Neue Herausforderungen bei Flatpak und Snap

Hallo, ist deshalb im bauh zum Beispiel snap und flatpak default nicht aktiv? würde dann für mich Sinn ergeben. Aber ich bin Laie

Zitat von evilware666

Es liegt letztendlich beim Anwender, Apps kritisch zu prüfen, bevor sie installiert werden.

Ich, als Anwender kann keine App überprüfen, ich muss darauf vertrauen, dass die App in Ordnung ist!

Zitat von Helmfuss

Ich, als Anwender kann keine App überprüfen, ich muss darauf vertrauen, dass die App in Ordnung ist!

Deswegen kommen für mich nur Apps aus den Repos in Frage.

Zitat von Lotsenbruder

Deswegen kommen für mich nur Apps aus den Repos in Frage.

Das widerspricht sich mit dem letzten Absatz in dem oben verlinkten Artikel:

„Bei den etablierten Repositories der Distributionen ist eine Überprüfung nicht so leicht möglich, hier wird eher ein Grundvertrauen in den Maintainer als Teil des Teams der Distribution vorausgesetzt.“

Letztendlich ist es immer meine Entscheidung als Anwender und User, was ich installiere.

Es widersprich sich nicht da ich dort dieses Vertrauen habe. Hätte ich das nicht, wäre es die falsche Distri für mich.

Es sind beide nicht gerade sicher, das erwartet Mann nicht von Linux.

Ich selbst stehe da aber dennoch hinter SNAP da ich flatpak nur Probleme habe.

Ich hoffe das hier schnell für beide Seiten eine gute Lösung gibt

Hallo alle zusammen,

meiner Meinung nach kann man als normaler Nutzer eh nichts machen.

Es ist so wie immer, die große Vertrauensfrage zu stellen.

Es sei denn man ist ein studierter IT-Fachmann oder Programmierer um sämtliche Programme selbst überprüfen zu können.

Natürlich vertraut man erst mal den großen Anbietern, weil diese ja auch einen Namen haben.

Sei es Canoncial, Suse, Red Hat oder sogar Microsoft. Die großen Player eben!

Aber die Vergangenheit lehrt uns leider, dass nichts so ist, wie es sein sollte und schwarze Schafe überall zu finden sind.

Ich denke da z.B. an den letzten Installer von Ubuntu 23.10

bedauerlicherweise...

Gruß Hessen-Dieter

Zitat von Lotsenbruder

Deswegen kommen für mich nur Apps aus den Repos in Frage.

Seit ich nun Arch Linux nutze und alle meine Programme in AUR finde, nutze ich weder Flatpak noch Snap. Ja, in AUR könnten sich auch "böse" Apps einschleichen, aber hier vertraue ich auf die Rückmeldungen der Nutzer zu den jeweiligen Paketen.

Wir können uns einfach eins sicher sein , das es nicht sicher ist

Es spielt keine Rolle welche distribution und Paket Format.

Mann sollte daher immer alle und jede Software hinterfragen, weil es sonst niemand macht und genau das sollte sich ändern.

Es ist genau wie hier im Forum mit Troll User egal wie gut die Administration ist es wird immer welche geben und Mann sollte daher Lösungen anbieten um das zu erschweren

Ich selbst wäre dafür wie zum Beispiel Google app Store mit ihrem www ( wer - wie - wo ) und Überprüfung vom Anbieter hier zb ( SNAP - flatpak) der nach Überprüfung freigibt

Bis dahin Kinder, immer Augen auf halten was ihr auf dem PC drauf macht und immer daran denken das solche Software euch nackt machen

Ich muss aber sagen das sehr schnell reagiert wurde bezüglich snap.

Ich freue mich immer darüber wenn ein Titel eines Threads so schnell "veraltet":

Es wurden in Arch-Linux, Debian (Testing und Unstable), Fedora 40, openSuse Tumbleweed (und wahrscheinlich so ziemlich alle anderen Rolling Release Distributionen) ein Backdoor-Schadprogramm gefunden.

Das Programm ist in einem "offiziellen" Repository Paket mit dem Namen "xz-utils".

Die xz-utils sind eine Sammlung von Werkzeugen zur Arbeit mit .xz und .lzma Dateiformaten unter Linux und anderen Betriebssystemen. Diese Dateiformate werden für die Kompression von Daten verwendet, ähnlich wie .zip, .rar, oder .gz.

Das ist ein Angriff der von langer Hand geplant war. Der Verursacher hat offenbar über Jahre (seit 2021) Upstream im xz-Projekt Bugfixes, etc geschrieben. Und konnte seinen Code so verschleiern das niemanden aufgefallen ist - das die immer etwas mehr tun als er gesagt hat.

Daher Nein. Paketquelle von Linux-Dsitributonen sind nicht automatisch sicherer als Snap- oder Flatpaks.

Moin kim88 ,

habe das auch gerade mit großem Schreck gelesen und bin sehr traurig darüber, was es doch leider für kranke Menschen auf diesem Planeten gibt.

Anstatt die Technik für sinnvolle Aufgaben zu nutzen, um den Fortschritt weiterzubringen, wird alles zerstört.

Habe mir Arch erst kürzlich installiert, wie könnte ich das Feststellen, ob ich diese Datei etwa auch im System habe?

Gruß Hessen-Dieter

Einfach Updates machen.

habe heute Morgen Updates gemacht, momentan ist die Version xz 5.6.1-2 auf der Platte

[abc@archlinux ~]$ xz --version 
xz (XZ Utils) 5.6.1
liblzma 5.6.1

hier eine Anleitung für Arch Linux User, ich schaue mir das jetzt auch an.

Link: https://archlinux.org/news/the-xz-pa…een-backdoored/

Erster Schritt: Mein Arch ist Up to Date.

[abc@archlinux ~]$ sudo pacman -Syu 
[sudo] Passwort für abc:
:: Paketdatenbanken werden synchronisiert …
core ist aktuell
extra ist aktuell
multilib ist aktuell
chaotic-aur 2,5 MiB 4,40 MiB/s 00:01 [----------------------------------------] 100%
:: Vollständige Systemaktualisierung wird gestartet …
Es gibt nichts zu tun

Den nächsten Schritt verstehe ich nicht (da bei mir beides nicht gibt bzw. die Meldung (Befehl nicht gefunden)

Upgrading container images

To figure out if you are using an affected container image, use either

podman image history archlinux/archlinux

or

docker image history archlinux/archlinux

depending on whether you use podman or docker.

Zitat von ghostbox

Den nächsten Schritt verstehe ich nicht

die Pakete sind nicht installiert

Ich benutze mittlerweile weder Flatpak noch Snap.

Nun ja, was macht man denn, wenn es die gewünschte Software nur in einem der Container-Formate gibt?

Zitat von JochenPankow

Nun ja, was macht man denn, wenn es die gewünschte Software nur in einem der Container-Formate gibt?

Containern