WireGuard Easy 15.3: enklare och säkrare kontroll över vem som får nå vad i VPN-nätet

WireGuard Easy 15.3 gör det enklare att driva en egen VPN-server med bättre kontroll över vilka resurser olika klienter får nå. Den stora nyheten är serverbaserad kontroll av Allowed IPs, vilket innebär att åtkomstregler kan genomdrivas på serversidan i stället för att enbart bygga på klientens konfiguration. Uppdateringen innehåller också förbättrad QR-kodshantering, bättre stöd för AmneziaWG 2.0, fler översättningar och en moderniserad teknisk grund med Node.js 24.

WireGuard har blivit ett populärt val för den som vill bygga en snabb, modern och självhostad VPN-lösning. Men även om WireGuard är tekniskt elegant kan administrationen vara knepig för den som vill hantera många användare, klienter och åtkomsträttigheter. Där kommer WireGuard Easy in i bilden – ett webbaserat verktyg som gör det enklare att installera, konfigurera och administrera en egen WireGuard-server.

Med version WireGuard Easy 15.3 får projektet en viktig nyhet: servern kan nu själv kontrollera vilka IP-adresser och nätverk en klient faktiskt får nå. Det låter kanske tekniskt, men i praktiken handlar det om något mycket enkelt: bättre kontroll över vem som får komma åt vad.

Allowed IPs flyttar från klientens goda vilja till serverns kontroll

I WireGuard används inställningen Allowed IPs för att avgöra vilken trafik som ska gå genom VPN-tunneln och vilka nät som en viss klient får hantera. Traditionellt ligger mycket av detta i klientens konfiguration. Det fungerar bra i många enkla installationer, men det bygger delvis på att klienten följer de regler som administratören har tänkt sig.

I WireGuard Easy 15.3 införs därför server-side Allowed IP enforcement. Det betyder att reglerna kan kontrolleras på serversidan med hjälp av brandväggsfiltrering. Om en klient bara ska få nå exempelvis ett internt system, en viss server eller ett begränsat nätverk, kan servern nu hjälpa till att se till att klienten inte kommer längre än så.

Det är särskilt värdefullt i miljöer där olika användare ska ha olika behörighet. En tekniker kanske behöver nå hela driftmiljön, medan en extern konsult bara ska nå en enda tjänst. Med serverbaserad filtrering blir det enklare att skapa en mer uppdelad och säker VPN-lösning.

En viktig förbättring för självhostade VPN-miljöer

Många använder WireGuard Easy i hemmalabb, småföretag, föreningar eller mindre servermiljöer. I sådana sammanhang vill man ofta ha något som är enkelt nog att administrera via webbläsaren, men ändå tillräckligt säkert för att användas på riktigt.

Den nya brandväggsfunktionen gör att WireGuard Easy tar ett steg från att bara vara ett bekvämt administrationsgränssnitt till att också bli ett starkare verktyg för åtkomstkontroll. Det gör det lättare att arbeta enligt principen minsta möjliga behörighet: varje klient får bara tillgång till det den faktiskt behöver.

För den som driver en egen VPN-server kan detta minska risken för att en felkonfigurerad eller manipulerad klient får bredare åtkomst än tänkt.

Bättre hantering av QR-koder

WireGuard-klienter konfigureras ofta genom att man skannar en QR-kod med mobilen. Det är smidigt, men det ställer krav på att QR-koderna är enkla att visa, kopiera och spara.

I WireGuard Easy 15.3 har QR-kodshanteringen förbättrats. Kommandoradsverktyget kan nu visa en QR-kod direkt, och i webbgränssnittet går det att både kopiera och ladda ner QR-koder som PNG-bilder.

Det gör utrullningen av nya klienter enklare, särskilt när administratören behöver hjälpa användare på distans eller dokumentera konfigurationer på ett mer organiserat sätt.

Förbättrat stöd för AmneziaWG 2.0

Version 15.3 innehåller även förbättringar för AmneziaWG 2.0, bland annat stöd för H1–H4-ranges. AmneziaWG är en WireGuard-relaterad teknik som används i vissa sammanhang där man vill göra VPN-trafik svårare att identifiera eller blockera.

För vanliga användare är detta kanske inte den mest synliga nyheten, men för administratörer som arbetar i mer begränsade nätmiljöer kan förbättrat AmneziaWG-stöd vara en viktig detalj.

Hooks blir enklare att arbeta med

WireGuard Easy har också ändrat hur så kallade hooks hanteras i gränssnittet. Hooks är kommandon som kan köras vid olika händelser, exempelvis när en klient ansluter eller när en tunnel startas.

Tidigare kunde längre eller flerradiga kommandon vara svårare att hantera. I version 15.3 har dessa fält gjorts om till textområden, vilket gör det enklare att lägga in mer avancerade kommandon direkt i webbgränssnittet.

Det är en liten förändring på ytan, men en praktisk förbättring för den som automatiserar uppgifter runt sin VPN-server.

Mobilgränssnitt, översättningar och underhåll

Utöver de större nyheterna innehåller WireGuard Easy 15.3 flera mindre förbättringar. Mobilgränssnittet har justerats, ett problem med felmeddelanden när en avstängd klient aktiverades har rättats, och Prometheus-mätvärden avslutas nu korrekt med en radbrytning.

Projektet har även fått många uppdaterade översättningar, bland annat till bulgariska, tjeckiska, galiciska, vietnamesiska, nederländska, ryska, spanska, franska, tyska, kinesiska, turkiska, polska och ukrainska.

Flera språk anges nu också ha fullständig översättningstäckning, däribland engelska, tyska, franska, nederländska, polska, ryska, turkiska, ukrainska, vietnamesiska och kinesiska varianter.

På den tekniska sidan har projektets Node.js-bas uppdaterats till Node 24 “Krypton”, tillsammans med olika beroendeuppdateringar och interna underhållsändringar.

En uppdatering med fokus på kontroll

WireGuard Easy 15.3 är inte bara en putsning av gränssnittet. Den viktigaste nyheten – serverbaserad kontroll av Allowed IPs – gör att administratörer får bättre möjlighet att styra klienternas åtkomst på riktigt.

