Linux am Dienstag: Programmplan 20.4.2021

Linux am Dienstag – Programmplan für den 20.4.2021:

Desktop: „Gnome 40 – Es wird langsam“

Ein Blick den aktuellen Gnome 40 Desktop. Möglicherweise ist er eine Sackgasse. Schaut selbst mal mit rein.

„Speedtests von Webseiten u.a. mit `curl´“

Curl kann viel mehr, als nur Inhalte von Webseiten downloaden.

ApacheBenchmark – Ein uraltes Programm, daß immer noch aktuelle Ergebnisse liefert.

LiveEvent : „Auf, auf Banditen!“

Wir dringen in einen fremden Rechner ein und erbeuten die Passwörter. Grundlagen von Linux werden spielerisch vermittelt. Natürlich muß man sich selbst rein hängen, aber das ist leichter als man glaubt.

Wir spielen die ersten 5 Level vom OverTheWire Spiel „Bandit“ gemeinsam durch und geben den nächsten Level dann immer als Hausaufgabe mit. In den Fortgeschrittenen Kursen gibt es dann Linux Foo, den kaum einer kennt.

Gemischtes

Wenn ich vorher wüsste was kommt, würde es nicht Gemischtes heißen 😉

 

Sicherheitslücke: WordPress < 5.7.1 updaten

Liebe Kollegen und Leser des OSBN,

sofern Sie WordPress einsetzen, achten Sie heute auf Updates des WordPresscores auf 5.7.1+ . Nicht alle WordPressinstallationen updaten sich auch wirklich immer zuverlässig, daher im Zweifel einfach mal nachschauen.

Das BSI hat heute vor einer aktuellen Lücke in WordPress < 5.7.1. gewarnt. Über die geschlossene Lücke können Angreifer Daten der WordPressinstallation erbeuten. Da nicht näher erklärt wird, was das für Daten sind, darf man ruhig annehmen, daß auch Zugangsdaten erbeutet werden können.

Bei WordPress heißt es dazu:

Security Updates

Two security issues affect WordPress versions between 4.7 and 5.7. If you haven’t yet updated to 5.7, all WordPress versions since 4.7 have also been updated to fix the following security issues:

  • Thank you SonarSource for reporting an XXE vulnerability within the media library affecting PHP 8.

  • Thanks Mikael Korpela for reporting a data exposure vulnerability within the REST API.

Ich rate jedem zu einem Update, falls es nicht automatisch geklappt hat. Selbst wenn man am Ende nicht an Zugangsdaten hätte kommen können, lieber einmal mehr Updaten, als einmal zu wenig.

Linux am Dienstag: Nachlese 13.4.2021

Das gestrige Linux am Dienstag Meeting ging bis spät in die Nacht, eine praktische Einführung in Matrix inklusive.

Linux am Dienstag: Nachlese 13.4.2021

Unser Hauptthema gestern Abend war Matrix. Wie funktioniert es, wo liegen Schwächen, was sind Stärken und vor allem, wie benutzt man das praktisch. Den praktischen Teil kann ich Euch hier natürlich nicht wiedergeben, aber die Theorie findet Ihr auf der Linux-am-Dienstag-Seite oder gleich hier: LUG-2021-Matrix

Matrix – Wie funktioniert das?

Als Anmerkung für Alle, die gestern Abend mit dabei waren, ich habe den Vortrag überarbeitet und alle Punkte die gestern nur frei erklärt wurden mit eingefügt. Ein kleiner Fauxpas ist mir da doch tatsächlich beim Tunnelserver unterlaufen, der heißt TURN, nicht TUN 🙂 Was das genau ist, wie es eingesetzt wurde, wurde mit den Vortrag eingebaut.

NASA und Opensource

Die NASA nervt die Entwickler von Curl derzeit mit Compliancenachfragen, weil auf neuesten Marsrover Linux läuft und da wohl Curl mit eingebunden ist. Wozu die da Curl brauchen könnten, weiß ich allerdings nicht.

Einer der Entwickler von Curl schickte dazu auf Twitter ein Foto rum, das Ihr unter diesem Link einsehen könnt: https://mobile.twitter.com/bagder/status/1379897937141063686/photo/1

(Ist absichtlich nicht verlinkt, weil ungewolltem Twitteraufruf usw. )

Update: KDE Connect Probleme mit Android News

Leider gibt es an der Front wenig erfreuliches zu berichten:

Die Android Version 1.16.x kann nicht mehr mit neueren KDE-Connects kommunizieren, die aber wiederum können das noch untereinander. Es ist also möglich von Fedora 32 ( das noch mit Android kann) zu Fedora 33 und 34 Daten auszutauschen, aber von F33+34 => Android geht das nicht mehr. Da es kein alleiniger Fedora Bug ist, wie sich im Pinephone Weltchat herausgestellt hat, wurde KDE informiert.

