Archiv für den Monat: September 2011

Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste

Die anhaltenden Störungen bei Kernel.org als angestammtem Download-Refugium für den Linux-Kernel lassen Maintainer Greg Kroah-Hartman neue Wege gehen.

Kroah-Hartman veröffentlicht das fällige Update schlicht als Patch. Wie er auf der Mailingliste schreibt kann es der Nutzer auf die Quelltext von Kernel 3.0.0 anwenden, ohne sich um die seit Erscheinen der 3.0 erschienenen drei vorangegangenen Patches kümmern zu müssen.

Der Kernel-Hacker hat sich für diese Methode entschieden, weil er immer mehr Anfragen bekomme, wie es denn nun weitergehe mit den Kernel-Updates. Fragen zum Vorgehen und zur Sicherheit des schlicht über die Mailingliste erhaltenen Codes nimmt Kroah-Hartman entgegen.

Den originalen Artikel mit Link von Ulrich Bantle, findet ihr unter Kroah-Hartman stellt Kernel 3.0.4 als Patch auf die Mailingliste von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

MySQL.com verbreitet Windows-Malware

Die Seite MySQL.com ist eine der beliebtesten Open-Source-Seiten im Web. Hacker kaperten die Seite und verbreiteten so Schadsoftware.

Über MySQL wurden Nutzer von Windows-PCs infiziert, bevor das Sicherheitsleck auf der Seite geschlossen wurde. MySQL.com hatte schnell auf die Bedrohung reagiert und die Malware von den Servern wieder entfernt. Erst vor wenigen Wochen wurde mit Linux.org ebenfalls ein Open-Source-Repository von Hackern gekapert.

Allerdings liegen derzeit keine Zahlen vor, wie lange die Webseite von den Hackern kompromittiert war oder wie viele Besucher über MySQL.com infiziert wurden. Schätzungen zufolge, wird über 100.000 Mal täglich auf MySQL.com zugegriffen und im Schnitt sind das bis zu 34.000 Unique User.

Die Verbreitungsraten bei solchen Attacken sind in der Regel recht hoch. Derzeit ist aber auch noch unklar, wie groß die Bedrohung für die infizierten Nutzer ist. Der Chef des Sicherheitsanbieters Armorize Wayne Huang erklärt in einem Blog, dass diese Form der Malware vermutlich sehr schwer zu entfernen ist.

„Wir haben noch keine grundlegende Analyse erstellt, was genau diese Malware macht. Wir wissen, dass es einige der Windows .dll (Dynamic Link Libraries) verändert, vermutlich um die Malware dauerhaft zu installieren und sie ständig aktiv zu halten. Man kann es vermutlich wieder entfernen, aber es ist sicherlich kein trivialer Prozess.“

Inzwischen ist das Sicherheitsloch gestopft, doch eine Zeit lang konnten die Hacker die Besucher der Seite auf eine Seite mit einem BlackHole-Exploit umleiten, die den Browser zwingt, Malware auf dem Rechner zu installieren. Wie es von Armorize heißt: Ohne dass der Nutzer etwas davon merkt.“ Denn der Besucher muss nichts klicken oder installieren. Allerdings können derzeit laut Armorize nur vier von 44 Anbietern von Sicherheitssoftware die Malware auch erkennen.

Brian Krebs von dem Blog Krebs on Security berichtete, dass er vor einigen Tagen in einem russischen Forum ein Angebot gesehen habe, das für 3000 Dollar administrativen Zugriff auf MySQL.com versprach. „Ich glaube, dass es sehr wahrscheinlich ist, dass dieser Angriff speziell mit diesen russischen Foren zusammenhängt“, erklärt daher auch Huang.

Weder von den Verantwortlichen von MySQL.com noch von Oracle liegt derzeit ein Kommentar vor.

Den originalen Artikel mit allen Links und einem Video von Armorize in Englisch von Martin Schindler, findet ihr unter MySQL.com verbreitet Windows-Malware von silicon.de.

