Es geht um die Möglichkeit, den MOTUs (Masters of the universe) Programme vorschlagen zu können, die noch nicht in der universe-Sektion zu finden sind.
Unter https://wiki.ubuntu.com/MOTU/Packages/Candidates im offiziellen Ubuntu-Wiki kann man eigentlich schon seit längerem Vorschläge machen, doch wissen viele noch gar nicht, dass das möglich ist.Trotz allem ist die Vorschlagsliste bereits recht lang, woran man gut sehen kann, wie viele Menschen sich schon in Ubuntu einbringen wollen.

Jeder von uns kann also mithelfen dass z.B. das kommende Feisty Fawn noch weiter verbessert wird.

Es sollte beachtet werden, dass dazu ein Launchpad-Account benötigt wird.

Diskussion im Unstable-Forum

Dies betrifft auch Benutzer, die das Plugin über das Paket mozilla-acroread aus dem multiverse-Repository installiert haben. Leider ist es aufgrund des besonderen Status von multiverse fraglich, ob bzw. wann dort aktualisierte Pakete auftauchen werden. Das Paket sollte also auf jeden Fall deinstalliert und bei Bedarf durch die neuere Version von adobe.com ersetzt werden.

Nicht betroffen sind diejenigen, die PDF-Dateien ohne das Plugin in externen Applikationen öffnen, wie es auf frisch installierten Ubuntu-Systemen der Fall ist.

Cross-Site Scripting

Um zu erklären, warum diese Lücke so überaus gefährlich ist, hier erstmal eine kurze Erklärung, was "normales" Cross-Site Scripting ist:

Als Cross-Site Scripting (abgekürzt XSS) bezeichnet man Sicherheitslücken in Webpräsenzen, die Fremden die Ausführung clientseitiger Skripte im Kontext der Webseite ermöglichen.

Um ein Beispiel zu nennen: Wenn ein Forum verwundbar für XSS ist, weil bspw. die Beiträge der Gäste nicht ausreichend gefiltert werden, kann ein böswilliger Benutzer in einen seiner Beiträge z.B. Javascript-Code einschmuggeln. Dieser könnte dann das Cookie ahnungsloser Betrachter auslesen, an einen Server unter der Kontrolle des Angreifers schicken, und somit Identitätsdiebstahl ermöglichen. Was in einem Forum nur ein mittleres Ärgernis darstellen mag, kann schnell sehr teuer werden, wenn es z.B. die Webseiten von Banken, Webshops oder Online-Auktionshäusern betrifft.

Eine weitere Gefahr von XSS ist, dass über den Skript-Code einfach andere Seiten nachgeladen werden, die Schadsoftware enthalten. Das betrifft aber eher die Benutzer bestimmter anderer Betriebssysteme als Linux.

Universal Cross-Site Scripting

Das besonders gefährliche an dieser aktuellen Lücke ist nun, dass der Code clientseitig durch das Adobe-Plugin stattfindet. Ohne einen Fehler des Serverbetreibers wird seine Webpräsenz verwundbar sobald sie irgendwo ein PDF-Dokument beinhaltet. (Und das haben die meisten, selbst ubuntuusers.de.) Die Lücke funktioniert so:

http://static.ubuntuusers.de/newsletter/2006/freiesMagazin-2006-12.pdf#irgendwas=javascript:alert('verwundbar');

Bei wem durch Eingabe dieser URL ein Hinweisfenster erscheint, dessen System ist empfänglich und u.a. alle seine Zugangsdaten zu sämtlichen cookie-basierten Systemen sind in Gefahr! Edgy-Systeme mit installiertem mozilla-acroread und Firefox sind definitiv betroffen.

Bei einem wirklichen Angriff würde natürlich einerseits anderer, umfangreicherer Code ausgeführt, anstatt bloß ein Fenster zu öffnen, aber andererseits kann die URL auch gut verschleiert sein. Außer dem Update oder der Deinstallation des Plugins gibt es deswegen keinen brauchbaren Workaround.