För hemmabruk kan det innebära att familjens olika enheter får olika åtkomst. För småföretag kan det betyda att konsulter, anställda och servrar kan separeras tydligare. Och för den som driver en självhostad VPN-lösning blir det ett steg mot en mer robust och professionell nätverksmiljö.

WireGuard Easy fortsätter därmed att fylla en viktig roll: att göra WireGuard enklare att använda, utan att helt ta bort den tekniska kontroll som gör WireGuard så attraktivt från början.

https://github.com/wg-easy/wg-easy/releases/tag/v15.3.0

Teknisk faktaruta: WireGuard Easy 15.3

Program: WireGuard Easy

Version: 15.3

Typ: Webbaserat administrationsverktyg för självhostad WireGuard VPN

Viktigaste nyhet: Serverbaserad kontroll av Allowed IPs med brandväggsfiltrering

Säkerhetsförbättring: Administratörer kan begränsa vilka nätverk och servrar en VPN-klient får nå direkt från serversidan.

QR-koder: Förbättrad hantering med möjlighet att visa QR-kod via CLI samt kopiera och ladda ner QR-koder som PNG i webbgränssnittet.

AmneziaWG: Förbättrat stöd för AmneziaWG 2.0, inklusive H1–H4-ranges.

Gränssnitt: Förbättrat mobilgränssnitt och enklare hantering av längre hook-kommandon via textområden.

Teknisk grund: Uppdaterad till Node.js 24 “Krypton”.

Passar för: Hemmalabb, småföretag, föreningar och administratörer som vill driva en egen VPN-server med tydligare åtkomstkontroll.

Allowed IPs, AmneziaWG, åtkomstkontroll, brandvägg, cybersäkerhet, Docker, Krypton, Linux, nätverkssäkerhet, Node.js 24, öppen källkod, Prometheus, QR-kod, self-hosting, Serveradministration, självhostad VPN, vpn, VPN-server, wireguard, WireGuard Easy
När Linux sätter gränser för vad som är en säkerhetsbugg
När antalet AI-genererade sårbarhetsrapporter ökar vill Linuxprojektet dra en tydligare gräns mellan vanliga buggar och verkliga säkerhetshål. Linus Torvalds har nu slagit ihop ny dokumentation som förklarar när ett fel i Linuxkärnan ska behandlas som en säkerhetsbugg, hur rapporter bör skickas in och varför spekulativa AI-fynd inte får belasta säkerhetsteamet i onödan. Resultatet är en mer praktisk hotmodell för Linux – och ett försök att skilja allvarliga angreppsvägar från brus, teorier och dåligt testade rapporter.

Linuxkärnan är ett av världens viktigaste mjukvaruprojekt. Den används i allt från mobiltelefoner och servrar till routrar, bilar, molntjänster och superdatorer. Därför är frågan om säkerhetsbuggar i Linux inte bara en teknisk detalj för utvecklare, utan något som i förlängningen påverkar stora delar av det digitala samhället.

Nu har Linus Torvalds slagit ihop ny dokumentation i Linuxkärnan som tydligare förklarar vad som faktiskt räknas som en säkerhetsbugg, hur sådana buggar bör rapporteras och hur utvecklare ska hantera rapporter som tagits fram med hjälp av AI. Dokumentationen ingår i ändringarna för docs-7.1-fixes och bygger bland annat på arbete av Willy Tarreau, känd från HAProxy och underhåll av stabila Linuxkärnor.

Alla buggar är inte säkerhetshål

En central poäng i den nya dokumentationen är att inte alla fel i kärnan ska betraktas som säkerhetshål. Linuxprojektet vill i första hand att vanliga buggar ska hanteras öppet, på publika e-postlistor och i den normala utvecklingsprocessen.

Det finns en praktisk orsak till detta. När fler utvecklare kan läsa, granska och testa en lösning ökar chansen att felet rättas på ett bra sätt. Om en bugg däremot behandlas bakom stängda dörrar av en liten grupp personer finns större risk att viktiga användningsfall missas eller att lösningen inte blir tillräckligt testad.

Den privata säkerhetslistan är därför tänkt för särskilt allvarliga fall: buggar som är lätta att utnyttja, påverkar många användare och ger en angripare rättigheter som denne inte borde ha på ett korrekt konfigurerat produktionssystem.

Med andra ord: ett fel blir inte automatiskt ett säkerhetshål bara för att det kan krascha något eller ser farligt ut i teorin. Det avgörande är om felet passerar en verklig säkerhetsgräns.

Linux får en tydligare hotmodell

En viktig del av förändringen är att Linuxkärnan nu får en mer uttalad hotmodell. En hotmodell beskriver vad systemet ska skydda mot, men också vad det inte kan eller inte lovar att skydda mot.

Linuxkärnan ska bland annat skydda användare från varandra på samma system. En vanlig användare ska inte kunna läsa andra användares filer, komma åt deras processminne, spionera på deras processer eller kringgå skydd som styr nätverk och kommunikation.

Kärnan ska också upprätthålla skydd baserade på så kallade capabilities, alltså särskilda behörigheter som CAP_SYS_ADMIN, CAP_NET_ADMIN och CAP_SYS_PTRACE. En användare utan rätt behörighet ska exempelvis inte kunna ändra nätverksinställningar, manipulera andra användares processer eller påverka kärnans tillstånd.

Om en bugg gör att en vanlig användare kan få en sådan behörighet, eller göra något som normalt kräver administratörsrättigheter, kan det röra sig om en riktig säkerhetsbugg.

AI-rapporter har blivit ett problem

Den nya dokumentationen tar också upp ett modernt problem: AI-assisterade sårbarhetsrapporter.

AI-verktyg kan vara användbara för att hitta misstänkta buggar i kod, särskilt i gamla eller ovanliga delar av kärnan. Men enligt dokumentationen har många rapporter som skickas till säkerhetsteamet blivit för långa, för spekulativa eller helt enkelt för dåligt verifierade.

Problemet är inte att AI används. Problemet är när AI-genererade rapporter skickas in utan att någon människa har kontrollerat om felet verkligen går att återskapa, om det har säkerhetspåverkan eller om den föreslagna exploiten faktiskt fungerar.