Freundliche Grüße
das OSS-Haus Team

Firefox 7 optimiert Speichernutzung

Mozilla hat Firefox 7 für die verschiedenen Plattformen veröffentlicht und gleichzeitig neue Entwicklerwerkzeuge.

Geschwindigkeit ist das Schlagwort, unter dem Mozilla den neuen Firefox 7 vermarktet. Der Browser selbst soll durch schnelleres Öffnen von Tabs und beim Klick auf Menüpunkte schneller reagieren. Die Entwickler haben sich dafür die Speichernutzung der Software vorgeknöpft und dort Verbesserungen eingebracht.

Bei der Nutzung der Funktion Sync zum Synchronisieren von Bookmarks und Passwörtern in verschiedenen Firefox-Instanzen soll der Abgleich nun fast nahtlos erfolgen. Das Websocket-Protokoll ist im Firefox nun von Version 7 auf Version 8 geklettert.

Ein Update hat auch die Engine der Hardware-beschleunigten HTML-Erweiterung Canvas erfahren, was HTML-5-Animationen und Spielen unter Windows helfen soll. Entwickler von Webseiten sollen davon ebenfalls profitieren. Unterstützung für das API W3C Navigation Timing Spec im Firefox dient Entwicklern zudem zur Messung diverser Faktoren beim Laden von Websites.

Mozilla hat außerdem mit Telemetry einen neuen Dienst eingerichtet, über den geneigte Nutzer Informationen zur Browser-Leistung an die Entwickler schicken können. Dies geschehe anonym und gemäß den Mozilla-Privacy-Prinzipien, heißt es. Die Release Notes zählen weitere Neuerungen auf. Es liegt auch eine komplette Liste der Änderungen und Bugfixes vor.

Den originalen Artikel mit allen Links von Ulrich Bantle, findet ihr unter Firefox 7 optimiert Speichernutzung von Linux-Magazin.

Freundliche Grüße
das OSS-Haus Team

Die Document Foundation feiert ihren ersten Geburtstag

LibreOffice mit IDG InfoWorld BOSSIE Awards 2011 und OWF Experiment Awards 2011 als beste Open-Source-Software ausgezeichnet.

28. September 2011 – Die Document Foundation (TDF) feiert heute, genau ein Jahr nach Gründung des Projekts und der Veröffentlichung der ersten LibreOffice-Betaversion, ihren ersten Geburtstag. „Was wir in gerade mal zwölf Monaten erreicht haben, ist einfach bemerkenswert,“ sagt Charles Schulz, Mitglied des Steering Committees. „Die Foundation zählt mittlerweile 136 registrierte Mitglieder. Zum Projekt tragen sogar mehr als 270 Entwickler sowie genauso viele Übersetzer regelmäßig bei – und täglich werden es mehr. Über 15.000 Abonnenten diskutieren auf unseren mehr als 100 internationalen Mailinglisten, und gut die Hälfte von ihnen verfolgt unsere Announce-Mailingliste. Zudem gab es weltweit tausende von Presseberichten.“

LibreOffice ist das Ergebnis der vereinten Aktivität von 330 Entwicklern – einschließlich der ehemaligen OpenOffice.org-Enwickler –, die gemeinsam mehr als 25.000 Commits beigetragen haben. Die Entwicklergemeinschaft ist dabei ausgewogen und besteht aus Mitarbeitern der beitragenden Unternehmen sowie aus Ehrenamtlichen der Community: Von SUSE-Mitarbeitern und ehrenamtlichen Projektmitgliedern stammen jeweils ca. 25% der Commits, weitere 20% kommen von RedHat und weitere 20% entstammen der OpenOffice.org-Codebasis. Weitere Beiträge stammen von Canonical, Bobiciel, CodeThink, Lanedo, SIL, Tata Consultancy Services und zahlreichen anderen.

Das Ergebnis dieser Arbeit ist bereits deutlich sichtbar. LibreOffice bietet aus der Reihe der Erben der früheren StarOffice-Codebasis dem Anwender am meisten – es ist schneller, stabiler und hat deutlich mehr Funktionen als alle seine Vorgänger. InfoWorld attestiert, dass die neuesten Funktionen zeigen, wie viel mehr Aufmerksamkeit auf Performance-Verbesserung und Entwicklung als Business-Tool gelegt wurde, anstatt sich auf pure Oberflächlichkeiten und Effekthaschereien zu konzentrieren.

