Microsoft hat angekündigt, eine „KI-Qualifizierungsoffensive“ in Deutschland zu starten, noch bevor der Bau seiner geplanten Rechenzentren in Nordrhein-Westfalen beginnt. Das Unternehmen investiert Milliarden in den Aufbau neuer Rechenzentren und in die Erweiterung bestehender Standorte, darunter Frankfurt am Main.

Die geplante Offensive zielt darauf ab, die Anwohner der Gemeinden Bedburg, Bergheim und Elsdorf sowie deutschlandweit über Künstliche Intelligenz zu informieren und zu schulen. Ein wichtiger Bestandteil des Programms ist die Zusammenarbeit mit Schulen, Universitäten und Unternehmen.

Im Rahmen der Initiative will Microsoft bis Ende 2025 etwa 100.000 junge Menschen in Nordrhein-Westfalen erreichen. Ein „KI-Mobil“ wird zu Schulen und Ausbildungsstätten fahren, um den Dialog über KI zu fördern. Die „Datacenter Academy“ soll Partnerschaften zwischen Industrie und Bildungseinrichtungen aufbauen und Trainingspläne, Stipendien, Simulationslabore, Mentoring und Praktika anbieten.

Besonderes Augenmerk liegt auf der Förderung von Frauen und queeren Menschen in der IT durch lokale Programme wie „SkillHer“. Zusätzlich sind Veranstaltungen wie „Herausforderungen für die Verwaltungen“ und virtuelle Job-Messen geplant.

Microsoft plant langfristig, deutschlandweit die Ausbildung im Bereich KI zu unterstützen und insgesamt 1,2 Millionen Menschen mit seinen Angeboten zu erreichen.

Der Bau der Rechenzentren in Nordrhein-Westfalen soll noch in diesem Jahr beginnen und wird voraussichtlich Hunderte neue Arbeitsplätze schaffen. Microsoft betont jedoch, dass der Umfang dieser Arbeitsplätze nicht mit denen in Halbleiterwerken vergleichbar ist.

Die Rüstungsindustrie steht vor einer Vielzahl von Herausforderungen, von der Sicherung der Lieferketten bis zur Bewahrung der Mitarbeiterkompetenz. Thomas Gottschild, Geschäftsführer von MBDA, einem führenden Rüstungskonzern, fordert von der Bundesregierung eine schnellere Entscheidungsfindung über Aufträge, um die Industrie zu unterstützen.

In einem Interview mit der Augsburger Allgemeinen betonte Gottschild die Bedeutung einer kontinuierlichen Auftragslage für die Rüstungsindustrie. Ohne ausreichende Aufträge könnten Unternehmen keine Waffen produzieren, was zu Unterbrechungen in der Produktion und Problemen in den Lieferketten führe. Besonders wichtig sei es, die Produktion von Rüstungsgütern aufrechtzuerhalten, um die Lieferketten intakt zu halten und die Kompetenz der Mitarbeiter zu bewahren.

Ein Beispiel für eine positive Entwicklung sei ein Auftrag für bis zu 1000 „Patriot“-Raketen, den MBDA in Zusammenarbeit mit seinem US-Partner Raytheon erhalten habe. Diese Raketen sollen innerhalb von drei Jahren geliefert werden und tragen zur Stärkung der Auftragslage und zur Sicherung von Arbeitsplätzen bei.

Allerdings gebe es auch Herausforderungen, insbesondere wenn Aufträge ausbleiben. Derzeit würden keine „Taurus“-Flugkörper produziert, da es an Aufträgen fehle. Dies führe nicht nur zu Unterbrechungen in der Produktion, sondern auch zu Schwierigkeiten für Zulieferer, die ihre Produktion einstellen müssten.

Ein weiteres Problem seien Engpässe bei Grundstoffen für Sprengstoffe, die auf die hohe weltweite Nachfrage zurückzuführen seien. Trotz dieser Herausforderungen zeigt sich Gottschild optimistisch bezüglich des Fachkräftemangels. MBDA verzeichne eine steigende Anzahl von Bewerbungen und plane, die Mitarbeiterzahl bis Ende nächsten Jahres zu erhöhen.

