Linux am Dienstag: Programmplan 20.4.2021

Linux am Dienstag – Programmplan für den 20.4.2021:

Desktop: „Gnome 40 – Es wird langsam“

Ein Blick den aktuellen Gnome 40 Desktop. Möglicherweise ist er eine Sackgasse. Schaut selbst mal mit rein.

„Speedtests von Webseiten u.a. mit `curl´“

Curl kann viel mehr, als nur Inhalte von Webseiten downloaden.

ApacheBenchmark – Ein uraltes Programm, daß immer noch aktuelle Ergebnisse liefert.

LiveEvent : „Auf, auf Banditen!“

Wir dringen in einen fremden Rechner ein und erbeuten die Passwörter. Grundlagen von Linux werden spielerisch vermittelt. Natürlich muß man sich selbst rein hängen, aber das ist leichter als man glaubt.

Wir spielen die ersten 5 Level vom OverTheWire Spiel „Bandit“ gemeinsam durch und geben den nächsten Level dann immer als Hausaufgabe mit. In den Fortgeschrittenen Kursen gibt es dann Linux Foo, den kaum einer kennt.

Gemischtes

Wenn ich vorher wüsste was kommt, würde es nicht Gemischtes heißen 😉

 

Coronachroniken: Das Monatsupdate April

Liebe Maskierte,

es ist mal wieder Zeit den Stand zu visualisieren. Zusätzlich gibt es diesmal eine interessante Grafik, wie sich Werte der Neuinfizierten mit der Zeit ändern.

Coronachroniken: Das Monatsupdate April

Erstmal die üblichen Graphen:

Und nun die neue Grafik

Ihr seht hier die Änderungen an den Neuinfektionszahlen für den gesamten bekannten Zeitraum. Die Änderungen sind die absoluten Zahlen vom Stand 8.4. zum Stand 18.4.2021:Selbstverständlich ändern sich die neuesten Zahlen am stärksten, das ist nicht weiter verwunderlich. Der berühmte Meldeverzug halt. Wenn man die rote Kurve oben betrachtet, sieht es erst einmal so aus, als wenn es Verschiebungen wären: Von einem Tag zum Anderen.

Dem ist aber nicht so

Für den Zeitraum 27.2.2020 bis zum 18.3.2021 sind in zehn Tagen ( 8.4. – 18.4. ) 177 Patienten verschwunden. Die Volatilität ist in den letzten 3-4 Wochen der Statistik immer sehr stark, deswegen die Betrachtung bis zum 18.3.2021. Da muß man sich als Bürokratie folgendes Fragen lassen: Waren das Geisterpatienten oder wurden die Tests mit einem negativen Testergebnis wiederholt? Im März letzten Jahren fehlen an einem Tag plötzlich 10 Neuinfizierte, wieso fällt das erst jetzt auf?

Ihr könntet jetzt argumentieren, daß das ja nur 10 waren, da kontere ich mit, das waren ja auch nur Änderungen von 10 Tagen. Sind das auf ein Jahr gerechnet 365 die da an einem Tag wegfallen? Und, wäre das für damalige Entscheidungen wichtig gewesen?

Ganz so schlimm ist es dann nicht, da mir dies ja schon vor Monaten das erste mal aufgefallen ist, daher weiß ich, daß nicht so krass viele sind. Es sind aber auch nicht so wenige, daß man das nicht thematisieren bräuchte. Die rote Kurve oben sieht jede Woche in etwas so aus.

Um genauere Zahlen zu haben, müßte man das RKI nach Ständen von April 2020 fragen oder diese selbst mitgeschnitten haben. Das wäre bestimmt spannend. Wer jetzt einwirft, es gäbe ja die Rohdatenmeldungen beim RKI, der hat sich die noch nicht angesehen. Dafür ist mir meine Lebenszeit zu schade 😉

 

Sicherheitslücke: WordPress < 5.7.1 updaten

Liebe Kollegen und Leser des OSBN,

sofern Sie WordPress einsetzen, achten Sie heute auf Updates des WordPresscores auf 5.7.1+ . Nicht alle WordPressinstallationen updaten sich auch wirklich immer zuverlässig, daher im Zweifel einfach mal nachschauen.

