„Entschuldigung für die vielen Security Fixe“

Aus der Schmunzelecke von Fedora … könnte man meinen …

Update Chromium to 99.0.4844.51. Fixes, well, a LOT of security bugs. Sorry
about that.  CVE-2021-22570 CVE-2022-0096 CVE-2022-0097 CVE-2022-0098
CVE-2022-0099 CVE-2022-0100 CVE-2022-0101 CVE-2022-0102 CVE-2022-0103
CVE-2022-0104 CVE-2022-0105 CVE-2022-0106 CVE-2022-0107 CVE-2022-0108
CVE-2022-0109 CVE-2022-0110 CVE-2022-0111 CVE-2022-0112 CVE-2022-0113
CVE-2022-0114 CVE-2022-0115 CVE-2022-0116 CVE-2022-0117 CVE-2022-0118
CVE-2022-0120 CVE-2022-0789 CVE-2022-0790 CVE-2022-0791 CVE-2022-0792
CVE-2022-0793 CVE-2022-0794 CVE-2022-0795 CVE-2022-0796 CVE-2022-0797
CVE-2022-0798 CVE-2022-0799 CVE-2022-0800 CVE-2022-0801 CVE-2022-0802
CVE-2022-0803 CVE-2022-0804 CVE-2022-0805 CVE-2022-0806 CVE-2022-0807
CVE-2022-0808 CVE-2022-0809

… ist es aber nicht 🙁

„Entschuldigung für die vielen Security Fixe“

Der Hintergrund ist, daß vor einigen Tagen festgestellt wurde, daß Chromium bei Securityfixen weit hinten lag bei Fedora, weil wichtige Security-Fixe nicht durch Updates verteilt wurden. Der Maintainer war leider nicht so aktiv, wie es das Projekt erfordert.

Das wurde nun offensichtlich von Tom nachgeholt, der in der Vergangenheit eigentlich als sehr aktiver Maintainer aufgefallen war. Man weiß nicht, was dazu führte und spekulieren will ich da auch nicht.

Ich fordere analog zum Sysadmin-Tag noch den Maintainer-Tag einzuführen. Wer nicht so lange warten will, kann seinen Lieblingsmaintainern ja auch einfach mal ein dickes „Thank You“ per Email schicken, was deutlich zur Langzeitmotivation der Menschen beiträgt, die für uns die Arbeit machen!

Und so kommt man die Mailadressen ran

Unter Fedora ist das relativ einfach: Entweder Ihr abonniert die Package-Announce Mailingliste „package-announce@lists.fedoraproject.org“ oder Ihr schaut ins Changelog des Pakets auf Eurem PC rein:

# rpm -qi –changelog httpd | grep „@“ | head -n 1
* Do Okt 07 2021 Patrick Uiterwijk <patrick@puiterwijk.org> – 2.4.51-1

Ich glaube, den muß ich auch mal motivieren 😀

Schwachstelle in Chrome und damit wohl in Chromium

Google hat verkündet, daß jeder mal sein Chrome auf den neusten Stand bringen muß, weil für die erst vor 4 Tagen gebaute 88.0.4324.96 schon Exploits im Umlauf sind.

Schwachstelle in Chrome und damit wohl in Chromium

Eine Schwachstelle in Chrome muß jetzt nicht gleichzeitig eine in Chromium sein, aber bis das geklärt ist, gehen wir mal davon aus, daß es das ist.

Jetzt haben wir nur ein Problem, zumindest für Fedora gibt es noch keinen Build zu dem man wechseln könnte. Die 88.0.4324.96-4 ist gestern erst gebaut worden. Hätte es da die 150 schon gegeben, wäre die vermutlich benutzt worden.

Für Eure Distros müßte jetzt mal in Eure Updatecenter schauen, ob die vielleicht schon eine neue 150er Version für Euch haben.

Die Schwachstelle

Über die Schwachstelle wissen wir, daß Sie in der Javascript-Engine von Chrome enthalten ist, da das keine angepaßte Komponente ist, wird das so auch für den Chromium gelten. Google gab dazu auch bekannt, das es bereits über eingesetzte Exploits informiert wurde. Für die unter Euch, die sich informieren wollen: CVE-2021-21148 ist eure Nummer.

D.b. wenn Ihr kein Update habt: Internetverbot für Chrome/ium bis das Update da ist.

 

Pinephone: Chromium Updates einspielen

Hallo Linuxphonies,

seit Chromium 85 durfte man im Fedora 34 Rawhide keine Updates einspielen, das hat sich geändert.

Pinephone: Chromium Updates einspielen

Ihr dürft Tom Callaway vom Fedora Dev Team danken, der sich um das Textrenderproblem beim Chromium gekümmert hat. Soweit ich das verstanden habe, konnte die Sandbox im Chromium auf bestimmte Librarycalls nicht zugreifen, weil diese noch nicht in der glibc implementiert waren. Das Problem konnte nun gelöst werden, daher könnt Ihr jetzt ohne Bedenken Chromium wieder updaten.