Därför säger den nya vägledningen att buggar som hittats med AI normalt ska behandlas som offentliga. Skälet är att flera personer ofta hittar samma typ av AI-upptäckta fel samtidigt. Däremot ska fungerande exploitkod inte publiceras öppet. Rapportören kan i stället säga att en reproducerbar exploit finns och lämna den privat om en ansvarig underhållare ber om det.

Rapporter ska vara korta, tydliga och testade

Linuxutvecklarna efterfrågar nu mer disciplinerade rapporter. En bra rapport ska vara kort, skriven i ren text och börja med det viktigaste: vilken fil eller funktion som påverkas, vilka versioner som berörs och vilken konkret påverkan felet har.

Det räcker inte att skriva att ett fel “kan leda till privilegieeskalering” om det inte är visat. Rapportören bör i stället beskriva vad som faktiskt har testats. Till exempel: kan en vanlig användare få CAP_NET_ADMIN? Kan en process läsa minne den inte ska komma åt? Går felet att återskapa på en normal installation?

AI-genererade reproducerare ska testas innan de skickas in. Om en AI påstår att en exploit fungerar, men rapportören inte själv har kontrollerat det, riskerar rapporten att ignoreras. Dokumentationen uppmuntrar också till att använda AI för att föreslå och testa fixar, inte bara för att producera fler felrapporter.

Vad räknas inte som säkerhetsbugg?

Den nya dokumentationen listar flera typer av problem som normalt inte ska ses som säkerhetshål i Linuxkärnan.

Det gäller till exempel buggar i gamla, icke-underhållna kärnversioner. Administratörer förväntas hålla sina system uppdaterade, och en sårbarhet måste visas påverka aktivt underhållna versioner för att behandlas som en aktuell säkerhetsfråga.

Det gäller också osäkra eller ovanliga konfigurationer. Om någon själv har ändrat sysctl-inställningar, filrättigheter eller byggt kärnan med alternativ som uttryckligen sänker säkerheten, är det inte självklart en kärnsårbarhet när något går fel.

Utvecklingsfunktioner som LOCKDEP, KASAN och FAULT_INJECTION räknas inte heller som produktionsskydd. De är till för testning och felsökning, och kan i sig påverka stabilitet och prestanda.

Inte heller buggar som kräver orimliga laboratorieförhållanden, modifierad hårdvara, miljarder försök eller redan mycket höga rättigheter ska automatiskt betraktas som säkerhetshål.

Root som kraschar systemet är inte alltid en sårbarhet

En annan viktig princip är att åtgärder som kräver full administratörsbehörighet sällan är säkerhetsbuggar i sig. Om root-användaren i den ursprungliga namnrymden kan skriva till en privilegierad enhet och orsaka en kernel oops, är det normalt inte en säkerhetsgräns som brutits. Root hade redan makten att påverka systemet.

Det Linuxprojektet fokuserar på är i stället när en användare får mer makt än den borde ha. Säkerhetsfrågan uppstår alltså när någon passerar en gräns mellan rättigheter, inte när någon redan har rättigheterna och använder dem på ett destruktivt sätt.

Användarnamnrymder får särskild förklaring

Dokumentationen tar även upp CONFIG_USER_NS, alltså stöd för användarnamnrymder. Med denna funktion kan en vanlig användare skapa en isolerad miljö där användaren till synes har fulla rättigheter inom just den miljön.

Det betyder dock inte att användaren ska kunna påverka hela systemet. En sådan namnrymd får inte ge möjlighet att ändra global systemtid, ladda kärnmoduler, montera blockenheter eller påverka den ursprungliga namnrymden på otillåtet sätt.

Här blir hotmodellen viktig. En bugg är allvarlig om den gör att isoleringen mellan namnrymder bryts.

Debuggning är inte alltid tänkt för vanliga användare

Linux innehåller många kraftfulla verktyg för felsökning och prestandaanalys. Exempel är /proc/kmsg, perf, tracing och debugfs. Dessa kan ge djup insyn i systemet och därmed också bli riskabla om de exponeras fel.

Den nya dokumentationen betonar att vissa sådana gränssnitt kräver uttryckligt administratörsbeslut. Om en administratör själv ger användare tillgång till känsliga debuggränssnitt är det inte nödvändigtvis ett säkerhetshål i kärnan. Det är en konfigurationsfråga.

Målet är mindre brus och bättre fixar

Bakgrunden till förändringen är tydlig: Linuxprojektet vill minska mängden felrapporter som felaktigt märks som säkerhetskritiska. Varje rapport som hamnar fel tar tid från utvecklare och säkerhetsteam. Det gör att verkligt allvarliga problem riskerar att drunkna i brus.

Samtidigt stänger dokumentationen inte dörren för osäkra fall. Om en rapportör verkligen är osäker på om ett fel är en säkerhetsbugg uppmanas denne fortfarande att rapportera privat. Hellre en extra granskning av ett gränsfall än att en verklig sårbarhet missas.

Men budskapet är tydligt: kalla inte varje bugg för ett säkerhetshål. Visa vilken säkerhetsgräns som bryts, testa reproduceraren, håll rapporten kort och skicka vanliga buggar till den vanliga utvecklingsprocessen.

En mognare syn på säkerhet i en AI-tid

Det här är mer än en intern dokumentationsändring. Det visar hur stora öppna källkodsprojekt anpassar sig till en ny verklighet där AI kan massproducera analyser, hypoteser och rapporter.

AI kan hjälpa till att hitta riktiga fel. Men den kan också skapa stora mängder halvfärdiga påståenden som människor måste granska. För ett projekt som Linux, där underhållarnas tid är en begränsad resurs, blir kvaliteten på rapporterna avgörande.

Den nya dokumentationen försöker därför sätta en rimlig balans. Säkerhet ska tas på allvar, men säkerhetsprocessen ska inte överbelastas av spekulationer, dåligt testade AI-fynd eller buggar som egentligen hör hemma i den öppna utvecklingsprocessen.