Links

http://www.gnucitizen.org/blog/universal-pdf-xss-after-party/
http://www.adobe.com/support/security/advisories/apsa07-01.html
Diskussion in unserem Forum

So funktionieren mittlerweile diverse Sichereitslücken, die vormals nur von Microsoft Office bekannt waren unter OpenOffice.org und StarOffice 8. Unter anderem funktioniert der Exploit in OpenOffice.org und StarOffice. Startet man ein so präpariertes Word-Dokument mit Writer unter Windows XP SP2, so stürzt der Writer ab. Anschließend erscheint der Dialog zur Dokument-Wiederherstellung. Auch unter Linux und Ubuntu im speziellen Fall, sowie Mac OS X stürzt die Anwendung mit dem Hinweis ab, der Hauptspeicher sei voll. Es ist nach wie vor unklar, ob sich über diese Schwachstelle Schadcode einschleusen lässt.

Außerdem stellen zur Zeit eingebettete Vektorgrafiken ein Problem dar, mit deren Hilfe sich auf jeden Fall Schadcode ausführen lässt. Durch einen Integer-überlauf bei der Verarbeitung von WMF- oder EMF-Daten kommt es zu einem Puffer-überlauf in OpenOffice.org. Diese Sicherheitslücke steckt in OpenOffice.org bis einschließlich der Version 2.0.4 die in Ubuntu Edgy Eft verwendet wird. Die Sicherheitslücke erlaubt einem Angreifer das Ausführen beliebigen Programmcodes. Ein Opfer muss lediglich dazu gebracht werden, entsprechend präparierte Dateien mit einer nicht korrigierten Version von OpenOffice.org zu öffnen. In wie weit dies ein Problem unter einem Ubuntu System darstellt, ist unklar.

Generell gilt daher nun: Niemals Word Dokumente unbekannter Herkunft oder nicht vertrauenswürdiger Herkunft einfach so öffnen.

Benutzer von OpenOffice.org 2.0.4 sollten vorsichtshalber auf OpenOffice.org 2.1 umsteigen, da zumindest der zweite beschriebene Fehler in OpenOffice.org 2.1 behoben wurde.

Benutzer von StarOffice 8 sollten unbedingt den neuesten Patch (pp5) installieren, um den Fehler zu beheben. Wie man den Patch installiert, ist bereits im Wiki im StarOffice8 Beitrag beschrieben.

Danke an H_Roewer für diesen Artikel.

Weitere Informationen:

Büroanwendungen
OpenOffice.org
StarOffice8

Diskussion

Mit einem neuen Entwicklungs- und Qualitätssicherungsprozess streben die Entwickler weitreichende Verbesserungen in der Qualität und Stabilität ihres Produktes an. Erste Auswirkungen dieser Umstrukturierungen zeigen sich in den deutlich verkürzten Startzeiten, welche in den Vorgängerversionen häufig zum Kritikpunkt der Software geworden waren.

Weiterhin bemühten sich die Entwickler um eine umfangreichere Kompatibilität zu anderen Anwendungen. So bietet OOo 2.1 nun auch einen direkten Export zu Adobes PDF. Ebenso wurde die Kompatibilität zu Microsofts Office erhöht - insbesondere dem Base-Modul zur Verwaltung von Datenbanken fällt das hantieren mit Access-Datenbanken leichter.

Für die Benutzer mehrerer Monitore bietet das Update eine nützliche Ergänzung: Die Präsentationssoftware Impress bietet nun einen "Mehrbildschirm-Modus", der es ermöglicht Folien und Notizen auf getrennten Bildschirmen anzuzeigen. Für die Tabellenkalkulation Calc wurde der HTML-Export überarbeitet, sodass es nun ein Leichtes ist die Dokumente im Internet zu veröffentlichen. Auch vertikales und bidirektionales Schreiben sowie Complex Text Layout sind mit der neuen Bürosoftware möglich.

Der, Windows-Benutzern bereits bekannte, Quickstarter wurde nun auch als GTK-Applikation für Linux umgesetzt. Er ermöglicht es Teile des Programmcodes in den Speicher zu laden, um so den Programmstart zu beschleunigen.

Auch die Lokalisierung des Projekts machte Fortschritte: Neben fünf neu hinzugekommenen Sprachen, wurden in den bereits vorhandenen Lokalisierungsfehler behoben und die Tastenkürzel besser den Gegebenheiten der Sprache angepasst.