Bevor jetzt wieder jemand schnippisch sagt: „Das liegt bloß an der Firewall!
muß ich leider antworten: „Was für eine Firewall?“ Die war nämlich zu Testzwecken aus und die anderen KDE Connects im Netz konnten den betreffenen PC ja auch finden und kontaktieren 😉

Pinephone: Phoshupdate

Der Teil kann hier nachgelesen werden:

Pinephone: Phosh jetzt mit Auto-Screenrotation

Die Free-Software-Foundation-und-Richard-Stallman-Geschichte geht in nächste Runde

wie schon berichtet geht es bei der FSF mit RMS weiter:

FSF bleibt Ihrer Line mit RMS treu

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

vor einiger Zeit hatten wir in der alten BSLUG schon einmal versucht, den Benutzern die Linuxgrundlagen durch das Over-the-Wire-Lernspiel Bandit näher zubringen. Es wurde beschlossen, dies nächste Woche vorzustellen, die ersten Level gemeinsam zu machen und danach, in wöchentlichem Rhythmus, je einen neuen Level als Hausaufgabe zu präsentieren.

Dann zieht Euch mal warme Handschuhe über die schlecht durchbluteten Finger, wir gehen Passwörter von Servern klauen 😀

Anmerkung: Dies wird ein Live-Event werden, daher gibt davon keine Aufzeichnungen oder Vorträge zum Download, das wäre nicht zielführend für den Rest der Welt 😉

FSF bleibt Ihrer Line mit RMS treu

In einer Stellungnahme bedauert die FSF, daß die Wiederwahl von Richard Stallman in den FSF Vorstand in so einer ungünstigen Art bekannt wurde.

FSF bleibt Ihrer Line mit RMS treu

Die Free Software Foundation bezeichnet Richard Stallman dort als Mann von großer Weisheit, was Angelegenheiten Freier Software betrifft, die seit der Trennung stark vermisst wurde. Auch hat Richard Stallman ein großes Netzwerk an Kontakten, die, jetzt vermutlich etwas weniger umfangreich, aber dennoch sehr wichtig für die Arbeit der Free Software Foundation sind.

Eigentlich war ein behudsames Umgehen mit der Nachricht vorgesehen, aber irgendwie hat das Timing der Nachrichten dazu „nicht ganz geklappt“:

https://www.fsf.org/news/statement-of-fsf-board-on-election-of-richard-stallman

Richard Stallman selbst hat auf der FSF Webseite auch eine Erklärung abgegeben:

https://www.fsf.org/news/rms-addresses-the-free-software-community

Ein Auszug zeigt das eigentliche Problem auf:

Einige haben mich als „emotionslos“ beschrieben, und das ist fair. Mit meiner Schwierigkeit, soziale Hinweise zu verstehen, kommt so etwas vor. Zum Beispiel verteidigte ich Professor Minsky auf einer M.I.T.-Mailingliste, nachdem jemand zu dem Schluss gekommen war, er sei genauso schuldig wie Jeffrey Epstein. Zu meiner Überraschung dachten einige, meine Nachricht verteidige Epstein. Wie ich zuvor erklärt hatte, ist Epstein ein Serienvergewaltiger, und Vergewaltiger sollten bestraft werden. Ich wünsche mir, dass seine Opfer und diejenigen, die durch ihn geschädigt wurden, Gerechtigkeit erfahren.

Falsche Anschuldigungen – real oder imaginär, gegen mich oder gegen andere – ärgern mich besonders. Ich kannte Minsky nur aus der Ferne, aber zu sehen, dass er zu Unrecht beschuldigt wurde, ließ mich zu seiner Verteidigung springen. Ich hätte es für jeden getan. Polizeibrutalität macht mich wütend, aber wenn die Polizisten danach über ihre Opfer lügen, ist diese falsche Anschuldigung die ultimative Empörung für mich. Ich verurteile Rassismus und Sexismus, einschließlich ihrer systemischen Formen, also tut es auch weh, wenn Leute sagen, ich täte das nicht.

teilweise übersetzt mit www.DeepL.com/Translator (ging schneller 😉 )

Das hätte er vielleicht gleich mal sagen sollen.