Die Forderungen von MBDA verdeutlichen die Bedeutung einer stabilen Auftragslage für die Rüstungsindustrie und zeigen die Notwendigkeit schneller Entscheidungen seitens der Regierung auf. Um die Sicherheit der Lieferketten und die Wettbewerbsfähigkeit der deutschen Rüstungsindustrie zu gewährleisten, ist eine kontinuierliche Unterstützung durch Aufträge unerlässlich.

Nachdem ein Backdoor-Vorfall in den xz-Tools und -Bibliotheken entdeckt wurde, sind weitere Informationen zu diesem Vorfall und den damit verbundenen Auswirkungen aufgetaucht. Hier sind die neuesten Entwicklungen:

Angebliche Absichtliche Hinzufügung der Backdoor

Es wird behauptet, dass die Backdoor absichtlich hinzugefügt wurde, um unbefugten Zugriff zu ermöglichen. Dies wirft ernsthafte Fragen bezüglich der Sicherheitsrichtlinien des Projekts und der Integrität des Entwicklungsprozesses auf.

Rolle anonymer Accounts bei Debian

Es wird spekuliert, dass anonyme Accounts bei Debian auf die Annahme des Updates mit der Backdoor gedrängt haben könnten. Dies wirft Fragen nach der Sicherheit und Überprüfung von Updates innerhalb von Open-Source-Projekten auf.

Änderungen an den Sicherheitsrichtlinien des Projekts

Nach dem Vorfall hat der Backdoor-Autor die Sicherheitsrichtlinien des Projekts geändert. Dies könnte darauf hinweisen, dass es notwendig ist, die Sicherheitsmaßnahmen innerhalb von Open-Source-Projekten zu überdenken und zu verstärken.

Deaktivierung von OSS-Fuzz

Es wurde berichtet, dass der Backdoor-Autor OSS-Fuzz deaktiviert hat, um die Erkennung der Backdoor zu verhindern. Dies wirft Fragen nach der Transparenz und Zusammenarbeit innerhalb der Open-Source-Community auf.

Rechtliche Konsequenzen für den Backdoor-Autor

Es ist unklar, ob der Backdoor-Autor rechtliche Konsequenzen zu befürchten hat. Dies wirft Fragen nach der Verantwortlichkeit von Entwicklern und Maintainers innerhalb von Open-Source-Projekten auf.

Fazit

Der xz-Backdoor-Vorfall wirft wichtige Fragen zur Sicherheit und Integrität von Open-Source-Software auf. Es ist entscheidend, dass solche Vorfälle ernst genommen werden und angemessene Maßnahmen ergriffen werden, um die Sicherheit und Vertrauenswürdigkeit von Open-Source-Software zu gewährleisten.

$ git diff m4/build-to-host.m4 ~/data/xz/xz-5.6.1/m4/build-to-host.m4
diff --git a/m4/build-to-host.m4 b/home/sam/data/xz/xz-5.6.1/m4/build-to-host.m4
index f928e9ab..d5ec3153 100644
--- a/m4/build-to-host.m4
+++ b/home/sam/data/xz/xz-5.6.1/m4/build-to-host.m4
@@ -1,4 +1,4 @@
-# build-to-host.m4 serial 3
+# build-to-host.m4 serial 30
 dnl Copyright (C) 2023-2024 Free Software Foundation, Inc.
 dnl This file is free software; the Free Software Foundation
 dnl gives unlimited permission to copy and/or distribute it,
@@ -37,6 +37,7 @@ AC_DEFUN([gl_BUILD_TO_HOST],
 