I praktiken handlar det om något mycket grundläggande: ett säkerhetshål är inte bara ett fel i kod. Det är ett fel som bryter ett skydd som systemet har lovat att upprätthålla. Linuxprojektets nya dokumentation gör den gränsen tydligare.

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3
Teknisk faktaruta: Linuxkärnans nya säkerhetsdokumentation

Ämne: Nya riktlinjer för säkerhetsbuggar i Linuxkärnan

Infört av: Linus Torvalds via dokumentationsändringar i Linuxkärnan

Pull request: docs-7.1-fixes

Författare till dokumentationen: Willy Tarreau

Syfte: Att tydliggöra vad som räknas som en säkerhetsbugg, hur rapporter ska skickas in och hur AI-assisterade buggrapporter ska bedömas.

Viktiga nyheter:
- Tydligare gräns mellan vanliga buggar och säkerhetsbuggar.
- Ny hotmodell för Linuxkärnan.
- Riktlinjer för AI-genererade och AI-assisterade rapporter.
- Krav på testade reproducerare och verifierad påverkan.
- Fokus på buggar som bryter verkliga säkerhetsgränser.
Exempel på säkerhetspåverkan: En vanlig användare får behörigheter som normalt kräver administratörsrättigheter, exempelvis nätverkskontroll eller åtkomst till andra användares processer.

Räknas normalt inte som säkerhetsbugg: Fel i gamla kärnversioner, osäkra specialkonfigurationer, utvecklingsfunktioner, teoretiska attacker utan fungerande exploit eller problem som kräver redan höga rättigheter.

Betydelse: Dokumentationen ska minska brus i säkerhetsrapporteringen och hjälpa utvecklare att fokusera på verkligt allvarliga sårbarheter.
AI, bugghantering, buggrapporter, cybersäkerhet, exploit, hotmodell, kernel, kernel security, Linus Torvalds, Linux, Linux 7.1, Linuxkärnan, Open-source, öppen källkod, programmering, säkerhetsbuggar, säkerhetsrapportering, sårbarheter, Systemadministration, utvecklare, Willy Tarreau
Nginx 1.31 släpps med forward proxy-stöd och flera säkerhetsfixar

Nginx är en av internets viktigaste byggstenar. Den används för att leverera webbsidor, fördela trafik mellan servrar och fungera som mellanhand mellan användare och webbapplikationer. Med Nginx 1.31 tar projektet ett nytt steg: webbservern får stöd för HTTP forward proxy, samtidigt som flera säkerhetshål i moderna webbprotokoll som HTTP/2 och HTTP/3 täpps till.

För de flesta internetanvändare är Nginx osynligt. Ändå är det ofta just Nginx som står mellan webbläsaren och den webbplats man besöker. Programmet fungerar som en effektiv trafikdirigent: det tar emot förfrågningar, skickar dem vidare till rätt server och ser till att svaren kommer tillbaka snabbt.

Nginx har länge varit känt som webbserver och reverse proxy. En reverse proxy står framför en eller flera servrar och tar emot trafik från internet. Den kan till exempel skicka besökare vidare till rätt webbserver, avlasta systemet eller hantera krypterade HTTPS-anslutningar.

Med Nginx 1.31 introduceras en funktion som gör att programmet även kan användas på ett annat sätt: som HTTP forward proxy.

Vad är en forward proxy?

En forward proxy fungerar från andra hållet jämfört med en reverse proxy. I stället för att skydda och styra trafiken in till en webbplats används den av klienter som vill nå ut till internet.

Man kan likna det vid en reception. I stället för att varje dator kontaktar webben direkt skickar den sin begäran till proxyn. Proxyn gör sedan själva kontakten med omvärlden och skickar tillbaka svaret.

Detta kan användas för att:

samla internettrafik via en central punkt
kräva inloggning innan trafik släpps vidare
logga eller styra åtkomst
skapa kontrollerade miljöer för företag, skolor eller labb

Den nya modulen ngx_http_tunnel_module gör det möjligt för Nginx att hantera sådan trafik via CONNECT-metoden. CONNECT används ofta när HTTPS-trafik ska tunnlas genom en proxy.

Det betyder att Nginx nu får en mer flexibel roll. Från att främst ha varit en servernära komponent kan den även användas som kontrollerad mellanhand för klienttrafik.

Inloggning till proxyn

En viktig del av den nya funktionen är stöd för proxyautentisering. Det innebär att användaren kan behöva logga in innan proxyn tillåter trafik.

I Nginx 1.31 kan detta göras med direktiv som:

auth_basic
satisfy
auth_delay

För en administratör betyder det att forward proxy-funktionen inte behöver vara helt öppen. Det är viktigt, eftersom en öppen proxy snabbt kan missbrukas för anonym trafik, spam, attacker eller kringgående av nätverksregler.

Med autentisering kan proxyn i stället användas i mer kontrollerade miljöer där bara godkända användare får tillgång.

Smartare lastbalansering med least_time

En annan nyhet i Nginx 1.31 är direktivet least_time i upstream-blocket. Det låter Nginx välja backend-server baserat på svarstid.

Traditionell lastbalansering kan exempelvis bygga på att skicka varannan förfrågan till server A och varannan till server B. Det fungerar i enkla miljöer, men tar inte alltid hänsyn till hur servrarna faktiskt mår.

Om en server är långsam, hårt belastad eller har problem kan svarstiden bli högre. Med least_time kan Nginx i stället väga in hur snabbt servrarna svarar och styra trafiken mot den som för tillfället verkar mest effektiv.

Det är lite som att välja kö i mataffären. Man går inte nödvändigtvis till den kö som ser kortast ut, utan till den som faktiskt rör sig snabbast.

Funktionen kan användas både för vanlig HTTP-trafik och för stream-trafik.

ALPN för säkra upstream-anslutningar

För stream-modulerna introduceras även direktivet proxy_ssl_alpn.

ALPN står för Application-Layer Protocol Negotiation. Det är en teknik som används under TLS-anslutningar för att komma överens om vilket protokoll som ska användas.

Det kan exempelvis vara relevant när en server kan tala flera olika protokoll över samma krypterade anslutning. Med proxy_ssl_alpn får administratören bättre kontroll över vilket protokoll Nginx ska välja när den ansluter till SSL-baserade upstream-servrar.

