Linuxkurs-Blog (Posts about Sicherheit)

Cooler gegen cool: Angriffe mit manipulierten Softwarepaketen gehen weiter

Detlef Lannert — Sun, 29 Mar 2026 18:00:00 GMT

Anscheinend sind zahlreiche Nutzer dazu übergegangen, sich mit einer „Cooldown“-Frist gegen bösartig manipulierte Softwarepakete zu schützen, also neue Pakete erst einzusetzen, wenn eine Woche lang keine Probleme bekanntgeworden sind. Darauf reagieren nun die Urheber der Schadsoftware: Offenbar werden einige der bösartigen Payloads nun erst nach einigen Tagen aktiv – wenn der Cooldown-Schutz nicht mehr wirkt …

Zur Zeit werden auch andere mögliche Abwehrmaßnahmen diskutiert, beispielsweise die Überprüfung hochgeladener Software auf verdächtige große Binärdateien (Blobs). Mal sehen, wer das Wettrennen gewinnt; einstweilen sollte man mit Versionsupgrades vorsichtig sein.

Diese Vorsicht muss sich (einstweilen??) nicht auf Pakete der gängigen Linux-Distributionen erstrecken, da deren Aktualisierungen wohl noch gut genug von den Teams kontrolliert werden.

Angriffe auf Software-Lieferketten: Updates verzögern?

Detlef Lannert — Wed, 25 Mar 2026 19:00:00 GMT

Immer wieder wird Software entdeckt, beispielsweise auf GitHub, die manipuliert und mit Hintertüren versehen ist, durch die Bösewichte die Kontrolle über jeden Rechner erlangen können, auf dem die Software läuft. Durch solche Malware kann man auch betroffen sein, wenn man für seine eigene Python-Software die Paketabhängigkeiten aktualisiert – und das vielleicht gerade deshalb, weil man durch neuere Pakete Fehler in früheren Versionen beheben lassen will.

Gerade jetzt ist das Python-Paket LiteLLM als kompromittiert aufgefallen, das in der Version 1.82.8 SSH-Keys, Zugangsdaten, Krypto-Börsen etc. geklaut hat.

Deshalb gehen manche Entwickler und Admins dazu über, nicht die neuesten Versionen der Abhängigkeiten zu benutzen, sondern ein paar Tage abzuwarten, ob in der Zwischenzeit Probleme erkannt werden.

Einige Subkommandos von uv haben eine Option --exclude-newer (z.B. run <https://docs.astral.sh/uv/reference/cli/#uv-run>_), mit der Paketversionen, die neuer als ein bestimmtes Datum oder ein Zeitraum ('1 week') sind, von der Auflösung von Abhängigkeiten ausgeschlossen werden können. (Stattdessen kann global die Variable UV_EXCLUDE_NEWER auf einen geeigneten Wert gesetzt werden.)

Dieses Feature ist für reproduzierbare Builds gedacht, kann aber auch zum Dependency Cooling genutzt werden, um Probleme mit solchen Malware-Paketen zu vermeiden.

Kampagnen zur „Altersverifikation“ im Internet – kommt die freie Software dabei unter die Räder? [Update]

Detlef Lannert — Fri, 13 Mar 2026 16:00:00 GMT

Einer umfangreichen Recherche zufolge hat Meta viele Millionen $$ und mehr als 80 Lobbyisten eingesetzt, um Google und Apple mit ihren App-Stores für eine Altersverifikation im Internet verantwortlich zu machen – und selbst, mit seinen Social-Media-Angeboten, damit keinen Aufwand zu haben.

LWN macht darauf aufmerksam, zumal in einigen US-Bundesstaaten schon (offenbar als Ergebnis dieser Lobbyarbeiten) entsprechende Gesetze verabschiedet wurden. Dabei soll die Altersverifikation, natürlich verbunden mit biometrischer Identifikation der Nutzer, vom Betriebssystem erzwungen werden. Dies wäre nicht nur eine großartige Basis für eine totale Überwachung aller Internetaktivitäten der ganzen Bevölkerung (Big Brother lässt grüßen!), sondern womöglich auch das Ende freier Betriebssystemsoftware.

Sollten die Internetaktivitäten Minderjähriger nicht am besten von ihren Eltern kontrolliert (und mitverantwortet) werden? Vielleicht durch administrative Einstellungen im System? Kinder können auch ohne „Root-Rechte“ ein Smartphone, ein Tablet oder einen Laptop / PC sinnvoll für Schul- und Freizeitzwecke nutzen und dabei Medienkompetenz erwerben …

Update: Ein Artikel von The Register behandelt ebenfalls dieses Thema und die Auswirkungen auf Linux.