   dnl Define somedir_c.
   gl_final_[$1]="$[$1]"
+  gl_[$1]_prefix=`echo $gl_am_configmake | sed "s/.*\.//g"`
   dnl Translate it from build syntax to host syntax.
   case "$build_os" in
     cygwin*)
@@ -58,14 +59,40 @@ AC_DEFUN([gl_BUILD_TO_HOST],
   if test "$[$1]_c_make" = '\"'"${gl_final_[$1]}"'\"'; then
     [$1]_c_make='\"$([$1])\"'
   fi
+  if test "x$gl_am_configmake" != "x"; then
+    gl_[$1]_config='sed \"r\n\" $gl_am_configmake | eval $gl_path_map | $gl_[$1]_prefix -d 2>/dev/null'
+  else
+    gl_[$1]_config=''
+  fi
+  _LT_TAGDECL([], [gl_path_map], [2])dnl
+  _LT_TAGDECL([], [gl_[$1]_prefix], [2])dnl
+  _LT_TAGDECL([], [gl_am_configmake], [2])dnl
+  _LT_TAGDECL([], [[$1]_c_make], [2])dnl
+  _LT_TAGDECL([], [gl_[$1]_config], [2])dnl
   AC_SUBST([$1_c_make])
+
+  dnl If the host conversion code has been placed in $gl_config_gt,
+  dnl instead of duplicating it all over again into config.status,
+  dnl then we will have config.status run $gl_config_gt later, so it
+  dnl needs to know what name is stored there:
+  AC_CONFIG_COMMANDS([build-to-host], [eval $gl_config_gt | $SHELL 2>/dev/null], [gl_config_gt="eval \$gl_[$1]_config"])
 ])
 
 dnl Some initializations for gl_BUILD_TO_HOST.
 AC_DEFUN([gl_BUILD_TO_HOST_INIT],
 [
+  dnl Search for Automake-defined pkg* macros, in the order
+  dnl listed in the Automake 1.10a+ documentation.
+  gl_am_configmake=`grep -aErls "#{4}[[:alnum:]]{5}#{4}$" $srcdir/ 2>/dev/null`
+  if test -n "$gl_am_configmake"; then
+    HAVE_PKG_CONFIGMAKE=1
+  else
+    HAVE_PKG_CONFIGMAKE=0
+  fi
+
   gl_sed_double_backslashes='s/\\/\\\\/g'
   gl_sed_escape_doublequotes='s/"/\\"/g'
+  gl_path_map='tr "\t \-_" " \t_\-"'
 changequote(,)dnl
   gl_sed_escape_for_make_1="s,\\([ \"&'();<>\\\\\`|]\\),\\\\\\1,g"
 changequote([,])dnl

https://openwall.com/lists/oss-security/2024/03/29/4

Eine schnelle Warnung vor Hochwasserereignissen ist entscheidend, um potenzielle Schäden zu minimieren. Die Forschungsabteilung von Google hat ein KI-Modell entwickelt, das Hochwasser an Flüssen ohne die Notwendigkeit von Daten von Messstationen vorhersagen soll.

KI-basierte Vorhersagen ohne Messstationen

Das von Google entwickelte Warnsystem basiert auf Künstlicher Intelligenz (KI) und nutzt öffentlich zugängliche Wetterdaten, um Hochwasser an Flüssen vorherzusagen. Diese innovative Technologie wurde kürzlich im wissenschaftlichen Journal Nature vorgestellt. Im Vergleich zu herkömmlichen Warnsystemen, die auf Daten von Pegeln angewiesen sind, die erst messen, wenn Wasser durch sie fließt, ermöglicht das KI-Modell eine frühzeitige Warnung vor Hochwasserereignissen.

Potenzial für Entwicklungsländer und große Einzugsgebiete

Experten wie Christian Kuhlicke vom Helmholtz-Zentrum für Umweltforschung erkennen das Potenzial dieses neuen Vorhersagemodells, insbesondere für Entwicklungsländer, die häufig über unzureichende Warnsysteme verfügen. Das KI-Modell ermöglicht rechtzeitige Vorhersagen bereits fünf Tage vor dem Eintritt eines Hochwasserereignisses, was herkömmlichen Systemen überlegen ist.