Das BSI hat heute vor einer aktuellen Lücke in WordPress < 5.7.1. gewarnt. Über die geschlossene Lücke können Angreifer Daten der WordPressinstallation erbeuten. Da nicht näher erklärt wird, was das für Daten sind, darf man ruhig annehmen, daß auch Zugangsdaten erbeutet werden können.

Bei WordPress heißt es dazu:

Security Updates

Two security issues affect WordPress versions between 4.7 and 5.7. If you haven’t yet updated to 5.7, all WordPress versions since 4.7 have also been updated to fix the following security issues:

  • Thank you SonarSource for reporting an XXE vulnerability within the media library affecting PHP 8.

  • Thanks Mikael Korpela for reporting a data exposure vulnerability within the REST API.

Ich rate jedem zu einem Update, falls es nicht automatisch geklappt hat. Selbst wenn man am Ende nicht an Zugangsdaten hätte kommen können, lieber einmal mehr Updaten, als einmal zu wenig.

Linux am Dienstag: Nachlese 13.4.2021

Das gestrige Linux am Dienstag Meeting ging bis spät in die Nacht, eine praktische Einführung in Matrix inklusive.

Linux am Dienstag: Nachlese 13.4.2021

Unser Hauptthema gestern Abend war Matrix. Wie funktioniert es, wo liegen Schwächen, was sind Stärken und vor allem, wie benutzt man das praktisch. Den praktischen Teil kann ich Euch hier natürlich nicht wiedergeben, aber die Theorie findet Ihr auf der Linux-am-Dienstag-Seite oder gleich hier: LUG-2021-Matrix

Matrix – Wie funktioniert das?

Als Anmerkung für Alle, die gestern Abend mit dabei waren, ich habe den Vortrag überarbeitet und alle Punkte die gestern nur frei erklärt wurden mit eingefügt. Ein kleiner Fauxpas ist mir da doch tatsächlich beim Tunnelserver unterlaufen, der heißt TURN, nicht TUN 🙂 Was das genau ist, wie es eingesetzt wurde, wurde mit den Vortrag eingebaut.

NASA und Opensource

Die NASA nervt die Entwickler von Curl derzeit mit Compliancenachfragen, weil auf neuesten Marsrover Linux läuft und da wohl Curl mit eingebunden ist. Wozu die da Curl brauchen könnten, weiß ich allerdings nicht.

Einer der Entwickler von Curl schickte dazu auf Twitter ein Foto rum, das Ihr unter diesem Link einsehen könnt: https://mobile.twitter.com/bagder/status/1379897937141063686/photo/1

(Ist absichtlich nicht verlinkt, weil ungewolltem Twitteraufruf usw. )

Update: KDE Connect Probleme mit Android News

Leider gibt es an der Front wenig erfreuliches zu berichten:

Die Android Version 1.16.x kann nicht mehr mit neueren KDE-Connects kommunizieren, die aber wiederum können das noch untereinander. Es ist also möglich von Fedora 32 ( das noch mit Android kann) zu Fedora 33 und 34 Daten auszutauschen, aber von F33+34 => Android geht das nicht mehr. Da es kein alleiniger Fedora Bug ist, wie sich im Pinephone Weltchat herausgestellt hat, wurde KDE informiert.

Bevor jetzt wieder jemand schnippisch sagt: „Das liegt bloß an der Firewall!
muß ich leider antworten: „Was für eine Firewall?“ Die war nämlich zu Testzwecken aus und die anderen KDE Connects im Netz konnten den betreffenen PC ja auch finden und kontaktieren 😉

Pinephone: Phoshupdate

Der Teil kann hier nachgelesen werden:

Pinephone: Phosh jetzt mit Auto-Screenrotation

Die Free-Software-Foundation-und-Richard-Stallman-Geschichte geht in nächste Runde

wie schon berichtet geht es bei der FSF mit RMS weiter:

FSF bleibt Ihrer Line mit RMS treu

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

vor einiger Zeit hatten wir in der alten BSLUG schon einmal versucht, den Benutzern die Linuxgrundlagen durch das Over-the-Wire-Lernspiel Bandit näher zubringen. Es wurde beschlossen, dies nächste Woche vorzustellen, die ersten Level gemeinsam zu machen und danach, in wöchentlichem Rhythmus, je einen neuen Level als Hausaufgabe zu präsentieren.