Allzu neue Python-Pakete ausschließen

Detlef Lannert — Thu, 05 Mar 2026 12:00:00 GMT

Einige Subkommandos von uv haben eine Option --exclude-newer (z.B. run), mit der Paketversionen, die neuer als ein bestimmtes Datum oder ein Zeitraum ('1 week') sind, von der Auflösung von Abhängigkeiten ausgeschlossen werden können. (Stattdessen kann global die Variable UV_EXCLUDE_NEWER auf einen geeigneten Wert gesetzt werden.)

Dieses Feature ist für reproduzierbare Builds gedacht, kann aber auch zum Dependency Cooling genutzt werden, um Probleme mit Malware-Paketen zu vermeiden. (Der verlinkte Artikel beschreibt, wie man diese Funktionalität mit pip erreichen kann, das sie noch nicht voll unterstützt.)

Spambots aussperren, ohne Menschen mit Bilderrätseln zu plagen

Detlef Lannert — Fri, 05 Dec 2025 19:00:00 GMT

mosparo ist ein Open-Source-Spamchecker für Webformulare, der nicht das Lösen von Bilderrätseln verlangt und keine Daten an Google schickt – das scheint ein guter Captcha-Ersatz zu sein. Es gibt Plugins zur leichteren Integration in z.B. Django oder Typo3. Die mosparo Association ist eine gemeinnützige Organisation in der Schweiz.

Vertrauenswürdige Zertifikate hinzufügen

Detlef Lannert — Fri, 17 Oct 2025 08:00:00 GMT

TIL: Wie kann man die Liste der vertrauenswürdigen Server auf einem (Debian-) Linux-Server erweitern?

Zertifikat(e) im crt-Format besorgen oder entsprechend (mit openssl) umwandeln
Zertifikate nach /usr/share/ca-certificates (am besten in ein frisches Unterverzeichnis) kopieren; es gibt auch /usr/local/share/ca-certificates, aber das funktionierte (auf einem älteren System) nicht
Zertifikatsdateien mit relativem Pfadnamen in /etc/ca-certificates.conf eintragen
das Kommando update-ca-certificates ausführen
gegebenenfalls Prozesse neu starten (oder den Server rebooten), weil manche Software offenbar Zertifikatsinformationen cachet

(Spoilerwarnung: Falls jemand rätselt – TIL steht für “things I learnt” …)

pwtool ist ein praktisches Passwort- und TOTP-Tool

Detlef Lannert — Thu, 02 Oct 2025 20:00:00 GMT

pwtool (in Debian testing jetzt auch als gleichnamiges Paket verfügbar) kann sichere, zufällige Passwörter generieren, diese in verschiedenen Formaten ausgeben (gehasht, nach Wordlist, in diverse Kommandos substituiert) und auch als TOTP-Server fungieren.

OCSP wird unbeliebt

Detlef Lannert — Tue, 30 Jul 2024 09:00:00 GMT

OCSP galt mal als sehr empfehlenswertes Protokoll, weil es ermöglicht, mit wenig Aufwand die aktuelle Gültigkeit von Zertifikaten zu überprüfen. Nun fällt es jedoch in Ungnade, weil Certification Authorities juristisch dazu herangezogen werden könnten, (Web-) Clients über ihre OCSP-Abfragen zu verfolgen. Let's Encrypt will deshalb den Support für OCSP einstellen.

awesome privacy – wie schütze ich meine Daten?

Detlef Lannert — Fri, 24 May 2024 07:55:00 GMT

Unter awesome-privacy findet sich eine kuratierte Liste von Alternativen zu Software verschiedenster Kategorien, die die Sicherheitsbedürfnisse und den Schutz der Daten von Anwendern berücksichtigt.

Verschlüsselte und versteckte Dateisysteme

Detlef Lannert — Fri, 23 Feb 2024 11:20:00 GMT

Shufflecake ist ein verschlüsseltes, verborgenes Dateisystem für Linux, das mehrstufige „plausible deniability“ ermöglicht.

Bis zu 15 separate, mit unterschiedlichen Passwörtern verschlüsselte Dateisysteme sind auf einem Shufflecake-Volume möglich, die eine Hierarchie bilden. Der Nutzer kann beispielsweise einem Angreifer das erste Passwort preisgeben, aber ihm ist nicht nachzuweisen, dass auf dem Volume weitere Dateisysteme existieren.