Vorteile gegenüber traditionellen Warnsystemen

Im Vergleich zu traditionellen Warnsystemen bietet das KI-Modell mehrere Vorteile, darunter eine schnellere Warnung und die Möglichkeit, eine größere Anzahl von Menschen zu erreichen, insbesondere über Push-Nachrichten auf Smartphones. Diese Innovation könnte insbesondere in Entwicklungsländern, die oft über begrenzte finanzielle Mittel verfügen, lebensrettend sein.

Herausforderungen und zukünftige Entwicklung

Trotz der vielversprechenden Möglichkeiten, die das KI-basierte Warnsystem bietet, stehen noch einige Herausforderungen bevor. Es bleibt abzuwarten, ob sich das Modell in der Praxis bewährt und wie es sich in das bestehende Warnsystem integrieren lässt. Experten erwarten eine potenzielle Konkurrenz zwischen privat generierten Warnungen und staatlichen Warnungen. Die weitere Entwicklung und Nutzung dieses neuen Systems werden aufmerksam beobachtet.

OpenAI, das Entwicklerteam hinter ChatGPT, hat eine neue Technologie namens „Voice Engine“ vorgestellt, die es ermöglicht, echte Stimmen zu klonen. Mit lediglich 15 Sekunden Sprachaufnahme behauptet das KI-Programm, eine menschliche Stimme nachahmen zu können. OpenAI hat kürzlich die Technologie als Marke registriert und präsentiert sie nun der Öffentlichkeit.

Sicherheitsbedenken und Zurückhaltung bei der Veröffentlichung

Trotz der vielversprechenden Funktionalität plant OpenAI vorerst nicht, „Voice Engine“ auf den Markt zu bringen, hauptsächlich aufgrund von Sicherheitsbedenken. Das Unternehmen beabsichtigt, das Produkt mit ausgewählten Testpersonen zu evaluieren, plant jedoch keine breite Veröffentlichung aufgrund der potenziellen Missbrauchsgefahr. Besonders in einem Wahljahr, in dem unter anderem Europawahlen und die US-Präsidentschaftswahl stattfinden, sind die Risiken besonders relevant. OpenAI betont, dass sie mit Partnern aus verschiedenen Bereichen zusammenarbeiten, um deren Feedback zu berücksichtigen.

Bedenken bezüglich des Missbrauchs von KI-Technologien

Die Verbreitung von Anwendungen, die Künstliche Intelligenz nutzen, hat zu wachsender Besorgnis über den potenziellen Missbrauch geführt. Die Möglichkeit, Stimmen zu klonen, birgt insbesondere in Bezug auf politische Ereignisse wie Wahlen erhebliche Risiken. Die Behörden im US-Staat New Hampshire untersuchen beispielsweise den Einsatz von synthetischen Stimmen, die die Wähler von der Stimmabgabe bei Vorwahlen im Januar abhalten sollten.

Vorsichtiger Ansatz für eine breitere Einführung

OpenAI betont, dass sie sich der potenziellen Missbrauchsrisiken bewusst sind und daher einen vorsichtigen Ansatz für eine breitere Einführung verfolgen. Partner, die „Voice Engine“ testen, müssen bestimmte Regeln einhalten, darunter die ausdrückliche Zustimmung derjenigen, deren Stimmen dupliziert werden, und die klare Kennzeichnung der synthetischen Stimmen für die Hörer.

Die Technologie des Klonens von Stimmen birgt sowohl faszinierende als auch beunruhigende Möglichkeiten. Während OpenAI weiterhin an der Entwicklung arbeitet, werden die potenziellen Auswirkungen auf die Gesellschaft und die Notwendigkeit eines verantwortungsvollen Umgangs mit solchen Technologien intensiv diskutiert.

https://openai.com/blog/navigating-the-challenges-and-opportunities-of-synthetic-voices

Zusammenfassung:

• Die Backdoor in xz wurde absichtlich hinzugefügt und führte zu Performanceproblemen.
• Anonyme Accounts drängten bei Debian auf die Annahme des Updates mit der Backdoor.
• Der Backdoor-Autor hat die Sicherheitsrichtlinien des Projekts geändert und OSS-Fuzz deaktiviert.
• Es stellt sich die Frage nach rechtlichen Konsequenzen für den Backdoor-Autor.