Dann zieht Euch mal warme Handschuhe über die schlecht durchbluteten Finger, wir gehen Passwörter von Servern klauen 😀

Anmerkung: Dies wird ein Live-Event werden, daher gibt davon keine Aufzeichnungen oder Vorträge zum Download, das wäre nicht zielführend für den Rest der Welt 😉

FSF bleibt Ihrer Line mit RMS treu

In einer Stellungnahme bedauert die FSF, daß die Wiederwahl von Richard Stallman in den FSF Vorstand in so einer ungünstigen Art bekannt wurde.

FSF bleibt Ihrer Line mit RMS treu

Die Free Software Foundation bezeichnet Richard Stallman dort als Mann von großer Weisheit, was Angelegenheiten Freier Software betrifft, die seit der Trennung stark vermisst wurde. Auch hat Richard Stallman ein großes Netzwerk an Kontakten, die, jetzt vermutlich etwas weniger umfangreich, aber dennoch sehr wichtig für die Arbeit der Free Software Foundation sind.

Eigentlich war ein behudsames Umgehen mit der Nachricht vorgesehen, aber irgendwie hat das Timing der Nachrichten dazu „nicht ganz geklappt“:

https://www.fsf.org/news/statement-of-fsf-board-on-election-of-richard-stallman

Richard Stallman selbst hat auf der FSF Webseite auch eine Erklärung abgegeben:

https://www.fsf.org/news/rms-addresses-the-free-software-community

Ein Auszug zeigt das eigentliche Problem auf:

Einige haben mich als „emotionslos“ beschrieben, und das ist fair. Mit meiner Schwierigkeit, soziale Hinweise zu verstehen, kommt so etwas vor. Zum Beispiel verteidigte ich Professor Minsky auf einer M.I.T.-Mailingliste, nachdem jemand zu dem Schluss gekommen war, er sei genauso schuldig wie Jeffrey Epstein. Zu meiner Überraschung dachten einige, meine Nachricht verteidige Epstein. Wie ich zuvor erklärt hatte, ist Epstein ein Serienvergewaltiger, und Vergewaltiger sollten bestraft werden. Ich wünsche mir, dass seine Opfer und diejenigen, die durch ihn geschädigt wurden, Gerechtigkeit erfahren.

Falsche Anschuldigungen – real oder imaginär, gegen mich oder gegen andere – ärgern mich besonders. Ich kannte Minsky nur aus der Ferne, aber zu sehen, dass er zu Unrecht beschuldigt wurde, ließ mich zu seiner Verteidigung springen. Ich hätte es für jeden getan. Polizeibrutalität macht mich wütend, aber wenn die Polizisten danach über ihre Opfer lügen, ist diese falsche Anschuldigung die ultimative Empörung für mich. Ich verurteile Rassismus und Sexismus, einschließlich ihrer systemischen Formen, also tut es auch weh, wenn Leute sagen, ich täte das nicht.

teilweise übersetzt mit www.DeepL.com/Translator (ging schneller 😉 )

Das hätte er vielleicht gleich mal sagen sollen.

Linux am Dienstag: Programmankündigung 13.4.2021

Das Programm für Dienstag, 13.4.2021 19 Uhr:

Thema: Matrix – Wie funktioniert das?

News: NASA und Opensource
Update: KDE Connect Probleme mit Android
News: Pinephone Phoshupdate

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

Treffpunkt ist wie immer im Videochat: https://meet.cloud-foo.de/Linux ab 19 Uhr.

