Mit IPFire 2.29 – Core Update 202 schließt das Team der freien Firewall-Distribution mehrere Sicherheitslücken im Linux-Kernel, aktualisiert OpenVPN auf Version 2.7 und liefert zahlreiche weitere Sicherheits- und Paketupdates.

Kernel-Lücken Dirty Frag und Copy Fail

Im Zentrum steht ein Rebase auf Linux 6.18.32. Damit behebt IPFire unter anderem die kürzlich bekannt gewordenen Lücken Dirty Frag (CVE-2026-43284) und Copy Fail (CVE-2026-31431). Beide erlauben lokalen Nutzern eine Rechteausweitung bis hin zu root. Dirty Frag steckt im ESP/IPsec-Code des Kernels. Encapsulating Security Payload (ESP) ist ein zentraler Baustein vieler IPsec-VPNs. Über die Lücke können sich unprivilegierte lokale Nutzer unter bestimmten Bedingungen höhere Rechte verschaffen.

Copy Fail betrifft das Krypto-Subsystem rund um AF_ALG und das Modul algif_aead. AF_ALG bietet Anwendungen direkten Zugriff auf kryptografische Funktionen des Kernels. Verwundbar sind potenziell alle Linux-Distributionen mit Kerneln seit 2017.

Das Projekt ordnet die praktische Angriffsfläche auf typischen IPFire-Systemen allerdings als gering ein: Beide Lücken setzen lokalen Zugriff mit einem unprivilegierten Konto voraus, und IPFire richtet standardmäßig keine regulären Shell-Zugänge für normale Nutzer ein. Dennoch verweisen die Entwickler auf das Prinzip „Defence in Depth“ und raten unabhängig von der konkreten Ausnutzbarkeit zum Update.

OpenVPN 2.7 beschleunigt VPN-Tunnel

Die wichtigste funktionale Neuerung ist OpenVPN 2.7 mit Unterstützung für Data Channel Offloading (DCO) – dank besserer Nutzung der Hardware-Kryptobeschleunigung sinkt dabei auch die CPU-Last. Dabei wandert die Ver- und Entschlüsselung des Nutzdatenverkehrs vom Userspace in den Kernel. Bisher musste der OpenVPN-Daemon jedes Paket selbst verarbeiten. Durch die Kernel-Integration soll DCO den VPN-Durchsatz deutlich erhöhen und gleichzeitig CPU-Last und Jitter senken. In eigenen Tests stieg der Durchsatz pro Tunnel laut IPFire von rund 1 GBit/s auf bis zu 10 GBit/s.

Außerdem behebt das Update eine Schwachstelle in glibc bei der Verarbeitung manipulierter DNS-Antworten. Betroffen sind die Funktionen gethostbyaddr und gethostbyaddr_r für Reverse-DNS-Abfragen. Angreifer könnten darüber gefälschte Hostnamen einschleusen (GLIBC-SA-2026-0005). Aktualisiert haben die Entwickler darüber hinaus zentrale Komponenten wie OpenSSL 3.6.2, OpenSSH 10.3p1, Suricata 8.0.5, strongSwan 6.0.6, BIND 9.20.22 und Unbound 1.25.1. Alle Details zum Core Update 202 stehen in den Release Notes auf der Projektwebseite.

(fo)

Für 250 Millionen Euro sollen deutsche Konzerne IT-Infrastruktur für die öffentliche Verwaltung aufbauen. Im Mittelpunkt steht eine „KI-Cloud“. Das sind Server, auf denen KI-Software laufen soll.

Damit setzt Digitalminister Karsten Wildberger (CDU) seinen KI-freundlichen Kurs fort. Zuletzt hatte er den Agentic AI Hub gestartet. Sogenannte KI-Agenten sollen Beamt*innen zum Beispiel dabei helfen, Dokumente auf Vollständigkeit zu prüfen. Im Gegensatz zu Sprachmodellen wie ChatGPT geben KI-Agenten nicht nur Antworten, sondern erfüllen Aufgaben mit digitalen Werkzeugen.

Die neue „KI-Cloud“ soll nun „zur zentralen Schaltstelle für die öffentliche Verwaltung werden“, erklärt das Digitalministerium. Zunächst soll die KI-Plattform KIPITZ dorthin umziehen. Die Cloud sei das „Rückgrat einer souveränen, digitalen und KI-fähigen Verwaltung“, sagt der Digitalminister. Die dafür veranschlagten 250 Millionen Euro will sein Ministerium an zwei Konsortien verteilen: 70 Prozent erhalten die Telekom-Tochter T‑Systems und SAP 70 Prozent; weitere 30 Prozent ein Konsortium um den Wiesbadener IT-Dienstleister SVA.