Linux am Dienstag: Programmankündigung 13.4.2021

Das Programm für Dienstag, 13.4.2021 19 Uhr:

Thema: Matrix – Wie funktioniert das?

News: NASA und Opensource
Update: KDE Connect Probleme mit Android
News: Pinephone Phoshupdate

Absprache für neuen Kurs: „Linux kennenlernen durch Hacken! :)“

Treffpunkt ist wie immer im Videochat: https://meet.cloud-foo.de/Linux ab 19 Uhr.

Pinephone: Phosh jetzt mit Auto-Screenrotation

Ich hatte ja vor einigen Wochen einen Screenrotate für Phosh vorgestellt, der ist jetzt nicht mehr nötig:

Pinephone: Phosh jetzt mit Auto-Screenrotation

Phosh 0.10.1 für Fedora fixed das Auto-Screenrotationproblem: Es war keine vorhanden 😉

Guido Günther hat heute das neue 0.10.1 Release von Phosh rausgegeben und wir haben es bereits auf dem Pinephone Build von Fedora drauf \o/Ich habe es zwar direkt über Koji installieren müssen, weil die Spiegelserver von Fedora es noch nicht haben, aber spätestens morgen ist das im regulären Update enthalten.

Natürlich wird damit mein Beitrag zur Problemlösung überflüssig 🙁 Aber hey, das war eh klar. Zum Abschalten müßt Ihr nur das Desktopfile aus ~/.config/autostart/ entfernen:

mv ~/.config/autostart/*rotate*desktop ~/

und beim nächsten Phosh Start ist mein kleiner Workaround deaktiviert.

Pinephone: automatische Screenrotation einschalten

 

Skype4Linux unter Fedora Updaten

Das Skype-RPM für Fedora hat eine unsaubere Abhängigkeit drin, die leider seit Wochen nicht behoben wird. Trotzdessen kann man ein Update hinbekommen.

Skype4Linux unter Fedora Updaten

Wer kennt das nicht .. ok,ok, alle die kein Skype nutzen ist schon klar ….  Skype nervt mit einem Hinweis „Update mich. Update mich.“ und wenn man das dann tun will, dann geht das nicht:

# dnf update skypeforlinux
Letzte Prüfung auf abgelaufene Metadaten: vor 4:07:00 am Do 08 Apr 2021 13:48:32 CEST.
Abhängigkeiten sind aufgelöst.

Problem: cannot install the best update candidate for package skypeforlinux-8.68.0.100-1.x86_64
– nothing provides libatomic1 needed by skypeforlinux-8.69.0.77-1.x86_64
==================================================================================
Package Architecture Version Repository Size
==================================================================================
Pakete mit nicht auflösbaren Abhängigkeiten werden übersprungen:
skypeforlinux x86_64 8.69.0.77-1 skype-stable 112 M

Transaktionsübersicht
==================================================================================
Überspringen 1 Paket

Nichts zu tun.
Fertig.

Schuld daran ist die Abhängigkeit auf das Paket „libatomic1“, welches es bei Fedora gar nicht gibt, weil das Paket der libatomic hier .. tada… „libatomic“ heißt 🙂

Jetzt dürft Ihr zwei Dinge tun: Root werden, und die Sache manuell durchziehen 😉

sudo dnf -y install libatomic
sudo rpm -U –nodeps https://repo.skype.com/rpm/stable/skypeforlinux_8.69.0.77-1.x86_64.rpm

Für den Fall, daß die Lib noch nicht drauf sein sollte, installieren wir die mal pauschal, damit Skype dann auch noch funktioniert. Im nächsten Schritt kommt die (heute) neueste Version drauf. Ich bin mal gespannt, ob das beim Umstieg auf Fedora 33 nicht zu Fehlern führen wird. Falls es zu einem „unauflösbaren“ Fehler beim Upgrade auf Fedora 33 kommt, hier schon einmal die Lösung:

vi  /etc/dnf/dnf.conf

exclude=skype*

Dann Updaten und wieder einkommentieren. Falls die nächste Version von dem RPM den Bug immernoch drin hat, dann muß man die wohl auch von Hand updaten.

PHP.net Userdatenbank geleakt?