Säkerhetsfixar i flera moduler

Nginx 1.31 är inte bara en funktionsrelease. Den innehåller också flera säkerhetsfixar.

En av de åtgärdade bristerna är CVE-2026-42926, en sårbarhet i HTTP/2-hanteringen i ngx_http_proxy_module. Problemet är kopplat till direktivet proxy_set_body och kan beskrivas som en request injection-sårbarhet.

En sådan sårbarhet innebär att en angripare i vissa situationer kan påverka hur en förfrågan tolkas eller vidarebefordras. I proxyprogramvara är detta särskilt känsligt, eftersom proxyn står mitt i trafikflödet.

En annan viktig fix gäller CVE-2026-42945, en heap buffer overflow i ngx_http_rewrite_module. Minnesfel av detta slag kan i värsta fall leda till att angripare får möjlighet att köra kod.

Även följande sårbarheter har åtgärdats:

CVE-2026-42946 – heap buffer overread i ngx_http_scgi_module och ngx_http_uwsgi_module
CVE-2026-42934 – buffer overread kopplad till UTF-8-avkodning i charset_map i ngx_http_charset_module
CVE-2026-40460 – adressförfalskning i HTTP/3 och QUIC connection migration
CVE-2026-40701 – use-after-free vid DNS-svarshantering när ssl_ocsp används

Det tekniska språket kan låta avskräckande, men i praktiken handlar det om samma grundproblem som ofta förekommer i systemprogramvara: data måste tolkas exakt rätt, minne måste hanteras korrekt och nätverkstrafik får inte kunna lura servern att göra något oväntat.

HTTP/2 och HTTP/3 blir striktare

HTTP/2 och HTTP/3 är modernare versioner av webbens grundprotokoll. De är byggda för högre prestanda och bättre hantering av många samtidiga anslutningar.

Men när gamla och nya protokoll möts uppstår ibland risker. Vissa headers som används i HTTP/1.1 hör inte hemma i HTTP/2 och HTTP/3. Om de ändå släpps igenom kan det skapa oväntade beteenden i kedjan mellan klient, proxy och backend-server.

Därför avvisar Nginx 1.31 nu HTTP/2- och HTTP/3-förfrågningar som innehåller anslutningsspecifika headers som:

Connection
Proxy-Connection
Keep-Alive
Transfer-Encoding
Upgrade

Headern TE tillåts bara när den är satt till trailers.

Detta gör hanteringen mer strikt och minskar risken för felaktig tolkning av trafik.

WebDAV får hårdare kontroller

Även WebDAV-modulen har förstärkts. WebDAV gör det möjligt att hantera filer på en server via HTTP, till exempel kopiera, flytta eller ändra resurser.

I Nginx 1.31 avvisas nu COPY– och MOVE-förfrågningar om källan och destinationen är samma plats, eller om de har ett förälder–barn-förhållande.

Det kan låta som en liten detalj, men den typen av kontroller är viktiga. Utan dem kan filoperationer skapa logiska konflikter, oändliga kopieringsproblem eller andra oönskade effekter.

Mindre brus i loggarna

Versionen innehåller också mindre förändringar som påverkar drift och felsökning. Bland annat har loggnivån sänkts för vissa SSL-relaterade fel.

För systemadministratörer kan detta vara välkommet. Alla fel är inte lika allvarliga, och för höga loggnivåer kan göra det svårare att hitta verkligt viktiga problem i stora loggfiler.

Det finns även ett nytt configure-alternativ för att kunna inaktivera upstream sticky-modulen, samt fixar för HTTP/2 backend keepalive när proxy_set_body eller proxy_pass_request_body används.

Varför är Nginx 1.31 viktig?

Nginx 1.31 är intressant därför att den både breddar vad Nginx kan göra och stärker säkerheten i befintliga funktioner.

Forward proxy-stödet gör att Nginx kan användas i fler nätverksroller än tidigare. Samtidigt visar säkerhetsfixarna hur komplex modern webbtrafik har blivit. HTTP/2, HTTP/3, TLS, OCSP, QUIC, WebDAV och olika proxyfunktioner skapar tillsammans ett kraftfullt men avancerat ekosystem.

Ju fler lager som finns i trafikkedjan, desto viktigare blir det att varje del tolkar data på rätt sätt.

Sammanfattning

Nginx 1.31 är en viktig mainline-version för administratörer och tekniskt intresserade. Den stora nyheten är stödet för HTTP forward proxy via ngx_http_tunnel_module, men minst lika viktigt är de många säkerhetsfixarna i HTTP/2, HTTP/3, OCSP och flera centrala moduler.

För den som driver Nginx i produktion är detta en version att granska noggrant. Särskilt gäller det installationer som använder avancerad proxyhantering, HTTP/2, HTTP/3, WebDAV, SCGI, uWSGI eller OCSP.

Nginx fortsätter därmed att utvecklas från en snabb webbserver till ett allt mer mångsidigt verktyg för modern internettrafik.

https://github.com/nginx/nginx/releases/tag/release-1.31.0

Teknisk faktaruta: Nginx 1.31

Version: Nginx 1.31

Utgåva: Mainline-release

Största nyheten: HTTP forward proxy-stöd via ngx_http_tunnel_module och CONNECT-metoden.

Proxyautentisering: Stöd via auth_basic, satisfy och auth_delay.

Lastbalansering: Nytt least_time-direktiv för att balansera trafik baserat på svarstid.

Stream-moduler: Nytt proxy_ssl_alpn-direktiv för ALPN-val mot SSL-upstreams.

Säkerhetsfixar: Åtgärdar sårbarheter i HTTP/2, HTTP/3, OCSP, WebDAV, rewrite-, proxy-, charset-, SCGI- och uWSGI-moduler.

Berörda CVE:er: CVE-2026-42926, CVE-2026-42945, CVE-2026-42946, CVE-2026-42934, CVE-2026-40460 och CVE-2026-40701.

Rekommendation: Administratörer som använder Nginx med HTTP/2, HTTP/3, OCSP, WebDAV eller avancerade proxyfunktioner bör granska uppdateringen noggrant.