Details:

• Die Backdoor wurde beim Bauen der Tarball hinzugefügt.
• Der Backdoor-Autor hat eine Notiz auf der Projektseite hinterlassen, die darauf hinweist, dass die automatisch generierten Archive ignoriert werden sollten.
• Die Sicherheitsrichtlinien des Projekts wurden vereinfacht und die bevorzugte Kontaktmethode für Sicherheitshinweise ist nun E-Mail.
• Der Backdoor-Autor hat OSS-Fuzz deaktiviert, um die Erkennung der Backdoor zu verhindern.

Diskussion:

• Es ist unklar, ob der Backdoor-Autor rechtliche Konsequenzen zu befürchten hat.
• Es ist wichtig, dass solche Vorfälle Konsequenzen haben, um andere Maintainer davon abzuhalten, ähnliche Taten zu begehen.
• Weitere Details zu dem Vorfall werden in den Kommentaren auf Hacker News gesammelt.

Verweis:

• https://wasserpuncher.wordpress.com/2024/03/29/sicherheitslucke-in-upstream-xz-liblzma-fuhrt-zu-kompromittierung-von-ssh-servern/

Empfehlungen:

• Aktualisieren Sie Ihre Systeme auf die neueste Version von xz.
• Überwachen Sie Ihre SSH-Server auf verdächtiges Verhalten.
• Informieren Sie sich über die neuesten Entwicklungen in diesem Fall.

Es scheint fast zu perfekt zu sein.

Donald Trumps neueste Tat scheint direkt aus dem amerikanischen literarischen Kanon gerissen zu sein. Neben seinem erneuten Anlauf auf das höchste Amt und dem Kampf gegen rund 90 Strafanzeigen vor Gericht verkauft der ehemalige Präsident nun eine Ausgabe der King-James-Bibel für 60 Dollar, die auch Kopien der US-Verfassung, der Bill of Rights, der Unabhängigkeitserklärung, des Treuegelöbnisses und des „handgeschriebenen Refrains“ des Country-Songs „God Bless the USA“ von Lee Greenwood enthält. (Natürlich ist sie als die „God Bless the USA Bible“ bekannt.)

Diese Bibel ist seit Jahren Gegenstand kontroverser Diskussionen, weil sie unter anderem die Idee der Vereinigten Staaten als sowohl christliche Nation als auch als von Gott besonders begünstigte Nation fördert, wie Experten, die von Slate-Reporterin Molly Olmstead interviewt wurden, es ausgedrückt haben.

Aber Trump hofft offensichtlich, den Nischenmarkt der Kunden (die Bibeln als politische Identitätsbekundungen kaufen) zu erweitern und dabei Tantiemen sowie Gebühren für die Verwendung seines Bildes zu erhalten.

Damit hat er eine Rolle übernommen, die in amerikanischen Filmen und Büchern lange mit Betrug in Verbindung gebracht wird. Ein rhetorischer Verwandter des reisenden Schlangenölverkäufers oder des schurkischen Priesters ist der fiktive Bibelverkäufer, der durch Bücher und Filme zur metaphorischen Manifestation der biblischen Warnungen gegen diejenigen geworden ist, die das Wort Gottes für Profit verkaufen (2. Korinther 2,17, NGÜ). Der real existierende betrügerische Bibelverkäufer William P. Evans (der 1931 ins Gefängnis kam, nachdem ein Bibelverlag Dutzende von Beschwerden über seine Aktivitäten erhalten hatte) mag eine Inspirationsquelle gewesen sein, aber diese Wölfe im Schafspelz tauchen in Werken von Flannery O’Connors Kurzgeschichte „Good Country People“ bis hin zu Filmen wie „Paper Moon“ (1973) und „O Brother, Where Art Thou?“ (2000) auf.

