der Informationsfreiheit: „Keine lästige Pflicht, sondern historische Errungenschaft“


Die Idee der Koalition aus CDU, CSU und SPD, den gesetzlichen Anspruch auf Informationsfreiheit in großem Maße zurückzufahren, stößt weiter auf starken Widerstand: Heute taten sich mehr als hundert Organisationen zusammen, um in einem offenen Brief dagegen zu protestieren. Die Informationsfreiheit dürfe nicht in so drastischem Maße beschränkt werden. Sie weisen auf den Umstand hin, dass gerade auch Skandale von Koalitionspolitikern mit Hilfe des Informationsfreiheitsgesetzes (IFG) rausgekommen seien.

Eine Petition mit derzeit 370.000 Unterzeichnern, die sich explizit an die Sozialdemokraten richtet, fordert von der SPD-Fraktion im Bundestag: SPD, stoppt den Frontalangriff auf die Informationsfreiheit! Die Informationsfreiheit müsse bewahrt werden.

Lars Klingbeil, SPD-Chef und Vizekanzler, erklärte auf Nachfrage gestern in der Bundespressekonferenz nur, es gäbe „Schwachpunkte“ beim IFG. Das hätte die Regierung festgestellt. Er halte das Vorhaben aber für „vertretbar“, man wolle das IFG „reformieren und weiterentwickeln“.

Diese Haltung verwundert, denn in der vergangenen Legislaturperiode wollte die SPD in der Ampel-Koalition noch ein Bundestransparenzgesetz einführen. Es sollte die Informationsfreiheit erheblich ausbauen und Behörden dazu verpflichten, von sich aus Informationen freizugeben anstatt bei IFG-Anfragen nur zu reagieren.

„Keine lästige Pflicht der Verwaltung“

Der Begriff Informationsfreiheit beschreibt das Recht auf Zugang zu amtlichen Informationen. Schwarz-Schwarz-Rot preist diese staatliche Transparenz nicht mal mehr in Sonntagsreden, sondern plant unter dem Motto des „Bürokratierückbaus“ die faktische Abschaffung des Informationsfreiheitsgesetzes. An staatliche Informationen zu gelangen, würde dann erheblich erschwert oder gar nicht mehr möglich sein. Auch die Gebühren für die wenigen Anfragen, die noch zugelassen wären, sollen explodieren.

Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz

Gestern kritisierten auch die Informationsfreiheitsbeauftragten von Bund und Ländern die Pläne: Informationsfreiheit sei „keine lästige Pflicht der Verwaltung, sondern eine historische Errungenschaft in Europa für mehr Transparenz staatlichen Handelns“.

Sie wehrten sich auch gegen die Begründung des Vorhabens: Neben dem „Bürokratierückbau“ war für die Unterminierung der Informationsfreiheitsrechte auch mit der staatlichen Resilienz argumentiert worden. Dem besonderen Schutzbedarf bestimmter Bereiche wie kritischer Infrastrukturen, aber auch „der Spionageabwehr, der Terrorismusbekämpfung oder auch der wissenschaftlichen Forschung“ wolle man stärker Rechnung tragen, schrieben die Koalitionäre.

Dieses Argument sei jedoch nur vorgeschoben, erklärten die Informationsfreiheitsbeauftragten. Das Auskunftsrecht biete nämlich bereits einen umfassenden Schutz für Sicherheitsinteressen.

Pressefreiheit bedroht

Der heute veröffentlichte offene Protestbrief richtet sich an die Bundesregierung, das Bundesinnenministerium und die Bundestagsabgeordneten im Innenausschuss. Die Unterzeichner, darunter Amnesty International, Greenpeace, LobbyControl, Wikimedia Deutschland, der Chaos Computer Club, der Naturschutzbund Deutschland (NABU), abgeordnetenwatch, FragDenStaat, die Deutsche Journalistinnen- und Journalisten-Union (dju), Reporter ohne Grenzen, der Deutsche Journalisten-Verband und Zeitungen wie der Freitag und die taz, kritisieren das rückwärtsgewandte Staatsverständnis der Koalition. Sie bezeichnen die geplanten Änderungen am Informationsfreiheitsgesetz als einen „massiven Rückschritt für die gesellschaftlichen Freiheitsrechte“. Das Vorhaben sei alarmierend.

Besonders hart käme es für Journalisten und die Pressefreiheit, so die Unterzeichner:

Das IFG ermöglicht seit 20 Jahren, dass Korruption und Machtmissbrauch konsequent aufgedeckt werden. Sollten die geplanten Anpassungen von Ihnen umgesetzt werden, so wäre das nicht nur das Aus für einen Großteil der IFG-Anträge, sondern auch ein fataler Einschnitt in die Pressefreiheit in Deutschland.

Die Ideen entsprächen auch nicht dem Willen der Mehrheit der Menschen: „Ein Großteil der Bevölkerung (83 %) wünscht sich […] mehr proaktive Transparenz und Informationsfreiheit der Behörden.“


Offenlegung: Die Autorin ist ehrenamtlich Sprecherin des Chaos Computer Clubs, der zu den Unterzeichnern des offenen Briefes gehört. Als solche, aber auch als langjährige IFG-Nutzerin, als Autorin und Publizistin stehe ich vollumfänglich hinter dem Anliegen des Briefes.