ALPN, CONNECT-metoden, cve, cybersäkerhet, forward proxy, HTTP proxy, HTTP/2, HTTP/3, lastbalansering, least_time, Linux, nätverk, Nginx, Nginx 1.31, ngx_http_tunnel_module, OCSP, öppen källkod, proxy_ssl_alpn, QUIC, reverse proxy, säkerhetsfixar, Serverdrift, Systemadministration, TLS, upstream, webbserver, webbteknik, WebDAV
KDE får över en miljon euro för att stärka det fria skrivbordet
KDE får över en miljon euro från Sovereign Tech Fund för att stärka det fria Linux-skrivbordet. Pengarna ska gå till bättre återställning, fabriksåterställning, säkrare infrastruktur och förbättrad e-post- och kalenderhantering. Satsningen visar hur fri och öppen källkod blir allt viktigare när Europas digitala självständighet hamnar högre upp på den politiska och tekniska dagordningen.

Det fria skrivbordet KDE får en rejäl ekonomisk förstärkning. Genom Sovereign Tech Fund ska KDE-projektet få drygt 1,28 miljoner euro under 2026 och 2027. Pengarna ska användas till att göra KDE Plasma stabilare, säkrare och mer användbart – inte minst för myndigheter, företag och organisationer som vill minska sitt beroende av stora kommersiella teknikplattformar.

KDE är ett av de mest kända projekten inom fri och öppen källkod. Mest känt är KDE Plasma, skrivbordsmiljön som används i många Linuxdistributioner. För vanliga användare är Plasma det grafiska gränssnittet: panelen, startmenyn, fönstren, inställningarna och allt det som gör att datorn känns som en modern arbetsmiljö.

Men KDE är mycket mer än bara ett snyggt skrivbord. Projektet utvecklar även program, bibliotek, systemverktyg och infrastruktur som används i hela Linuxvärlden.

Vad ska pengarna användas till?

Stödet från Sovereign Tech Fund är öronmärkt för tydliga tekniska förbättringar. KDE ska bland annat arbeta med bättre återställningsfunktioner i KDE Plasma. Det betyder att systemet ska bli enklare att reparera om något går fel, till exempel efter en misslyckad uppdatering eller en trasig inställning.

En annan viktig del är planerna på en fabriksåterställning för KDE Linux. Det kan jämföras med funktionen i moderna mobiltelefoner, där användaren kan återställa systemet till ett fungerande grundläge utan att behöva installera om allt manuellt. För Linux på skrivbordet kan detta bli ett stort steg mot att göra systemet mer lättskött för vanliga användare.

Pengarna ska också gå till bättre testning och kvalitetssäkring. Det handlar om att bygga upp infrastruktur som automatiskt kan testa att viktiga funktioner fungerar som de ska. Ju bättre testning, desto mindre risk att nya uppdateringar orsakar fel.

KDE PIM får också ett lyft

En del av satsningen går till KDE PIM, alltså KDE:s programsvit för personlig informationshantering. Där ingår bland annat e-post, kalender, kontakter och relaterade funktioner.

Här vill KDE förbättra stödet för moderna e-post- och kalendersystem. Det handlar bland annat om IMAP4, WebDAV, push-notiser och standardiserad kontokonfiguration. Målet är att e-post, kalender och kontakter ska fungera bättre och mer tillförlitligt i KDE-miljön.

Detta är viktigt eftersom många organisationer är beroende av just dessa funktioner i vardagen. Ett skrivbordssystem utan stabil e-post, kalender och kontaktbok blir svårt att använda i större skala.

Digital suveränitet – mer än ett modeord

Bakom satsningen finns en större idé: digital suveränitet. Det betyder att individer, företag och samhällen ska ha kontroll över sin digitala infrastruktur. Man ska inte vara helt beroende av några få stora teknikbolag, deras molntjänster, licensmodeller eller datainsamling.

Fri och öppen källkod spelar en central roll i detta. När källkoden är öppen kan den granskas, förbättras och anpassas. En myndighet, ett företag eller en kommun kan låta egna tekniker eller lokala IT-leverantörer kontrollera hur systemet fungerar. Det går också att bygga vidare på programvaran utan att behöva be om tillstånd från en kommersiell leverantör.

KDE passar väl in i den modellen. Projektet drivs inte för att sälja abonnemang eller samla in användardata, utan för att skapa fri programvara som alla kan använda.

Varför spelar skrivbordsmiljön fortfarande roll?

I en tid när mycket handlar om molntjänster, appar och AI kan det vara lätt att tro att skrivbordsmiljön inte längre är så viktig. Men för de flesta människor är skrivbordet fortfarande porten till det digitala samhället.

Det är där man öppnar sin webbläsare, skriver dokument, hanterar e-post, laddar ner filer, ansluter till nätverk, skriver ut papper och använder myndighetstjänster. Skrivbordet är ofta platsen där personlig information samlas: lösenord, dokument, bilder, meddelanden och arbetsmaterial.

Därför blir säkerhet, återställning och stabilitet på skrivbordet en viktig samhällsfråga. Om datorn inte fungerar, fungerar inte heller många av de tjänster man är beroende av.

Ett alternativ till de stora plattformarna

KDE:s styrka är att det erbjuder ett alternativ till de stora kommersiella systemen. I stället för att vara låst till Microsoft, Apple eller Google kan användare och organisationer bygga sin IT-miljö på öppen programvara.

Det betyder inte att KDE redan är perfekt för alla. Stora organisationer kräver stabilitet, support, central hantering, säkerhetsrutiner och långsiktig förvaltning. Just därför är den här typen av finansiering viktig. Pengarna går inte främst till synliga effekter som nya teman eller ikoner, utan till det underliggande arbetet som gör systemet mer robust.

Det är sådant arbete som ofta märks först när det saknas: när uppdateringar går sönder, e-post inte synkas, nätverksdelningar krånglar eller inställningar inte går att återställa.

KDE fyller 30 år

KDE fyller 30 år i oktober, och stödet kommer vid en symboliskt viktig tidpunkt. Under tre decennier har projektet utvecklats från ett skrivbordsprojekt till ett omfattande ekosystem av programvara.