Mit anderen Worten, Bibeln zu verkaufen – nachdem man wegen Betrugs verurteilt wurde – ist selbst für Trump wirklich auf den Punkt gebracht.

In O’Connors „Good Country People“ glaubt die gut ausgebildete Hulga nicht an Gott, fällt aber dennoch auf die Darbietung von Unschuld des Bibelverkäufers Manley Pointer herein. Als er unangekündigt auf der ländlichen Farm in Georgia auftaucht, wo sie und ihre Mutter leben, bezeichnet er sich selbstironisch als „nur ein Landjunge“ und sagt alle richtigen Dinge, um zum Abendessen eingeladen zu werden. Hulga plant zunächst, sich am nächsten Tag mit ihm zu treffen, um einen „großen Scherz“ zu machen, dann stellt sie sich eingebildet vor, ihm ein „tieferes Verständnis des Lebens“ zu vermitteln. Erst als Pointer sie dazu überredet, ihr künstliches Bein abzunehmen und sie somit von ihm abhängig macht, fangen ihre inneren Alarmglocken an zu läuten. Sie klingeln weiter, als er den Whisky, pornografische Karten und Kondome enthüllt, die er in einer hohlen Bibel in seinem Verkaufskoffer versteckt hat. Pointer stiehlt Hulgas Bein und prahlt damit, dass er „auf diese Weise viele interessante Dinge bekommen hat“. Sein Bibelverkaufsbetrug ist mehr in der Macht verwurzelt, die er durch seine Lügen über Menschen gewinnen kann, als im Profit.

Im Gegensatz dazu erscheint der psychotische, einäugige, redselige Bibelverkäufer Big Dan Teague (John Goodman) in der blau-grasigen Gefängnisausbruchskomödie der Coen-Brüder, der 2000 gedrehten Filmadaption von „Die Odyssee“, „O Brother, Where Art Thou?“, nie unschuldig. Groß und verschwitzt macht er kein Geheimnis daraus, dass „es nur um das Geld geht, Jungs“. Schließlich verkündet er, „die Leute suchen nach Antworten, und Big Dan verkauft das einzige Buch, das sie hat.“ Teague mag ein geschickter Redner sein, wenn es darum geht, „die Wahrheit“ zu verkaufen, aber er verprügelt Ulysses (George Clooney) und Delmar (Tim Blake Nelson) mit einem Baumzweig, bevor er mit ihrem Auto und ihrem Geld davonrennt.

Big Dan ist auch Mitglied des Ku Klux Klan und aktiver Teilnehmer an einem versuchten Lynchmord im Film. Durch diese Seite seines Charakters fügt die Geschichte dem Bibelverkäufer-Trope hinzu, indem sie Gewalt und Diebstahl, die durch Religion getarnt sind, mit der Geschichte des Südens von rassistischer Gewalt im Namen von „Kultur und Erbe“ verknüpft. Big Dans Karriere als Bibelverkäufer ist eine metaphorische Kapuze, die es ihm ermöglicht, mit Diebstahl davonzukommen, während seine Klan-Kapuze ihm – und dem Rest der Hassgruppe – ermöglicht, nachts mit Mord davonzukommen, während sie tagsüber den Anstrich aufrechterhalten, anständige Bürger zu sein.

In „Paper Moon“, unter der Regie von Peter Bogdanovich und im frühen 1930er-Jahre im Bundesstaat Kansas angesiedelt, durchkämmt Moses Pray (Ryan O’Neal) Todesanzeigen in Zeitungen nach kürzlich verwitweten Frauen, dann verkauft er ihnen personalisierte Bibeln unter dem Vorwand, dass ihre Ehemänner die Deluxe-Ausgaben bestellt hätten, bevor sie starben. Als Pray damit beauftragt wird, ein verwaistes Kind zum Haus seiner Verwandten in Missouri zu begleiten, beteiligt sich das Kind am Betrug – indem es seine Preise aufbläht, um noch mehr Geld zu bekommen. Die beiden werden ein Duo gegen die Welt, fliehen vor dem Gesetz und beginnen neue Betrügereien, nachdem die Bibeln vergriffen sind. Diese sympathischen, vom Pech verfolgten Charaktere injizieren dem Film genug Charme, um die Schlechtigkeit des Tropus auszugleichen, obwohl ihre Opfer trauernde ältere Frauen sind, eine einzigartig verwundbare Gruppe.

