Tag Archives: fedora

Fedora: Firefox 92 ist bereit, aber noch nicht im Stable

Kurzes Update zum Firefox Update 92 für Fedora: Es wäre jetzt bereit.

Fedora: Firefox 92 ist bereit, aber noch nicht im Stable

Leider ist es noch nicht im Stable angekommen, da noch automatische Tests laufen, aber Ihr könnt das für Euch beschleunigen, indem Ihr das Update direkt von Koji runterladet:

Die Übersicht zu allen Firefox Builds:

https://koji.fedoraproject.org/koji/packageinfo?packageID=37

Fedora 33: https://koji.fedoraproject.org/koji/buildinfo?buildID=1829910
Fedora 34: https://koji.fedoraproject.org/koji/buildinfo?buildID=1829912

Ihr müßt Euch dann noch die Version raussuchen die zu Eurem System paßt, i.d.R. ist das die „x86_64“ Version. Für Pinephone wäre es natürlich ARM.

Nachdem Download einfach anklicken, mit der App „Software“ öffnen und Root-Passwort eingeben. Fertig.

Eingefleischte Linuxuser machen das natürlich so:

sudo dnf -y update https://kojipkgs.fedoraproject.org//packages/firefox/92.0/2.fc34/x86_64/firefox-92.0-2.fc34.x86_64.rpm

Das geht diesmal, weil kein neues NSS gebraucht wird, eine Serie von Abhängigkeitspaketen für Firefox.

Thunderbird 91 kann kein Deutsch mehr

Posted on by

Fedora hat die Thunderbird 91.1 Version am Start ( Testumgebung ) und gut, daß wir das mal Testen konnten, denn Deutsch ist nicht dabei 🙁

Thunderbird 91 kann kein Deutsch mehr

Thunderbird hat ein paar nette Änderungen drin, z.b. highlighten die Ordner mit neuen Emails jetzt mit kleinen gelben Sternchen. Ein bisschen gewöhnungsbedürftig ist das hinzufügen von Attachments zu einer Email, denn das geht jetzt gleichzeitig für „Inline“ und „Attached“ Modus.

„Inline“ meint, daß das das Attachment, wenn es ein Bild ist, im Textteil der Mail zusehen ist. Üblicherweise nennt man das Ergebnis eine HTML-Mail. Um das als Benutzer zu entscheiden, warf man das Bild einfach in die Email, oder in das Attachmentfeld rechts oben. Das geht jetzt nicht mehr. Nun muß man es „LINKS“ für Inline und RECHTS für „Attached“ werfen. Ich habe keine Ahnung, wer sich das ausgedacht hat 🙁

Viel schlimmer als die Attachments ist der Umstand, daß Thunderbird in dem Update auf Englisch in der UI umschaltet, weil die deutsche Sprachdatei fehlt. Die kann man hier finden und nachinstallieren:

https://download-origin.cdn.mozilla.net/pub/thunderbird/releases/91.0/linux-x86_64/xpi/de.xpi

Danach einfach mal im Addon Menü auf „Checking for Updates“ klicken, dann wirds spontan deutsch. Allerdings nur in den Prefs, für den Rest muß man Thunderbird neustarten.

Insgesamt ist das Update brauchbar und sollte nicht zu viele Probleme bereiten. Wer es für Fedora austesten möchte, der wird es von Koji runterladen und direkt installieren müssen:

https://koji.fedoraproject.org/koji/packageinfo?packageID=39

 

Sicherheitslücke in RPM: alte Keys werden nicht ungültig

Posted on by

Wie ZDNET gerade berichtet, haben RPM / DNF System wie Fedora, CentOS , RHEL und andere ein kleines Problem mit einer möglichen Supply-Chain-Attack.

Sicherheitslücke in RPM: alte Keys werden nicht ungültig

RPM Pakete aus Distro Repos werden i.d.R. signiert mit dem Key der jeweiligen Distro. RPM / DNF prüfen nach dem Download die Signatur des Pakets und nur wenn die gültig ist, wird das Paket installiert oder aktualisiert.

Die Prüfung ist leider nicht vollständig, weil alte Schlüssel nicht ungültig werden, da keine Revocationliste gefragt wird, ob der Key nicht zurückgezogen oder abgelaufen ist.

Das führt zu einer Supply-Chain-Attacke die uns allen dumm auf die Füsse fallen kann, wenn jemand die Repo Mirrors knacken sollte um dort geänderte Pakete mit alten Keysignaturen zu versehen. Damit wäre die Sicherheit der ganzen Installation gefährdet. Erschweredn kommt hinzu das immer noch unsignierte Pakete akzeptiert werden, auch wenn die GPG Signaturenprüfung aktiviert ist, meinen jedenfalls die Finder der Lücke.

Zwei Workarounds sind denkbar:

  1. Mirrorliste der Repos abschalten und nur noch die Hauptserver von Fedora /CentOs/ RHEL benutzen. Temporär wäre das eine Maßnahme, aber es belastet die Hauptserver kräftig.
  2. Die alten Keys vom System entfernen, dann sind die Signaturen nicht prüfbar => Problem erst einmal gelöst, außer es lassen sich wirklich unsignierte Pakete installieren, das wäre fatal.

Quelle: https://www.zdnet.com/article/major-linux-rpm-problem-uncovered/