Category Archives: Fedora

Pinephone: Jetzt wissen wir definitiv, daß es langsam ist :)

Gerade von meinem Pine erzeugt:

PassMark PerformanceTest Linux

Pine64 PinePhone (1.2) (AllWinner A64)
4 cores @ 1152 MHz | 2.9 GiB RAM
Number of Processes: 4 | Test Iterations: 1 | Test Duration: Medium
--------------------------------------------------------------------------
CPU Mark: 355
Integer Math 8031 Million Operations/s
Floating Point Math 1058 Million Operations/s
Prime Numbers 2 Million Primes/s
Sorting 1590 Thousand Strings/s
Encryption 109 MB/s
Compression 2 MB/s
CPU Single Threaded 157 Million Operations/s
Physics 36.1 Frames/s
Extended Instructions (NEON) 143 Million Matrices/s
Memory Mark: 228
Database Operations 281 Thousand Operations/s
Memory Read Cached 2143 MB/s
Memory Read Uncached 1201 MB/s
Memory Write 2725 MB/s
Available RAM 832 Megabytes
Memory Latency 405 Nanoseconds
Memory Threaded 1322 MB/s
--------------------------------------------------------------------------

Wir haben es gefühlt, jetzt wissen wir: Der CPU Kern des Pinephones ist eine langweilige Kartoffel 😀

Die CPU hat weniger Dampf als ein „AMD Athlon II 170u“ von 2010, aber immerhin braucht Sie weniger Leistung dafür ( AMD 20W, A64 4W ). Erstaunt bin ich über die 109 MB/s Encryption, das ist ja mal nicht übel für so eine ansonsten langweilige CPU 😉

Naja, ist ja auch ein Handy 😀

Linux am Dienstag: Programm für den 13.Juli 2021 ab 19 Uhr

Posted on by

Hallo Pinguine,

es ist mal wieder soweit, Linux am Dienstag steht vor der Tür und klopft 🙂

Linux am Dienstag: Programm für den 13.Juli 2021 ab 19 Uhr

Das Programm für Linux am Dienstag ist soweit in trockenen Tüchern 😉 u.a. mit dabei …

  • Ausblick auf Firefox 91
  • Fedora – Bug in den NFS-Utilities
  • Schwerpunktthema: Was ist eigentlich NFS?
  • Blender Einführung: Teil 6/6 – Eine Tür im Baum
  • PDF-Alternative: DejaVuLibre mit Sicherheitsloch

wie immer treffen wir uns ab 19 Uhr auf https://meet.cloud-foo.de/Linux und es können auch spontan andere Themen drankommen 😉

Hinweis: Die Veranstaltung ist eine Präsenzveranstaltung, sie wird nicht aufgezeichnet.

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Posted on by

Die aktuelle Version von Dovecot für Fedora, Version 2.3.15, hebt über die internen Defaulteinstellungen das MinimalProtokoll für TLS von TLS 1.0 auf TLS 1.2 an, ganz zum Nachteil alter Mailprogramme.

Dovecot 2.3.15: Update kickt alte Mailclienten raus

Montag Morgen, Internet: Gegen 6 Uhr morgens weisen die Fedoraserver eine neue Dovecotversion aus. Wenige Sekunden später fangen die ersten Server im Cluster an, das Update einzuspielen. Gegen 8 Uhr kommen die ersten Beschwerden beim Support rein, daß einige Benutzer keine Emails mehr abholen könnten.

Eine Analyse später steht nur fest, daß die Clienten beim Abholen eine „nicht unterstützte TLS Version sprechen“, komischerweise aber noch Emails senden können. Die Zugriffe der Mailprogramme findet dabei über die seit 1994 in Betrieb befindlichen SSL-Ports 993 und 995 statt, was die Vermutung nahe legt, daß die Mailprogramme dabei auch das damals übliche SSLv3 sprechen oder zumindest nicht TLS 1.2+.

In den Adminkreisen kommt der Verdacht auf, ein Windowsupdate hätte das Problem verursacht, was sich aber als falsch herausstellt, da nach und nach auch Android und Macuser Probleme melden.

24h später steht die Ursache fest: Das Dovecot Update 2.3.15 bringt ein Securityupdate mit, in dessen Zuge die minimale Protokollversion für TLS Verbindungen von TLS 1.0 auf TLS 1.2 gesetzt wird. Eine Umstellung der Mailprogramme aus das moderne STARTTLS stellt in den Mailprogramm dann auch die verwendete Krypto von „völlig veraltet“ auf „modern“ um, so daß die Probleme mit einen Klick behoben werden können.

Im Changelog liest sich das übrigens so:

CVE-2021-29157: Dovecot does not correctly escape kid and azp fields in JWT tokens. This may be used to supply attacker controlled keys to validate tokens, if attacker has local access.
CVE-2021-33515: On-path attacker could have injected plaintext commands before STARTTLS negotiation that would be executed after STARTTLS finished with the client.
Add TSLv1.3 support to min_protocols.

Da die Sicherheitslücken nicht umgangen werden können, bleiben die alten Versionen draußen. Dies hat uch den Vorteil, daß jetzt TLS 1.2 das Mindestmaß auch bei Privatanwendern ist.

Zwei Einzelfälle möchte ich Euch allerdings nicht vorenthalten:

a) Ein Benutzer nutzte auch beim Senden noch TLS 1.0, was den Verdacht nahelegte, daß hier eine alte Version in Spiel war. Es kam raus, daß noch Thunderbird V17 von 2013 benutzt wurde und nie Updates eingespielt wurden 🙂 Ein Update wirkte Wunder 😉

b) Ein anderer Benutzer nutzte auch noch TLS 1.0, aber hier war Hopfen und Malz verloren, da es sich um einen MAC von 2006 oder 2007 handelte. Dem ist in sofern nicht mehr zu helfen, da es hier keine Updates mehr gibt, die diese HW noch mitmachen würde.

Merke: Alte Hardware ist nur charmant, wenn Sie auch noch sicher ist.