Wie die Deutsche Presse-Agentur berichtet, sei der Auftrag „bewusst zweigeteilt“ worden, um die Abhängigkeit von nur einem Anbieter zu umgehen. Wildberger sprach von einer „Infrastruktur, die wir selbst kontrollieren“. Telekom-Chef Tim Höttges sagte: „Zusammen sorgen wir dafür, dass Deutschland und Europa die digitale Zukunft selbst in der Hand haben.“ Das soll unter anderem mit SAPs „Business AI Platform“ geschehen. SAP-Chef Christian Klein zeigte sich zufrieden, dass seine KI-Cloud „Teil des Deutschland-Stacks“ werden soll.

Bund zahlt hunderte Millionen für Lizenzen

SAP profitiert bereits in großem Stil von Steuergeldern: Allein im Haushaltsjahr 2025 überwies der Bund an das deutsche Softwareunternehmen 110 Millionen Euro für Lizenzen und weitere 71 Millionen Euro für Produkte und Dienstleistungen. Das zeigt die Antwort der Bundesregierung auf eine Schriftliche Frage von Sonja Lemke von der Linksfraktion, die netzpolitik.org vorliegt.

Zum Vergleich: Im selben Jahr hat der Bund 481 Millionen Euro für Microsoft-Lizenzen ausgegeben. Die Kosten sind im Vergleich zu den beiden Vorjahren stetig gestiegen: 2023 waren es noch rund 274 Millionen Euro, ein Jahr später bereits rund 348 Millionen.

Nicht nur Lizenzen großer US-Unternehmen sind „ein wahnsinniger Kostenfaktor“, kommentiert die Abgeordnete gegenüber netzpolitik.org.

Warnung vor Lock-in-Effekt

Die Projekte aus dem Digitalministerium zeigen: Künftig könnte vermehrt Geld an deutsche oder europäische Konzerne fließen. Das entspricht dem Tenor aus dem Gipfel zur europäischen digitalen Souveränität im November: „buy european“, kauft in Europa ein. Kritik daran gibt es von der Opposition und von Fachleuten. Sie warnen vor neuen Abhängigkeiten durch andere Konzerne.

So kritisiert Linken-Abgeordnete Lemke: US-Konzerne hätten kein Patent darauf, Kunden von sich abhängig zu machen. Sie warnt vor dem Lock-in-Effekt – also davor, dass die Verwaltung von einem einmal gewählten Anbieter nicht mehr loskommt. Dieser Effekt richtet sich nicht danach, wo ein Unternehmen sitzt, sondern danach, wie das IT-Produkt gestaltet ist. „Wer einmal SAP nutzt, kann die eigenen Daten nicht mehr einfach zu einem anderen Anbieter umziehen“, warnt Lemke.

Deshalb fordert sie ein Umdenken: „Digitalisierung muss endlich heißen, eigene Infrastrukturen aufzubauen.“ Dafür brauche es eigene Rechenzentren sowie eigene Betriebssysteme und Software, über die die öffentliche Hand selbst verfügen kann. Die Verwaltung brauche mehr IT-Kompetenz, um weniger von externen Beraterfirmen abhängig zu sein.

Ähnlich argumentiert die Free Software Foundation Europe. Mit Blick auf die Debatte um digitale Souveränität in Deutschland pocht der gemeinnützige Verein auf das Credo „Public Money, Public Code“.

Dahinter steht der Gedanke: Wenn Bürger*innen mit ihren Steuern eine Software zahlen, dann sollte sie allen gehören und öffentlich einsehbar sein. „Nur so lässt sich die strukturelle Abhängigkeit öffentlicher Verwaltungen von proprietärer Software und ihren Herstellern beenden und technologische Souveränität erreichen.“

Weil mehrere Komponenten von Drittanbietern in IBMs QRadar SIEM Softwareschwachstellen aufweisen, können Angreifer die IT-Sicherheitslösung attackieren. Nun ist eine Ausgabe mit Sicherheitspatches erschienen.

Instanzen vor möglichen Attacken schützen

In einer Warnmeldung versichern die Entwickler, die Sicherheitsprobleme in IBMs QRadar SIEM 7.5.0 UP15 IF03 gelöst zu haben. Insgesamt haben sie der Meldung zufolge Updates für 29 Lücken in Komponenten wie dem Linux-Kernel, OpenSSH und Vim implementiert.

Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. An diesen Stellen können Angreifer unter anderem für Schadcode-Attacken (etwa in libarchive CVE-2026-5121 „hoch“) ansetzen.

Aus IBMs Warnmeldung geht nicht hervor, ob Angreifer die Schwachstellen bereits ausnutzen. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)