Fedora Pläne – kein 32Bit PHP mehr und andere Zöpfe

Für Fedora 41, das ist die aktuelle Bleeding Edge Version, wird vorgeschlagen, daß es einige Anpassungen gibt, die größere Auswirkungen haben werden. Das kann ein Vorteil für die Distro sein, aber auch ein Nachteil für die User.

Fedora Pläne – kein 32Bit PHP mehr und andere Zöpfe

Solche Anpassungen sind z.b. auch die Security Richtlinien, die sich von Release zu Release unterscheiden und z.b. in OpenSSL und SSH die diversen Cipher und Hashalgorothmen regeln. Tatsächlich geht es auch diesmal um OpenSSL, denn dort soll eine seit OpenSSL 3.0 veraltete „Engine“ API angeschaltet werden, deren Funktion über die Security Provider von OpenSSL abgebildet wurde oder noch wird. OpenSSL 3.x wurde bei Fedora 38 eingeführt, insofern sind das 4 Releasezyklen seit Engines deprecated sind und das sind in Realzeit 2 Jahre. Da darf man das mal rauswerfen.

32Bit PHP wird es wohl auch bald nicht mehr geben. Da gibt es auch nicht viel zu sagen, 32Bit Systeme sind halt im Mainstream tod. Remi Collet, der PHP Maintainer und Retter aller Webhoster der Welt, möchte das endlich raushaben, weil es „sowieso nicht im Stable landet“, aber die Buildprozesse auf der Buildfarm von Fedora unnötige Ressourcen verheizen um Sachen zu bauen, die keiner benutzt:

== Detailed Description ==
PHP is not a library, so is not multilib.
32-bit consumes builder CPU/time, but nothing is shipped in the repositories.

A lot of projects don’t have 32-bit CI, so this may raise FTBFS (10 in F40 Mass Rebuild)
== Benefit to Fedora ==

Save developer and builder time.

Das glaube ich sofort. Es gibt über 250 PHP Erweiterungen in Fedora, wenn man da 32Bit weglässt, spart das ne Menge an Zeit und Arbeit, weil man den alten 32Bit Code nicht mehr patchen muß.

Außerdem stellt Fedora 41 auf eine neue GNU Toolchain um, angeführt vom GCC 14.1+ (welche 14er Version es auch genau sein wird, wenn Fedora 41 fertig ist, weiß man erst dann). Üblicherweise werden bei so einem Wechsel alle Pakete komplett neugebaut. Da Fedora 41 Bleeding Edge Developer-Only ( und Pinephone Fanatiker ) ist, wird man das gar nicht merken. Falls der neue GNU Compiler aber signifikante Verbesserungen ermöglicht, könnte es sogar passieren, daß das noch in Fedora 40 Einzug hält, allerdings erst nach dem Stable Releasedate. Ist selten, kommt aber vor.

 

Fedora 40 geht in die Betaphase über

Fedora hat die Version 40 ins Beta geschickt. Da es nur einen Bug gibt, der bis zum Releasestart zu fixen ist, dürften wir im Mai schon Fedora 40 als Stable begrüßen.

GESTERN gingen über 240 Security Updatemeldungen zu Fedora 40 in meinem Postfach ein 😉 Aber das ist normal beim Start der Beta, weil die Meldungen sich in der Queue aufgestaut haben. Passiert für jede Release 😉

Schon wieder verpatztes Notfallupdate bei Fedora: ClamAV 1.05

Schon wieder verpatztes Notfallupdate bei Fedora: ClamAV 1.05

Ich begnüge mich mal mit der Kurzfassung:

Am 7.2. kam ein SecurityPatch auf ClamAV 1.05, das ist die ältere Linie, raus, der 2 CVEs patched, die Remote ausgenutzt werden können: https://blog.clamav.net/2023/11/clamav-130-122-105-released.html

Das Update wurde auch zeitnah vom Maintainer gebaut, aber dummerweise nicht ins Stable gepusht 🙁 Das erinnert natürlich an die OpenSSH Release vor ein paar Tagen, Ihr erinnert Euch. Keine gute Quote für das Fedoraprojekt.

Das Update

Natürlich habe ich den Maintainer schon freundlich angemault, wer von Hand updaten will, kann das so machen:

sudo dnf update clamav –enablerepo=updates-testing -y

Der Gag

In der deutschen Bloggerlandschaft gibt es ja ein sehr aktives Blog, das sehr oft die Frage der Existenzberechtigung einer bestimmten Bundesbehörde stellt. Lieber Fefe, die machen z.B. das hier:

Sehr geehrte Damen und Herren,

im Rahmen der täglichen Lagebeobachtung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kenntnis über Schwachstellen in der Virenschutz-Lösung ClamAV erlangt.
Demnach könnte es einem Angreifer gelingen, aus der Ferne einen Pufferüberlauf und somit einen Softwareabsturz zu erzwingen (CVE-2024-20290). Weiterhin besteht die Gefahr einer Command Injection-Schwachstelle (CVE-2024-20328), die ClamAV selbst als „kritisch“ bezeichnet.

Inzwischen hat das BSI verwundbare Systeme in Deutschland identifiziert, die sich in Ihrem Zuständigkeitsbereich befinden. Konkret geht es um folgende IPs/URLs:
********* entfernt *********** ( zwar erreichbar, aber lehnt alles aus fremden Netzen ab )

Wir bitten Sie, den Sachverhalt zu prüfen und ggf. kurzfristig Schutzmaßnahmen einzuleiten, um Schaden zu verhindern.
Hinweise zur Absicherung können Sie zum Beispiel den Herstellerinformationen entnehmen:
https://blog.clamav.net/2023/11/clamav-130-122-105-released.html

Mit freundlichen Grüßen
das Team CERT-Bund

Im Auftrag
Till Kleinert

Bundesamt für Sicherheit in der Informationstechnik (BSI)
CERT-Bund
Godesberger Allee 87
53175 Bonn

Ohne das BSI wäre das Update zwar auch gekommen, aber vielleicht zu spät. Also danke, daß Ihr uns kontaktiert habt.

UPDATE 10:12 Uhr

Dank der Hilfe eines Unbekannten konnte ich das Update selbst ins Stable pushen (legal 🙂 ). Das Update kommt für jetzt.
Ich sollte mich langsam mal vom Projekt als inoffizielle Mitarbeiter bezahlen lassen 😉