// LINUX-MAGAZIN — LINUX & OPEN SOURCE
Kritische Schwachstellen in OpenWrt
OpenWrt ist eine freie Linux-basierte Firmware für Router und andere Netzwerkgeräte. Sie ersetzt die vorinstallierte Software vieler Hersteller und bietet erweiterte Funktionen sowie umfangreiche Konfigurationsmöglichkeiten. Vor allem erfahrene Nutzer und Unternehmen setzen auf das Open-Source-System.
Mit einem aktuellen Sicherheitsupdate haben die Entwickler zahlreiche Schwachstellen beseitigt, die je nach Konfiguration schwerwiegende Folgen haben können. Im schlimmsten Fall waren Angreifer in der Lage, die vollständige Kontrolle über ein betroffenes Gerät zu erlangen und Befehle mit höchsten Systemrechten auszuführen. Eine Übersicht aller behobenen Sicherheitsprobleme haben die Entwickler auf der GitHub-Release-Seite veröffentlicht. Betroffen sind unter anderem der DHCP-Dienst odhcpd sowie die Weboberfläche LuCI.
Besonders kritisch ist eine Schwachstelle in LuCI, die jedoch nur Systeme betrifft, auf denen zusätzlich der VPN-Dienst Tailscale installiert ist. Der Fehler ermöglicht es Angreifern mit bereits eingeschränkte Zugriffsrechten, Benutzereingaben innerhalb der Funktion tailscale.do_login zu manipulieren. Dadurch kann beliebiger Programmcode eingeschleust und anschließend mit Root-Rechten ausgeführt werden.
Darüber hinaus behebt das Update weitere Sicherheitslücken, die ebenfalls eine Ausweitung von Benutzerrechten ermöglichen können. Außerdem wurden Fehler beseitigt, die Denial-of-Service-Angriffe (DoS) oder Stored Cross-Site cripting (Stored XSS) begünstigen könnten. Zeitgleich haben die Entwickler wichtige Komponenten wie OpenSSL und den SSH-Client Dropbear auf aktuelle, abgesicherte Versionen aktualisiert.
Das CalyxOS-Projekt hat die Version 7.2.2.0 seines Google-freien Android-basierten Betriebssystems veröffentlicht. Nach Angaben der Entwickler endet damit die fast ein Jahr dauernde Entwicklungspause des Custom-ROMs. Die neue Version erhält künftig den regulären Wartungssupport und alle...
Der neue CEO-Bench, entwickelt von Forschern der Princeton University, testet erstmals, wie sich KI-Agenten als CEO eines fiktiven Unternehmens bewähren. Der Test gilt als bestanden, wenn nach 500 Tagen mehr als der Startbetrag von einer Million Dollar in der Kasse ist. Das schafften nur 3 von...
Aktuell schreibt die Dokumentation vor, dass KI-Coding-Agenten, die zum Linux Kernel beitragen, eine Attribution benötigen. Nun diskutieren Kernel-Entwickler den Sinn solcher Attribution.
Google und Amazon haben Nachhaltigkeitsberichte vorgelegt. Die Zahlen belegen, dass es beiden zunehmend schwerfällt, ihre Null-Emission-Ziele zu erreichen.
Microsoft hat auf seiner Hausmesse Microsoft Build die Public Preview von Azure Linux 4.0 angekündigt.
Collabora hat mit Version 26.04 eine neue Ausgabe seiner Bürosoftware für Windows, Mac und Linux veröffentlicht. Nach Angaben des Unternehmens baut die Version auf der im vergangenen Jahr eingeführten Desktop-Variante auf und erweitert diese um neue Funktionen sowie eine engere Integration in...