Source link

Weiterlesen

Datenschutz & Sicherheit

OpenSSH bringt erstmals hybride Post-Quantum-Signaturen


Mit OpenSSH 10.4 ist eine neue Version der weitverbreiteten SSH-Implementierung erschienen. Im Mittelpunkt stehen mehrere Sicherheitskorrekturen für SSH-, SCP- und SFTP-Komponenten sowie Protokollverschärfungen, die Angriffsflächen verkleinern sollen. Ferner führt das Projekt erstmals experimentelle Unterstützung für ein hybrides Post-Quantum-Signaturverfahren ein.

Weiterlesen nach der Anzeige

OpenSSH ist die Referenzimplementierung des SSH-Protokolls. Sie gehört auf Linux- und BSD-Systemen sowie vielen weiteren Unix-ähnlichen Plattformen zur Standardausstattung.

Ein Schwerpunkt der neuen Version liegt auf der Behebung mehrerer sicherheitsrelevanter Fehler. So konnte ein bösartiger SFTP-Server Downloads unter bestimmten Umständen an einen anderen Speicherort als den vorgesehenen umleiten. Auch beim Kopieren von Dateien zwischen zwei entfernten Systemen mit scp verhindert OpenSSH 10.4 nun, dass ein manipulierter Server Dateien außerhalb des vorgesehenen Zielverzeichnisses ablegt. Zudem behebt OpenSSH 10.4 einen Fehler im internen SFTP-Server (internal-sftp, nicht der Standard): Bei langen Kommandozeilen wurden Argumente ab der zehnten Position still verworfen – sicherheitsrelevante Optionen an diesen Stellen wurden damit ignoriert.

Weitere Korrekturen betreffen den SSH-Server sshd. Die Entwickler schließen unter anderem eine potenzielle Denial-of-Service-Schwachstelle vor der Authentifizierung, sofern GSSAPI-Authentifizierung aktiviert ist (sie ist standardmäßig deaktiviert). Außerdem beseitigt die Version Fehler bei der Durchsetzung von Authentifizierungsverzögerungen und korrigiert eine Konstellation, in der DisableForwarding=yes Tunnelverbindungen entgegen der Dokumentation nicht zuverlässig unterband.

Auch der SSH-Client erhält Sicherheitskorrekturen. Unter anderem wurde ein möglicher Use-after-free-Fehler während eines Schlüsselaustauschs beseitigt, falls ein Server seinen Hostschlüssel während einer erneuten Schlüsselvereinbarung wechselt.

OpenSSH 10.4 verschärft außerdem das Verhalten während eines sogenannten Key-Reexchange. Dabei handeln Client und Server während einer bestehenden Verbindung neue Sitzungsschlüssel aus, etwa um kryptografisches Material regelmäßig zu erneuern. Sendet eine Gegenstelle während dieses Vorgangs unerlaubte Protokollnachrichten, trennt OpenSSH die Verbindung künftig sofort. Bislang wurden solche Nachrichten gepuffert, was zu sinnlos belegtem Speicher führen konnte.

Weiterlesen nach der Anzeige

Diese strengere Umsetzung orientiert sich an den Vorgaben des SSH-Protokolls. Allerdings weisen die Entwickler darauf hin, dass ältere oder nicht RFC-konforme Implementierungen dadurch unter Umständen die Verbindung verlieren.

Darüber hinaus ersetzt OpenSSH den bisherigen Wildcard-Matcher durch eine Implementierung auf Basis eines nicht deterministischen endlichen Automaten (NFA). Damit vermeiden die Entwickler exponentielle Laufzeiten bei bestimmten Suchmustern und verbessern die Robustheit gegenüber ungünstigen Eingaben.

Als wichtigste funktionale Neuerung führt OpenSSH die experimentelle Unterstützung für ein kombiniertes Signaturverfahren aus ML-DSA-44 und Ed25519 ein. Der hybride Ansatz soll sowohl gegen klassische als auch gegen zukünftige Angriffe durch Quantencomputer absichern. Solche Kombinationen sind eine Übergangslösung, solange Post-Quantum-Verfahren noch schrittweise eingeführt und standardisiert werden.

Standardmäßig bleibt die Funktion deaktiviert. Administratoren müssen sie explizit über die Konfiguration aktivieren, etwa für HostKeyAlgorithms oder PubkeyAcceptedAlgorithms. Neue Schlüssel lassen sich mit ssh-keygen -t mldsa44-ed25519 erzeugen.

Die Entwickler weisen zudem auf einige potenziell inkompatible Änderungen hin. So gibt sshd -G Konfigurationsdirektiven künftig wieder mit gemischter Groß- und Kleinschreibung aus, etwa PubkeyAuthentication statt ausschließlich Kleinbuchstaben. Skripte, die die bisherige Ausgabe auswerten, müssen Nutzer gegebenenfalls anpassen.

Unter Linux behandelt OpenSSH Fehler beim Aktivieren der Sicherheitsmechanismen SECCOMP und NO_NEW_PRIVS nun als schwerwiegend. Der Server startet in diesem Fall nicht mehr, sondern bricht ab. Systeme ohne diese Funktionen sollen stattdessen bereits beim Kompilieren ohne Sandbox-Unterstützung gebaut werden.

Daneben enthält OpenSSH 10.4 zahlreiche Fehlerkorrekturen und interne Verbesserungen, unter anderem für FIDO-Token, ssh-agent, die Konfigurationsverarbeitung des SSH-Servers sowie verschiedene kryptografische Routinen. Laut Release Notes sollen diese Änderungen vor allem Stabilität und Wartbarkeit verbessern.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Beliebt