„Dank einer sehr einladenden und offenen Einstellung neuen Projektmitgliedern gegenüber, der Copyleft-Lizenz und der Tatsache, dass es keines Copyright-Assignments bedarf, hat die Document Foundation schon jetzt mehr Entwickler für sich begeistern können, als das OpenOffice.org-Projekt in einem gesamten Jahrzehnt“, so Norbert Thiebaud, ein Entwickler der ersten Stunde, der bereits am 28. September 2010 auf den LibreOffice-Zug aufgesprungen und nun ein Mitglied des Engineering Steering Committee der TDF ist.

Die Downloads seit dem 25. Januar 2011, dem Tag der Veröffentlichung der ersten stabilen Version, haben gerade die Marke von 6 Millionen überschritten und werden von 81 Mirror-Servern auf der ganzen Welt angeboten. Zählt man externe Downloadquellen wie Softpedia hinzu, sind es sogar 7,5 Millionen Downloads. Zudem gibt es unzählige Benutzer, die LibreOffice von CD installieren oder es als Zeitschriftenbeilage erhalten. Die Document Foundation schätzt, dass es weltweit 10 Millionen Benutzer gibt, die LibreOffice als Download oder per CD installiert haben, wovon 90% Windows und weitere 5% Mac OS X benutzen.

Linux-Benutzer bekommen im Gegensatz dazu LibreOffice in der Regel direkt aus dem Repository ihrer Distribution. Basierend auf den IDC-Berechnungen neuer oder aktualisierter Linux-Installationen in 2011, geht die TDF von insgesamt 15 Millionen Anwendern auf dieser Plattform aus, da LibreOffice die bevorzugte Office-Suite aller Distributionen ist.

Insgesamt geht die TDF also von ungefähr 25 Millionen LibreOffice-Benutzern weltweit aus, was den Erwartungen von 200 Millionen Anwendern bis zum Ende dieses Jahrzehnts voll und ganz entspricht.

„Als sich die OpenOffice.org-Community zum Schritt in ein unabhängiges, Community-gesteuertes Projekt entschloss, war ich begeistert. Die beste Art, den Erfolg zu gewährleisten, war selbst aktiv mitzuwirken und gleich vom ersten Tag an wollte ich ein Teil des Teams sein. Ich arbeite an der Dokumentation und der Webseite, betreibe eine Alfresco-Plattform für das Projekt, und engagiere mich im Marketing. LibreOffice ist wahrhaftig ein lebendes, vitales und aktives Projekt, und wir alle sind Teil dieser Erfolgsgeschichte“, sagt David Nelson, ein weiterer Ehrenamtlicher der ersten Stunde, der aufgrund seiner Beiträge als Mitglied der TDF aufgenommen wurde.

Die Community wird sich vom 12. bis 15. Oktober 2011 in Paris zur ersten LibreOffice-Conference versammeln. Interessierte sollten sich hier registrieren.

LibreOffice kann von LibreOffice.org heruntergeladen werden.

EIN HINWEIS FÜR JOURNALISTEN: Würde die TDF dieselbe Zählweise zugrunde legen wie das OpenOffice.org-Projekt, läge die Zahl der Downloads bei mehr als 22 Millionen.

*** Medienkontakte

Florian Effenberger (nähe München, Deutschland, UTC+1)
Telefon: +49 8341 99660880 – Mobil: +49 151 14424108
E-mail: floeff@documentfoundation.org – Skype: floeff

Olivier Hallot (Rio de Janeiro, Brazilien, UTC-3)
Mobil: +55 21 88228812 – E-mail: olivier.hallot@documentfoundation.org

Charles H. Schulz (Paris, Frankreich, UTC+1)
Mobil: +33 6 98655424 – E-mail: charles.schulz@documentfoundation.org

Italo Vignoli (Mailand, Italien, UTC+1)
SIP-Telefon: +39 02 320621813 – Mobil: +39 348 5653829
E-mail: italo.vignoli@documentfoundation.org – Skype: italovignoli
GTalk: italo.vignoli@gmail.com

Diese Informationen stammen aus einer Mail von Florian Effenberger, Document Foundation.