Vor 2 Wochen ging die Meldung rum, daß in den PHP-Code zwei Hintertüren eingebaut wurden. Dazu gibt es jetzt ein Update.

PHP.net Userdatenbank geleakt?

PHP Maintainer Nikita Popov hat in einem Update zu dem Einfügen von Hintertüren in den Code von PHP ein kleines Update gepostet. Seiner Meinung nach hatten die Angreifer Zugriff auf die Userdatenbank des Projekts bekommen und dann einen vergessenen Zugang zum Repository genutzt, um an allen sonstigen Buildeinrichtungen vorbei, den Code direkt ins Repository zu bekommen: „git-http-backend behind Apache2 Digest authentication against the master.php.net user database

Ein sinngemäßes Zitat: „Ich wußte gar nicht, daß das geht.“ . Tja 🙂

Als „unverdächtige“ Benutzer hatten sich die Angreifer ausgerechnet die Accounts vom Erfinder von PHP Rasmus Lerdorf und Nikita Popov selbst ausgesucht. Ich vermute ja mal, daß war eine Ansage und kein Versuch die Sache gut zu verschleiern. Zur Zeit meint man bei PHP, daß deren hauseigenes Gitolite System an sich nicht kompromittiert wurde. Um ganz sicher zu sein, wird trotzdem alle neu aufgesetzt.

Auch als Konsequenz wurden die Passwörter erst einmal auf BCrypt umgestellt, was nach einem weiteren Leak den Login ziemlich erschweren dürfte. Die richtigen Fragen scheint man sich jedenfalls zustellen, z.B. wieso HTTP-Passwortauths überhaupt zugelassen waren, da diese als eher leicht zu knacken angesehen werden, wohingegen Public-Key Authentifizierung deutlich sicherer ist.

https://www.theregister.com/2021/04/07/update_on_php_source_code/

Pinephone: Fedora Minimal Image z.Z. nicht updaten

Seit einigen Tagen gibt es ein Problem mit dem Pinephone Fedora Minimalimage. Wenn es auf den letzten Stand aktualisiert wird, bootet das Pinephone nicht mehr.

UPDATE: Wer ab 7.4. ca. 20:00 Uhr MESZ updated, der kann wieder ohne Hemmungen updaten. Ich hab das Problem für Euch untersucht und gelöst bekommen 😉 Es war so ein !*ARGS*! Moment 😉 hat jeder mal 😀

Pinephone: Fedora Minimal Image z.Z. nicht updaten

Wenn Ihr noch nicht aktualisiert habt, dann tragt das hier in die /etc/dnf/dnf.conf ein:

exclude=megi-kernel pp-uboot

Danach kann man erst einmal wieder updaten. Falls es für Euch schon zu spät ist, habt Ihr drei Möglichkeiten:

    1. Solange das Pine noch keinen Reboot gemacht hat, könnt Ihr einfach die Pakete downgraden:dnf downgrade megi-kernel-5.12.0-3und dann nehmt Ihr die Pakete oben von weiteren Updates einfach aus.
    2. Das Minimal Image einfach neu installieren, updaten, dann Schritt 1 oben machen und dann megi-kernel von den Updates ausnehmen.
    3. Fedora Workstation Image auf die SDCard schreiben, das booten.
      Ein Terminal aufmachen.
      mount /dev/mmcblk2p2 /mnt/
      chroot /mnt/
      dnf downgrade megi-kernel-5.12.0-3
      exit
      umount /mnt
      reboot

Wobei man natürlich auf dem Workstation Image erstmal das WLAN aktivieren muß, sonst kann man die Pakete nicht laden 😉 Je nach dem wieviel Zeit vergangen ist seit ich den Artikel für Euch geschrieben haben und Ihre das Problem lösen wollte, könnte ein Downgrade nicht mehr nötig sein, sondern ein Update stattdessen die bessere Idee sein.

Da das Problem derzeit im Team besprochen wird, sollte bald ein megi-kernel Paket existieren, daß das Problem löst und die neue gewünschte Funktion hat, die das Ungemach überhaupt erst ausgelöst habt 😉

In jedem Fall ist ein Workstation Image ( ftp://pine.warpspeed.dk/nightly/pinephone/minimal-2021-04-05-test.img.xz ) auf einer SDCard im Pinephone keine so schlechte Idee, weil man dann schnell solche Fehler beheben kann und trotzdem von der EMMC bootet kann, weil es das hier gibt:

Ein ständiges Wechseln der SDCard ist so nämlich nicht mehr nötig. Der Dank geht auch hier an Megi, es war seine ( hoffentlich richtiges Pronomen ) Idee.