Insbesondere für Entwickler dürfte interessant sein, dass die Erweiterungen nun auch Informationen zu der Versionsnummer beinhalten können. Dies erlaubt ein wesentlich vereinfachtes Management von Updates von Packages. Ebenso erleichtert ein erweitertes Software Development Kit das Erstellen der - nun Extensions genannten - Packages. Die neue Version erlaubt es weiterhin Basic-Makros aufzuzeichnen und stellt so den Entwicklern ein weiteres Werkzeug zur Verfügung. Konfigurierbare XML-Filter, sowie Filter für DocBook und XHTML sollen Modularität gewährleisten.

Für Linux-Benutzer eher uninteressant ist das verbesserte Online-Update. OpenOffice sucht nun automatisch in regelmäßigen Abständen nach einer neuen Version. Wem dies missfällt, ist es möglich das Auto-Update in den Optionen zu deaktivieren. - Um Benutzer durch den automatischen Verbindungsaufbau nicht zu verschrecken, wurde in die Installation ein Dialog eingebaut, der den Anwender auf die Option aufmerksam machen soll.

Wie auch bei den Vorgängerversionen, wird es von OOo 2.1 eine "PrOOo-Box" geben, die neben OpenOffice.org zahlreiche Schriften, Vorlagen und Hilfsprogramme enthält. Das CD-Image wird auf der Website zum Download bereitstehen. Auch das Projekt OpenOffice.org Portable, eine direkt vom USB-Stick lauffähige Version der Office-Suite, wird im Zuge des Versionssprungs überarbeitet.

Download von OpenOffice 2.1.0

Diskussion im Forum

Da die Download-Server vermutlich in diesen Tagen sehr stark überlastet sein werden, macht es Sinn, sich das neue Release via BitTorrent herunterzuladen.

Wir wünschen Euch viel Spaß mit der neuen Version.

Diskussion.

1) Firefox 2.0 ist nicht in den Paketquellen von Ubuntu Dapper Drake 6.06 enthalten und wird auch nicht in die offiziellen Ubuntu Paketquellen aufgenommen werden. Wie bei allen versionsbasierten Linux Distributionen werden nach dem Erscheinen einer Version nur noch wichtige Fehler behoben und Sicherheitsupdates eingespielt. Neue Software Versionen kommen erst mit einer neuen Version der Distributio, jedoch nie in eine schon bestehende Version.

2) Möchte man neuere Software benutzen, so kann man so genannte Backports verwenden. Dies sind Paketquellen, in der man Software finden kann, die aus der sich in Entwicklung befindlichen Ubuntu Version zurückportiert wurden. Allerdings wurde der Wunsch nach einer Rückportierung von Firefox 2.0 abgelehnt. Firefox ist nicht nur ein Browser, sondern auch eine Rendering Engine für mehr als 180 Programme. Würde man Firefox zurückportieren müsste man all diese Programme ebenfalls an den neuen Firefox anpassen.

3) Wer Firefox 2.0 jetzt nutzen möchte ohne auf Ubuntu Edgy Eft 6.10 umzusteigen, der installiere ihn bitte von Hand. Das Vorgehen dauert keine fünf Minuten, eine Anleitung ist wie immer in unserem Wiki unter Firefox manuell installieren zu finden.

4) Firefox und alle anderen Mozilla Produkte werden unter Ubuntu nicht umbenannt. Canonical hat sich mit der Mozilla Foundation geeinigt. Die Meldung dazu kann man auf der Mailingliste der Ubuntu-Entwickler nachlesen. Für Diskussion zum Thema Iceweasel und Co. steht dieser Thread offen.

Diskussionen rund um Firefox 2.0

Es gibt keine., so wird Matt Bishop zitiert vom Team der CryptoCD. Die CryptoCD ist ein Projekt mit dem Ziel möglichst vielen Menschen mit einsteigerfreundlichen Anleitungen ein Maximum an Privatspähre zu ermöglichen. Besonders lobenswert ist der Grundsatz lediglich Freie Software zu verwenden. Außerdem ist die CD nahezu Plattform-unabhängig gestaltet, die Programme und Anleitungen sind für Linux, Mac OS X und Windows verfügbar.