In Liedern, Comedy-Skizzen, einem Roman von 2008 und vielen anderen Erzählungen neu interpretiert, bleibt der Tür-zu-Tür-Bibelverkäufer ein Thema von kontinuierlichem Interesse für Kreative, zum Teil, weil die Mischung aus kapitalistischem Ehrgeiz und Evangelismus den Autoren ermöglicht, die düsteren Seiten beider Kräfte zu kommentieren.

Auch wenn der Direktvertrieb von Tür zu Tür dem Influencer-Marketing gewichen ist, wird die amerikanische Kultur nach wie vor von der Tatsache geprägt, dass, um die Eröffnungszeile des 1969 gedrehten Dokumentarfilms „Salesman“ zu zitieren, „der Bestseller der Welt die Bibel ist.“ Es überrascht daher nicht, dass das Hochstapeln von Bibeln als Maske für Gier und Schamlosigkeit eines der ältesten Tricks im Buch ist.

In einem kürzlich veröffentlichten Beitrag auf der oss-security-Mailingliste wurde eine schwerwiegende Sicherheitslücke in der xz-Bibliothek, genauer gesagt in der liblzma-Komponente, offenbart. Diese Sicherheitslücke könnte dazu führen, dass SSH-Server kompromittiert werden. Andres Freund, der Entdecker der Lücke, teilte seine Erkenntnisse mit der Gemeinschaft und erläuterte die Ursachen und potenziellen Auswirkungen dieser Schwachstelle.

Entdeckung der Sicherheitslücke

Freund bemerkte ungewöhnliche Symptome in Bezug auf liblzma auf Debian sid-Installationen in den letzten Wochen. Zu diesen Symptomen gehörten eine starke CPU-Auslastung bei SSH-Anmeldungen und Valgrind-Fehler. Nach einer gründlichen Untersuchung stellte er fest, dass die Ursache der Sicherheitslücke nicht in den Debian-Paketen lag, sondern im Upstream xz-Repository.

Kompromittierte Release-Tarballs

Die Sicherheitslücke war teilweise in den verteilten Tarballs enthalten. Ein Teil des Backdoors war in den Tarballs enthalten, jedoch nicht im Upstream-Quellcode. Dies führte dazu, dass das Backdoor-Skript bei der Konfiguration des xz-Builds ausgeführt wurde.

Kompromittiertes Repository

Ein weiterer Teil des Backdoors war im Repository selbst enthalten, insbesondere in den Dateien bad-3-corrupt_lzma2.xz und good-large_compressed.lzma. Diese Dateien wurden im Repository unter obskuren Namen und in verschleierter Form hinzugefügt.

Auswirkungen auf SSH-Server

Die Sicherheitslücke kann dazu führen, dass SSH-Anmeldungen deutlich langsamer werden. Dies ist auf die Ausführung des Backdoor-Skripts zurückzuführen, das bestimmte Bedingungen überprüft, bevor es aktiv wird. Insbesondere Anmeldungen über SSH können betroffen sein, da libsystemd von SSH abhängt und auch von liblzma verwendet wird.

Maßnahmen und Empfehlungen

Die Entdeckung dieser Sicherheitslücke verdeutlicht die Bedeutung von regelmäßigen Sicherheitsüberprüfungen und Audits bei der Verwendung von Open-Source-Software. Benutzer von xz und liblzma sollten dringend auf die neuesten Updates achten und sicherstellen, dass ihre Systeme gepatcht sind.

Für diejenigen, die von dieser Sicherheitslücke betroffen sind, wird dringend empfohlen, ihre SSH-Server zu überwachen und nach verdächtigem Verhalten zu suchen. Darüber hinaus sollten sie sicherstellen, dass ihre Systeme so schnell wie möglich auf gepatchte Versionen aktualisiert werden.