Pinephone: Phosh jetzt mit Auto-Screenrotation

Ich hatte ja vor einigen Wochen einen Screenrotate für Phosh vorgestellt, der ist jetzt nicht mehr nötig:

Pinephone: Phosh jetzt mit Auto-Screenrotation

Phosh 0.10.1 für Fedora fixed das Auto-Screenrotationproblem: Es war keine vorhanden 😉

Guido Günther hat heute das neue 0.10.1 Release von Phosh rausgegeben und wir haben es bereits auf dem Pinephone Build von Fedora drauf \o/Ich habe es zwar direkt über Koji installieren müssen, weil die Spiegelserver von Fedora es noch nicht haben, aber spätestens morgen ist das im regulären Update enthalten.

Natürlich wird damit mein Beitrag zur Problemlösung überflüssig 🙁 Aber hey, das war eh klar. Zum Abschalten müßt Ihr nur das Desktopfile aus ~/.config/autostart/ entfernen:

mv ~/.config/autostart/*rotate*desktop ~/

und beim nächsten Phosh Start ist mein kleiner Workaround deaktiviert.

Pinephone: automatische Screenrotation einschalten

 

Skype4Linux unter Fedora Updaten

Das Skype-RPM für Fedora hat eine unsaubere Abhängigkeit drin, die leider seit Wochen nicht behoben wird. Trotzdessen kann man ein Update hinbekommen.

Skype4Linux unter Fedora Updaten

Wer kennt das nicht .. ok,ok, alle die kein Skype nutzen ist schon klar ….  Skype nervt mit einem Hinweis „Update mich. Update mich.“ und wenn man das dann tun will, dann geht das nicht:

# dnf update skypeforlinux
Letzte Prüfung auf abgelaufene Metadaten: vor 4:07:00 am Do 08 Apr 2021 13:48:32 CEST.
Abhängigkeiten sind aufgelöst.

Problem: cannot install the best update candidate for package skypeforlinux-8.68.0.100-1.x86_64
– nothing provides libatomic1 needed by skypeforlinux-8.69.0.77-1.x86_64
==================================================================================
Package Architecture Version Repository Size
==================================================================================
Pakete mit nicht auflösbaren Abhängigkeiten werden übersprungen:
skypeforlinux x86_64 8.69.0.77-1 skype-stable 112 M

Transaktionsübersicht
==================================================================================
Überspringen 1 Paket

Nichts zu tun.
Fertig.

Schuld daran ist die Abhängigkeit auf das Paket „libatomic1“, welches es bei Fedora gar nicht gibt, weil das Paket der libatomic hier .. tada… „libatomic“ heißt 🙂

Jetzt dürft Ihr zwei Dinge tun: Root werden, und die Sache manuell durchziehen 😉

sudo dnf -y install libatomic
sudo rpm -U –nodeps https://repo.skype.com/rpm/stable/skypeforlinux_8.69.0.77-1.x86_64.rpm

Für den Fall, daß die Lib noch nicht drauf sein sollte, installieren wir die mal pauschal, damit Skype dann auch noch funktioniert. Im nächsten Schritt kommt die (heute) neueste Version drauf. Ich bin mal gespannt, ob das beim Umstieg auf Fedora 33 nicht zu Fehlern führen wird. Falls es zu einem „unauflösbaren“ Fehler beim Upgrade auf Fedora 33 kommt, hier schon einmal die Lösung:

vi  /etc/dnf/dnf.conf

exclude=skype*

Dann Updaten und wieder einkommentieren. Falls die nächste Version von dem RPM den Bug immernoch drin hat, dann muß man die wohl auch von Hand updaten.

PHP.net Userdatenbank geleakt?

Vor 2 Wochen ging die Meldung rum, daß in den PHP-Code zwei Hintertüren eingebaut wurden. Dazu gibt es jetzt ein Update.

PHP.net Userdatenbank geleakt?