Wer nun einen Blick in die Informationen und Anleitungen werfen möchte kann die Online-Version besuchen.

Der Download der CD ist auf der Homepage möglich, kopieren und weiterverteilen ist ausdrücklich erwünscht.

Passend zum Thema gibt es auch in unserem Wiki eine Anleitung zur Verschlüsselungssoftware GnuPG.

Danke an sven-tek für diesen Text.

Kommentare

Zu den Anpassungen gehört beispielsweise die Änderung des Boot images, des Boot splash (usplash), des GDM Themes, des Desktops, der GNOME Einstellungen wie Hintergrundbild, Schriftarten, Theme und Icons.

Wahlweise läßt sich bestimmte Software wie blender, VLC, VMware Player, Flash, Java oder auch Serversoftware wie Apache2, MySQL oder OpenSSH - um einige zu nennen - in die CD integrieren. Denn neben der Angabe der zu benutzenden Repositories besteht auch die Möglichkeit sogenannte "Custom software" einzubinden.

Mit Reconstructor, was sich auch mit Ubuntu 6.06.1 verwenden läßt, ist man in der Lage über eine grafische Oberfläche ISOs für x86, PowerPC und IA64 zu erzeugen.

Neben der stabilen Version 1.0 steht auch eine 1.1 beta zum Download bereit.

Weitere Informationen und Screenshots auf der Reconstructor Seite.

Diskussion im Forum

Hier ein kurzer Abriss:

• Blitzen übers Netz: Der Blitzspieler denkt und zieht schnell. Für eine Partie benötigt er 1-5 Minuten Bedenkzeit. Eine Blitzpartie dauert demnach 2- 10 Minuten. Er tummelt sich daher gerne auf den Schachservern dieser Welt. Mein bevorzugter ist der free internet chessserver (kurz: fics). Dieser Server macht seinem Namen Ehre und ist wirklich frei (http://www.freechess.org).
  Eine Javasoftware findet Ihr hier. Jin ist sehr einfach zu bedienen (durch die graphische Oberfläche) und als Gast (unrated) kann man auf dem fics direkt loslegen. Der Ambitionierte wird bald seine eigene Kennung beantragen, um sich mit seiner eigenen Wertungszahl mit anderen (rated) zu messen.

• Fernschach: Fernschach wurde einst über den Postweg abgewickelt. Mittlerweile ist es aber bequemer über das Internet. Für jeden Zug hat man 1, 2 oder mehr Tage Bedenkzeit. Die guten Server sind meistens kostenpflichtig. Gute Erfahrungen habe ich mit kingchess.de gemacht. Wenigstens die ersten 40 Partien sind kostenfrei, danach kann man entscheiden, ob man Mitglied wird. Das Ganze wird natürlich erst rund mit Firefox oder auch dem guten Konqueror.

• Schachdatenbanken: Wer sich verbessern will, schaut sich Partien anderer an, am liebsten von bekannten Großmeistern. Hier hat sich scid bewährt. Es ist Shane Hudsons freie Datenbank. Der Neuseeländer hat eine nahezu perfekte Datenbank geschaffen. Unter Ubuntu ist scid in 30 Sekunden installiert: apt-get install scid
  Der weit verbreitete freie Standard „pgn“ lässt sich per Konsole in das scidformat umwandeln: pgnscid Dateiname
  Futter für die Datenbank gibt’s hier.

• Gegen den eigenen Computer: Wer gegen die künstliche Intelligenz spielen mag, muss sich nicht lange umschauen. Auf der Konsole kann man gegen GNU-Chess antreten. Ich empfehle jedoch, gleich xboard als graphisches Interface mitzuinstallieren. Beides ist bequem über Synaptic zu installieren.

Die genannten Programme sind innerhalb kürzester Zeit zu installieren. Es kann also losgehen.

Den Diskussions-Thread zum Artikel findet Ihr hier.

Nachdem die Entwickler der freien Office-Suite OpenOffice.org vor kurzem Version 2.0.3 ihres Programmes veröffentlicht haben, sind nun Beta-Versionen von Debian-Paketen für Ubuntu 6.06 Dapper Drake erschienen.