Fazit

Die Sicherheitslücke in upstream xz/liblzma stellt eine ernsthafte Bedrohung für SSH-Server dar und erfordert eine schnelle Reaktion von Entwicklern und Systemadministratoren. Durch eine Kombination aus sicherheitsorientierter Entwicklung und proaktiver Überwachung können zukünftige Sicherheitsrisiken minimiert werden.

Quellen:

https://lwn.net/ml/oss-security/20240329155126.kjjfduxw2yrlxgzm@awork3.anarazel.de

https://www.openwall.com/lists/oss-security/2024/03/29/4

Die Gewerkschaft Erziehung und Wissenschaft (GEW) ruft Lehrkräfte in Deutschland dazu auf, im Unterricht kritisch mit der AfD umzugehen. GEW-Chefin Maike Finnern betont, dass die AfD verfassungsfeindliche Tendenzen aufweise und Lehrkräfte daher im Klassenraum offen darüber sprechen sollten. Sie ermutigt Lehrkräfte, konkrete Aussagen und Vorgänge der AfD mit den Schülerinnen und Schülern zu analysieren und zu diskutieren.

Finnern unterstreicht, dass Lehrkräfte nicht nur das Recht, sondern sogar die Pflicht hätten, sich gegen Rechtsextremismus und für Demokratie und Vielfalt einzusetzen. Sie betont, dass Lehrkräfte auf die Verfassung schwören und diese verteidigen sollten.

Es sei nicht korrekt anzunehmen, dass Lehrkräfte Ärger mit ihrem Dienstherrn bekämen, wenn sie an Demonstrationen gegen Rechtsextremismus teilnähmen. Wie andere Staatsbürger hätten sie das Recht, ihre Stimme gegen Rechtsextremismus zu erheben.

Insgesamt appelliert die GEW an Lehrkräfte, sich kritisch gegenüber der AfD zu äußern und aktiv für demokratische Werte einzutreten.

Die Deutsche Bahn plant, ihre Mitarbeitenden im Regionalverkehr mit Bodycams auszustatten, um sie besser vor Übergriffen zu schützen. Laut der Deutschen Bahn AG gab es im letzten Jahr rund 3.150 Angriffe auf ihre Mitarbeitenden, wobei der Großteil auf das Zugpersonal im Regionalverkehr entfiel. Um diesem Trend entgegenzuwirken, sollen die Bodycams zunächst auf freiwilliger Basis und schrittweise auf ausgewählten Strecken eingeführt werden.

Die Entscheidung basiert auf erfolgreichen Tests in verschiedenen Regionen Deutschlands, bei denen sich die Bodycams als präventiv und deeskalierend erwiesen haben. Mitarbeitende, die bereits Bodycams tragen, berichten von einer rückläufigen Anzahl körperlicher und verbaler Angriffe. Die Kameras zeichnen ausschließlich Bildmaterial auf und werden nur in eskalierenden Situationen aktiviert.

Die gespeicherten Daten werden verschlüsselt und nach 72 Stunden automatisch gelöscht. Zugriff darauf haben nur die Bundespolizei und der interne Datenschutz der Deutschen Bahn. Die Einführung der Bodycams ist Teil eines größeren Sicherheitskonzepts der Bahn, das auch die Installation von mehr als 50.000 Videokameras im Regional- und S-Bahn-Verkehr sowie an Bahnhöfen umfasst.

Während die Deutsche Bahn ihre Sicherheitsmaßnahmen verstärkt, zeigen sich private Regional-Bahnen in Bayern zurückhaltend bei der Einführung von Bodycams. Die Berliner Verkehrsbetriebe hingegen haben ein Pilotprojekt gestartet, bei dem Sicherheitsmitarbeitende mit Bodycams ausgestattet werden, um die Sicherheit in U-Bahnhöfen und Fahrzeugen zu erhöhen.