Freundliche Grüße
das OSS-Haus Team

Vorwurf: Windows-8-Feature behindert Linux

Microsoft bemüht sich um Klarheit um Secure Boot, das andere Betriebssysteme wie Linux auf PCs verhindern soll.

In einem Beitrag für den Blog „Building Windows 8“ erklärt der Microsoft-Mann Tony Mangefeste, wie das Feature Secure Boot den PC gegen so genannte Boot Loader Attacks schützen soll. Das ist Schadsoftware, die einen PC infiziert, bevor das Betriebssystem gestartet ist.

Secure Boot ist ein Feature des Unified Extensible Firmware Interface (UEFI), einer neuen Boot-Umgebung, die den traditionellen BIOS-Prozess ablösen soll. Und Windows 8 wird den Modus Secure Boot in UEFI nutzen, um das Betriebssystem schon vor dem Hochfahren vor Gefahren zu schützen. Der Linux-Entwickler Matthew Garret von Red Hat, kritisiert jedoch, dass die Sicherheitszertifikate, die Microsoft dafür verwendet, lediglich Microsoft-Betriebssysteme unterstützten werden.

„Ein System, das nur mit OEM- (Original Equipment Manufacturer) und Microsoft-Keys ausgeliefert wird, wird kein Linux booten“, so Garret in einem Blog. Das könnte sich jedoch auch auf die Installation neuer Hardware-Komponenten auswirken, erklärt Garret, denn auch diese müssten ebenfalls gegenüber der EFI-Umgebung authentifiziert werden. Eine neue Grafikkarte ohne entsprechendem Key würde von der Firmware keinen Grafik-Support bekommen.

Mangefeste bemüht sich jetzt um Schadensbegrenzung. Anwender hätten die Möglichkeit, Secure Boot zu deaktivieren und die Zertifikate zu verwalten, wenn sie andere Systeme im Dual-Boot-Modus betreiben oder die Hardware-Konfiguration verändern wollen. Microsoft unterstütze demnach die OEMs dabei, flexibel zu entscheiden, wer die Sicherheitszertifikate verwaltet und auch wie diese Zertifikate importiert und verwaltet werden. „Wir glauben, dass es wichtig ist, den OEMs diese Flexibilität zu geben und auch unseren Anwendern die Entscheidung zu überlassen, wie sie ihre Systeme verwalten wollen“, so Mangefeste.

Demnach könnten Nutzer, die „ältere Betriebssysteme“ verwenden wollen, Secure Boot deaktivieren oder auch die Zertifikate modifizieren. Microsoft würde also nicht festlegen, dass auch andere Betriebssysteme Secure Boot verwenden müssen.

Diese Einlassung bringt jedoch wiederum Garret auf den Plan, der diese Schilderung korrekt aber missverständlich nennt. Weil Microsoft mit den OEMs zusammenarbeite, könne Microsoft von den Herstellern verlangen, dass sie Zertifikate für Windows mitliefern, was andere Anbieter von Betriebssystemen wie etwa Red Hat nicht könnten. Damit wäre ein Nutzer nicht in der Lage, einen Secure Boot auf einem Nicht-Microsoft-System durchzuführen: „Die Wahrheit ist, dass Microsoft die Kontrolle vom Endnutzer wegnimmt und sie in die Hände von Microsoft und den Hardware-Herstellern legt.“ Es würde dadurch schwerer, ein anderes Betriebssystem als Windows zu verwenden. „UEFI Secure Boot ist ein wertvolles und wichtiges Feature, das Microsoft missbraucht, um eine bessere Kontrolle über den Markt zu gewinnen.

Den originalen Artikel mit Links von Martin Schindler, findet ihr unter Vorwurf: Windows-8-Feature behindert Linux von silicon.de.

Freundliche Grüße
das OSS-Haus Team