In der neuen Version kann nun beim Exportieren in das PDF-Format bestimmt werden, wie das Ergebnis aussehen soll. Zusätzlich gibt es eine Funktion, um ein Dokument ohne Zwischenspeicherung direkt als Word-Dokument zu versenden.

Neu ist auch, dass die deutsche Version des Synonymwörterbuchs Thesaurus nun von Haus aus installiert ist und nicht mehr manuell hinzugefügt werden muss; man kann nun auch einfach per Menüeintrag nach Updates für Thesaurus suchen.

Zusätzlich erhielt Bedienoberfläche von OpenOffice einige kleine Verbesserungen, die Startzeit und Performance des Programmes wurden verbessert und drei Sicherheitslücken, die zur automatischen Ausführung von Code führen konnten, wurden beseitigt.

Es ist zu beachten, dass die neuen Pakete erst im proposed-Zweig sind, und somit noch nicht getestet sind.

Um sie zu installieren, muss man folgende Quelle freischalten:

deb http://archive.ubuntu.com/ubuntu/ dapper-proposed main

Die neue Version ist dann nach dem Neuladen der Quellen verfügbar.

Die Panda Desktop Firewall lässt sich mit einfachsten Mitteln aushebeln. Die Firewall filtert nur nach dem Pfad des auszuführenden Programms, was besonders bei Interpretersprachen fatal ist. Hat man einen Interpreter freigegeben, z.B. /usr/bin/python2.4, der unter Anderem von Gajim (einem Instant-Messenger) und QuodLibet (einem Music-Player) benutzt wird, können andere Programme, die denselben Interpreter nutzen, ohne eine weitere Warnung ins Internet.

Zum Testen installiert man also zwei Python-Programme wie Gajim und QuodLibet. Startet man Gajim mit einer Jabber-Verbindung, so wird man von der Panda-Firewall auf diese neue Verbindung hingewiesen und kann sie aktivieren. Startet man nun einen RadioStream in QuodLibet, so kann QuodLibet ohne eine weitere Warnung Daten mit dem Internet austauschen.

Eine weitere Schwachstelle ist, dass die Firewall keine Prüfsummen der freigegebenen Anwendungen erstellt. Tauscht man also eine Programm-Datei gegen eine andere - eventuell manipulierte - Version aus, fällt das der Firewall nicht auf.

Nur als einfaches Beispiel: Den Textbrowser lynx in der Panda Firewall freigeben und die /usr/bin/lynx gegen /usr/bin/wget austauschen. Lädt man jetzt mit diesem umbenannten wget eine Datei aus dem Netz

lynx www.domain.tld/datei.txt

wird man von Panda nicht auf diese Manipulation hingewiesen. Man mag natürlich argumentieren, dass das Manipulieren von Dateien in /usr/bin nur für root möglich ist. Aber User installieren Software auch in ihr Homeverzeichnis wo auch Malware die geeigneten Rechte hätte. (Das betrifft u.a. auch Klik).

Nächste Schwachstelle: Fügt man ein Programm in die von Gnome zu startenden Programme, sprich in die aktuelle Gnome Session ein, so werden diese Programme zum Teil VOR dem Starten der Panda Firewall ausgeführt. Eine Malware, hätte hier also Gelegenheit ihr Werk zu tun. Als Beispiel. Fügt man das triviale Script

!/bin/bash

wget www.domain.tld/datei.txt

in die GNOME-Session ein. So hat man nach dem Einloggen die Datei "datei.txt" auf der Festplatte.

Ob die Firewall also einen Schutz darstellt, muss bei solch trivialen Exploits in Frage gestellt werden.

Auch der Mail-Schutz ist nicht sehr durchdacht. Erscheint einem die Lösung mit einem Proxy in Anbetracht der Vielzahl an Mailclients unter Linux anfänglich noch als eine gute Idee, so ändert sich das, wenn man seine Mail über das SSL-IMAP-Protokoll liest.