PHP Maintainer Nikita Popov hat in einem Update zu dem Einfügen von Hintertüren in den Code von PHP ein kleines Update gepostet. Seiner Meinung nach hatten die Angreifer Zugriff auf die Userdatenbank des Projekts bekommen und dann einen vergessenen Zugang zum Repository genutzt, um an allen sonstigen Buildeinrichtungen vorbei, den Code direkt ins Repository zu bekommen: „git-http-backend behind Apache2 Digest authentication against the master.php.net user database

Ein sinngemäßes Zitat: „Ich wußte gar nicht, daß das geht.“ . Tja 🙂

Als „unverdächtige“ Benutzer hatten sich die Angreifer ausgerechnet die Accounts vom Erfinder von PHP Rasmus Lerdorf und Nikita Popov selbst ausgesucht. Ich vermute ja mal, daß war eine Ansage und kein Versuch die Sache gut zu verschleiern. Zur Zeit meint man bei PHP, daß deren hauseigenes Gitolite System an sich nicht kompromittiert wurde. Um ganz sicher zu sein, wird trotzdem alle neu aufgesetzt.

Auch als Konsequenz wurden die Passwörter erst einmal auf BCrypt umgestellt, was nach einem weiteren Leak den Login ziemlich erschweren dürfte. Die richtigen Fragen scheint man sich jedenfalls zustellen, z.B. wieso HTTP-Passwortauths überhaupt zugelassen waren, da diese als eher leicht zu knacken angesehen werden, wohingegen Public-Key Authentifizierung deutlich sicherer ist.

https://www.theregister.com/2021/04/07/update_on_php_source_code/

Pinephone: Fedora Minimal Image z.Z. nicht updaten

Seit einigen Tagen gibt es ein Problem mit dem Pinephone Fedora Minimalimage. Wenn es auf den letzten Stand aktualisiert wird, bootet das Pinephone nicht mehr.

UPDATE: Wer ab 7.4. ca. 20:00 Uhr MESZ updated, der kann wieder ohne Hemmungen updaten. Ich hab das Problem für Euch untersucht und gelöst bekommen 😉 Es war so ein !*ARGS*! Moment 😉 hat jeder mal 😀

Pinephone: Fedora Minimal Image z.Z. nicht updaten

Wenn Ihr noch nicht aktualisiert habt, dann tragt das hier in die /etc/dnf/dnf.conf ein:

exclude=megi-kernel pp-uboot

Danach kann man erst einmal wieder updaten. Falls es für Euch schon zu spät ist, habt Ihr drei Möglichkeiten:

    1. Solange das Pine noch keinen Reboot gemacht hat, könnt Ihr einfach die Pakete downgraden:dnf downgrade megi-kernel-5.12.0-3und dann nehmt Ihr die Pakete oben von weiteren Updates einfach aus.
    2. Das Minimal Image einfach neu installieren, updaten, dann Schritt 1 oben machen und dann megi-kernel von den Updates ausnehmen.
    3. Fedora Workstation Image auf die SDCard schreiben, das booten.
      Ein Terminal aufmachen.
      mount /dev/mmcblk2p2 /mnt/
      chroot /mnt/
      dnf downgrade megi-kernel-5.12.0-3
      exit
      umount /mnt
      reboot

Wobei man natürlich auf dem Workstation Image erstmal das WLAN aktivieren muß, sonst kann man die Pakete nicht laden 😉 Je nach dem wieviel Zeit vergangen ist seit ich den Artikel für Euch geschrieben haben und Ihre das Problem lösen wollte, könnte ein Downgrade nicht mehr nötig sein, sondern ein Update stattdessen die bessere Idee sein.

Da das Problem derzeit im Team besprochen wird, sollte bald ein megi-kernel Paket existieren, daß das Problem löst und die neue gewünschte Funktion hat, die das Ungemach überhaupt erst ausgelöst habt 😉

In jedem Fall ist ein Workstation Image ( ftp://pine.warpspeed.dk/nightly/pinephone/minimal-2021-04-05-test.img.xz ) auf einer SDCard im Pinephone keine so schlechte Idee, weil man dann schnell solche Fehler beheben kann und trotzdem von der EMMC bootet kann, weil es das hier gibt:

Ein ständiges Wechseln der SDCard ist so nämlich nicht mehr nötig. Der Dank geht auch hier an Megi, es war seine ( hoffentlich richtiges Pronomen ) Idee.