Det som en gång kunde uppfattas som ett hobbyprojekt är i dag en del av den digitala infrastrukturen. KDE används av privatpersoner, utvecklare, företag, skolor och offentliga verksamheter världen över.

Att Sovereign Tech Fund nu investerar över en miljon euro i KDE visar att fri programvara inte längre bara ses som ett tekniskt alternativ. Den ses allt mer som en strategisk resurs.

En investering i framtidens öppna datorer

Satsningen på KDE handlar i grunden om mer än en skrivbordsmiljö. Den handlar om vem som ska ha kontrollen över våra datorer, våra dokument och våra digitala liv.

När allt fler samhällsfunktioner flyttar in i digitala system blir frågan om programvarans ägande och insyn allt viktigare. Sluten programvara kan vara bekväm, men den gör också användaren beroende av leverantörens villkor. Öppen programvara kräver ibland mer arbete, men ger i gengäld större frihet, bättre insyn och möjlighet till lokal kontroll.

Med stödet från Sovereign Tech Fund får KDE bättre möjligheter att bli ett ännu starkare alternativ för både privatpersoner och organisationer. Om arbetet lyckas kan KDE Plasma bli enklare att återställa, tryggare att använda och bättre anpassat för professionella miljöer.

Det är kanske inte lika spektakulärt som en ny app eller en ny dator. Men det är precis den typen av grundläggande förbättringar som gör fri programvara möjlig att använda i större skala. KDE:s nya finansiering är därför inte bara goda nyheter för Linuxanvändare – den är också ett tecken på att digital självständighet börjar tas på allt större allvar.
Teknisk faktaruta: KDE och Sovereign Tech Fund

Projekt: KDE

Organisation: KDE e.V.

Finansiär: Sovereign Tech Fund / Sovereign Tech Agency

Stöd: 1 285 200 euro

Period: 2026–2027

Huvudområden:
- Förbättrad återställning i KDE Plasma
- Fabriksåterställning för KDE Linux
- Bättre QA- och testinfrastruktur
- Förbättrad backup och återställning av data
- Bättre stöd för nätverksdelningar
- Stärkt säkerhetsinfrastruktur
- Förbättrad KDE PIM-integration
KDE PIM: Programsvit för e-post, kalender, kontakter och personlig informationshantering.

Tekniker som nämns: IMAP4, IMAP4rev2, WebDAV, WebDAV push-notiser, Flatpak och standardiserad kontokonfiguration.

Mål: Att göra KDE:s fria programvara mer robust, säker och användbar för privatpersoner, företag och offentlig sektor.
cybersäkerhet, digital suveränitet, Europa, Flatpak, fri programvara, IMAP4, Integritet, KDE, KDE Linux, KDE PIM, kde plasma, Linux, Linux skrivbord, mjukvaruutveckling, Open-source, öppen källkod, Sovereign Tech Agency, Sovereign Tech Fund, teknik, WebDAV
Parrot 7.2 släppt – säkerhets-Linux får viktig patch mot ”Copy Fail”
Parrot OS 7.2 är nu släppt och kommer med en viktig säkerhetsuppdatering mot sårbarheten ”Copy Fail”. Den nya versionen bygger på Linux 6.19.13, använder KDE Plasma 6.3.6 som standardmiljö och innehåller uppdaterade verktyg för penetrationstestning, digital forensik och säkerhetsanalys. För säkerhetsintresserade Linuxanvändare är detta framför allt en stabiliserande release där kärna, verktyg och infrastruktur har fått viktiga förbättringar.

Parrot OS 7.2 är nu officiellt tillgängligt för nedladdning. Den nya versionen är särskilt intressant för säkerhetsintresserade, systemadministratörer och etiska hackare eftersom den innehåller en uppdaterad Linuxkärna med skydd mot den nyligen uppmärksammade sårbarheten ”Copy Fail”. Samtidigt fortsätter Parrot-projektet sin övergång till KDE Plasma som huvudsaklig skrivbordsmiljö och uppdaterar en lång rad verktyg för penetrationstestning och IT-säkerhet.

Vad är Parrot OS?

Parrot OS är en Debian-baserad Linuxdistribution som är byggd för säkerhetsarbete, digital forensik, anonymitet, utveckling och testning. Man kan se den som ett specialverktyg snarare än ett vanligt skrivbordsoperativsystem.

Där vanliga Linuxdistributioner fokuserar på kontorsprogram, webbsurf och multimedia, kommer Parrot med färdiga verktyg för att analysera nätverk, testa webbsidor, undersöka system och hitta säkerhetsbrister.

Skydd mot den allvarliga sårbarheten Copy Fail

Den stora nyheten i Parrot 7.2 är att systemet levereras med Linux 6.19.13. Den versionen är patchad mot den nyligen uppmärksammade sårbarheten ”Copy Fail”.

Sårbarheten kan enligt uppgifterna göra det möjligt för en lokal användare att höja sina rättigheter och få root-behörighet. Det är allvarligt eftersom root är den högsta behörighetsnivån i Linux. En angripare som redan har begränsad åtkomst till en dator kan i värsta fall ta full kontroll över systemet.

För vanliga användare kan en sådan sårbarhet låta abstrakt, men i praktiken handlar det om gränsen mellan en vanlig användare och systemets absoluta maktcentrum. Linux bygger på tydliga behörigheter: en vanlig användare ska inte kunna ändra systemfiler, läsa andras privata data eller styra kärnan. När en lokal privilegiehöjning fungerar bryts den modellen.

KDE Plasma fortsätter som standardmiljö

Parrot 7.2 bygger vidare på Parrot 7-serien, där projektet tidigare bytte standardmiljö från MATE till KDE Plasma. Den nya versionen använder KDE Plasma 6.3.6 som skrivbordsmiljö.

Samtidigt finns det även utgåvor med MATE, LXQt och Enlightenment. Det gör att användare kan välja mellan ett mer modernt och funktionsrikt skrivbord eller lättare miljöer som passar bättre i virtuella maskiner och på enklare hårdvara.