Linux am Dienstag: Nachlese 6.4.2021

Ein Linux am Dienstag Treffen ist wieder vorbei. Für all diejenigen, die nicht daran teilnehmen konnten, wir konnten wieder das ein oder andere Nutzerproblem lösen.

Linux am Dienstag: Nachlese 6.4.2021

Nacharbeiten von Fedora u.a. Upgrades

Wenn nach einem Distro-Upgrade von Fedora z.B. auf 33 mal einiges nicht gehen sollte, dann erinnert Euch an diesen Befehl: sudo restorecon -R -v /*

Er setzt alle SELinux Kontexte wieder auf die richtigen Werte. Wie ich am eigenen Laptop erfahren mußte,wird dies wohl nicht so automatisch gemacht, wie man sich das vorstellen würde. Mehr dazu in diesem Blog-Artikel von 2015:

Probleme mit SELinux reparieren

Wake-on-Lan

Wie funktioniert eigentlich Wake-On-Lan? Die Frage führte selbstverständlich gleich zur nächsten Frage: „Was ist das für eine komische Zahlenfolge da?“ und dies führte zu unserem gestrigen Schwerpunktthema: „Wie werden eigentlich Daten im Netz transportiert?„. Stichpunkte waren ARP, Traceroute, Netzwerkrauschen, Switche, Router und natürlich die Ursache aller Vorträge Wake-on-Lan und was man damit machen kann.

Facebook – 533 Millionen Datensätze aufgetaucht

Facebook: 533 Millionen Datensätze erbeutet

Allerdings gibt es eine erweiterte Anekdote:

Follow-Up: Scammer failen an Ostern per SMS

Herr Kelber, seines Zeichens oberster deutscher Datenschützer, brachte die beiden obigen Meldungen zusammen, auch wenn diese vermutlich nicht zusammenhängen, denn auch Telefone, die nicht im Facebooksystem waren, bekamen diese SMS auch zugeschickt.

Ich nehme daher an, daß einfach alle Nummernblöcke deutscher Mobilfunkanbieter periodisch vollgespammt wurden. Da man das über normale Handies so nicht machen kann, werden dort ausländische S7 Anbieter involviert sein, die in Massen SMS in die Welt spammen. Die diversen Polizeidirektionen Deutschlands warnen dann auch schon seit Mitte Januar in Presseveröffentlichungen vor dieser Welle.

„USA. DHS got new smartphones with signal after the solarwind hacks.“

Die Mitarbeiter von Homeland-Security bekommen neue Smartphones, diesmal mit Signal als Messanger, nachdem die US Behörden ja durch den Hack bei der Solarwinds Firewall, Besuch von ausländischen Hackern bekommen hatten. Ob die allerdings damit so richtig froh werden kann bezweifelt werden, da Signal jetzt eine Bezahlfunktion bekommt: https://signal.org/blog/help-us-test-payments-in-signal/

Ein prominentes deutsches IT-Verschwörungsblog meinte daraus bereits das Ende von Signal ableiten zu können, weil wenn die mit Krypto-Geld hantieren wollen, Blockchains dafür einbauen und Nutzerdaten „in die Cloud hochladen“ und den früher immer publizierten Sourcecode seit über einem Jahr nicht mehr bereitstellen, dann kann das nur das Ende bedeuten. Tja.. mir egal, wir nutzen Matrix 🙂

Fedora wird nicht auf 33 aktualisiert

Wie uns gestern berichtet wurde, aktualisierte Packagekit auf mehrfache Anweisung den PC nicht von Fedora 32 auf Fedora 33. Hier nochmal die Anleitung, wie man Fedora als Rootuser von Hand auf die neue Distro umstellt:

„screen“ starten

rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-33-$(uname -i)
dnf clean all;dnf -y upgrade;
dnf –allowerasing –releasever=33 –setopt=deltarpm=false distro-sync

Alles bestätigen was gefragt wird und ab damit 🙂

Screen setzt man ein, falls die Desktopsession mitten im Update sterben sollte. Durch Screen läuft das Update im Hintergrund weiter und man kann sich dann einfach per Terminal und „screen -r“ wieder in die Terminalsession einklinken. Vorteile hat das Update von Hand natürlich auch: man sieht endlich wie weit es schon fortgeschritten ist.