Eine SSL-verschlüsselte IMAP-Session (getestet über den IMAPS-Port 993) umgeht den Mailproxy. In einem Test mit einem gezippten Virus, wurde dieser erst beim Versuch, ihn zum Entpacken auf der Festplatte abzuspeichern entdeckt. Ein Virus, der beispielsweise über ein Bild eine Lücke in einem Mailprogramm ausnutzt, würde so wohl eventuell nicht entdeckt werden. Aus Mangel an einem geeigneten Beispielobjekt konnten wir das leider nicht testen.

Benutzer alternativer Desktops scheinen gar nicht zur Zielgruppe des Programms zu gehören. Auf einem Xubuntu-System konnte das Programm nur mit spanischsprachigen Dialogen aufwarten und musste nach jedem Einlogvorgang von Hand neu gestartet werden.

All diese Lücken im Schild wurden innerhalb weniger Stunden von einem Nachtwächter und einem Maschinenbauer gefunden. Und das vollständig ohne tiefgreifende Kenntnisse in Programmierung oder Reverse Engineering zu benötigen.

Eine Diskussion wurde schon im Original-Forumsbeitrag begonnen.

Die beliebte Virtualisierungssoftware VMware hat jetzt die erste Final der Server-Version freigegeben.
Wie schon bekannt, bleibt die Softwars kostenlos, auch wenn man sich registrieren muss, um sie zu nutzen. Nach der Registrierung erhält man hierfür eine Seriennummer.

Hier kann man die Release Notes finden, wo auch Anleitungen für Installation und ähnliches zu finden sind.

Im Gegensatz dazu ist der Player von VMware bereits in den Ubuntu-Quellen ab Dapper verfügbar.

Quelle: ProLinux.de

Opera 9 ist eine kostenlose Internet-Suite, die verschiedene Aufgaben wie Webbrowsing, E-mails lesen abdeckt und weitere nützliche Funktionen rund um das Internetsurfen bietet. Opera 9 ist für verschiedene Plattformen wie Windows, Mac OS X und weitere Unix-Derivate verfügbar.

Weitere Links zur Informationen und Installation des Browsers:

Homepage von Opera
Meldung von ubuntu.com
Wikiseite über Opera
Wikipedia Eintrag über Opera

Fast ein Jahr mussten Linux-Nutzer mit der veralteten Version 1.2 vorliebnehmen - Skype für Windows ist bereits in der Version 2.5 zu haben. Die aktualisierte Version für Linux soll nun "den Anschluss" an die Windows-Version nicht verlieren lassen , und behebt einige Fehler. Auch wird nun die Soundausgabe "ALSA" unterstützt. Nähere Informationen im Changelog (s.u.).

Ubuntu Benutzer können die fast 10 MB große Datei einfach herunterladen, und mittels Doppelklick (GDebi-Installer) installieren. Danach findet sich ein Menü-Eintrag unter "Anwendungen - Internet".

Als freie Linux-Alternative statt Skype bietet sich die Software "Ekiga" an. Dieser "OpenSource-VoIP-Client" bietet einen ähnlichen Umfang wie Skype, und integriert sich gut in Ubuntu. Der Service ist ebenfalls kostenlos, und ist kompatibel zu einigen Protokollen (wie z.B. Windows Messenger). Allerdings ist bis heute der Windows-Client von Ekiga noch nicht fertig portiert, so dass man auf Linux angewiesen ist.

Links:
Skype Download
Changelog
Ekiga Softphone
Meldung bei Heise.de

Die Version 2.14.2 stellt die zweite Überarbeitung der stabilen Version 2.14 von Gnome dar. Sie erschien zeitgleich mit Ubuntu 6.06 am 1. Juni 2006 und konnte daher nicht mehr in das finale Ubuntu einfließen, welches Gnome 2.14.1 enthielt. Die neue Gnome-Version behebt hauptsächlich Fehler und verbessert die Übersetzungen sowie die Dokumentation. Neue Funktionen sind kaum vorhanden.

Das Update umfasst 55 Pakete (68 MB) und enthält neben den neuen Gnome-Paketen auch die neue Version 2.6.15-25 des Kernels sowie eine neue Version des NVidia-Treibers nvidia-glx und einige weitere Neuerungen. Es wird empfohlen, das Update einzuspielen, da es sich weitgehend um fehlerbereinigte Pakete handelt.

Pro-Linux berichtet über Gnome 2.14.2