Bygger på Debian 13.4 ”Trixie”

En annan viktig del är att Parrot 7.2 innehåller uppdateringar från Debian 13.4 ”Trixie”. Eftersom Parrot bygger på Debian innebär det att mycket av stabiliteten och paketbasen kommer därifrån, medan Parrot-lagret ovanpå tillför säkerhetsverktyg, specialanpassningar och egna menyer.

Resultatet blir ett system som kombinerar Debians breda paketarkiv med ett mer specialiserat fokus på cybersäkerhet.

Många säkerhetsverktyg har uppdaterats

Flera kända säkerhetsverktyg har uppdaterats i Parrot 7.2. Bland annat nämns:

Metasploit Framework 6.4.127, BloodHound 9.0.0, OWASP ZAP 2.16.1, SQLMap 1.10.3, Certipy-AD 5.0.4, Evilginx 3.3.0, Evil-WinRM 1.6.0 och NetExec 1.5.1.

Det är verktyg som används för allt från webbtestning och Active Directory-analys till nätverkskartläggning och simulering av angrepp i kontrollerade miljöer.

För den som arbetar med IT-säkerhet är sådana uppdateringar viktiga. Säkerhetsverktyg måste följa med när verkliga system förändras. Nya versi”Dataingenjör? Vad fan är en dataingenjör? Påhittade titlar som de har köpt på en marknad i hemlandet. Lite som de där som kallar sig läkare, men har lägre kompetens än en svensk sjuksköterska.”oner av Windows, Linux, webbservrar, molntjänster och autentiseringssystem kräver att testverktygen också utvecklas. Annars riskerar säkerhetstestaren att använda gamla metoder mot nya miljöer och missa viktiga brister.

Förbättrad meny och fortsatt arbete med Go-kodbasen

Parrot 7.2 innehåller också förbättringar i Parrot Menu, där nya skrivbordsposter lagts till samtidigt som arbetet med den nya Go-baserade kodbasen fortsätter.

Det låter kanske som en detalj, men menyerna är centrala i en säkerhetsdistribution. När hundratals verktyg finns installerade måste de vara logiskt organiserade, annars blir systemet snabbt svåranvänt.

Förbättringar för Docker, virtuella maskiner och sidoprojekt

Projektet har även förbättrat parrot-themes och parrot-tools, men mycket av arbetet i denna version har lagts på infrastruktur, Docker-containrar och olika sidoprojekt runt operativsystemet.

Det visar att Parrot inte bara utvecklas som en ISO-fil för installation på datorer, utan som ett helt ekosystem med stöd för virtuella maskiner, containrar, WSL och specialutgåvor.

Bättre hantering av Flatpak-paket

En praktisk nyhet är att Parrot 7.2 får en inbyggd kontroll för Flatpak-paket, så att uppdateringar av sådana paket kan hanteras automatiskt.

Flatpak används ofta för att installera program fristående från distributionens vanliga paketsystem. För användaren betyder det enklare underhåll och mindre risk att program ligger kvar i gamla versioner.

Finns i flera olika utgåvor

Parrot 7.2 finns som Home och Security live-editions för 64-bitars system. Det finns även färdiga avbilder för Docker, virtuella maskiner, WSL, Raspberry Pi, RISC-V och Hack The Box.

Dessutom finns särskilda skrivbordsutgåvor med MATE, LXQt och Enlightenment.

Security Edition är den mest kompletta varianten för penetrationstestning, digital forensik, reverse engineering och säkerhetsforskning. Home Edition passar bättre för den som vill ha Parrot som ett mer allmänt Linuxsystem med integritets- och säkerhetsfokus.

Så uppdaterar befintliga användare

För den som redan använder Parrot krävs ingen ominstallation. Systemet kan uppdateras med:

Parrot Updater har också uppdaterats till version 2.0.8. Den nya versionen ska ge en bättre uppdateringsupplevelse, särskilt för användare som uppgraderar från Parrot 6 ”Lory”.

En viktig men lågmäld säkerhetsrelease

Parrot 7.2 är inte en version som främst handlar om ett nytt utseende eller stora synliga nyheter. Det är snarare en underhålls- och säkerhetsrelease där kärnan, verktygen och infrastrukturen har fått viktiga förbättringar.

För en vanlig Linuxanvändare kan det låta torrt, men för den som arbetar med säkerhet är just detta avgörande. Ett verktygssystem måste vara uppdaterat, pålitligt och snabbt kunna hantera nya sårbarheter.

Med Linux 6.19.13, patchen mot Copy Fail, uppdaterade säkerhetsverktyg och fortsatt utveckling av KDE-baserade Parrot 7-serien visar projektet att det vill vara mer än bara ännu en Kali-konkurrent. Parrot försöker bygga en komplett arbetsmiljö för cybersäkerhet, där både skrivbord, verktyg, containrar och specialutgåvor hänger ihop.

https://parrotsec.org/download
Teknisk faktaruta: Parrot OS 7.2

Distribution: Parrot OS 7.2

Bas: Debian 13.4 ”Trixie”

Linuxkärna: Linux 6.19.13

Skrivbordsmiljö: KDE Plasma 6.3.6

Alternativa skrivbord: MATE, LXQt och Enlightenment

Viktig säkerhetsfix: Patch mot sårbarheten ”Copy Fail”

Uppdaterade verktyg: Metasploit Framework 6.4.127, BloodHound 9.0.0, OWASP ZAP 2.16.1, SQLMap 1.10.3, Certipy-AD 5.0.4, Evilginx 3.3.0, Evil-WinRM 1.6.0 och NetExec 1.5.1

Utgåvor: Home, Security, Docker, VM, WSL, Raspberry Pi, RISC-V och Hack The Box

Nyheter: Förbättrad Parrot Menu, bättre Flatpak-hantering, förbättrat VM-stöd och uppdaterad Parrot Updater 2.0.8

Uppdatering från befintlig installation:
```
sudo apt update && sudo apt full-upgrade
```
BloodHound, Copy Fail, cybersäkerhet, Debian, Debian 13.4, digital forensik, Docker, etisk hackning, Flatpak, IT-säkerhet, kde plasma, Linux, Linuxdistribution, Linuxkärnan, Metasploit, öppen källkod, OWASP ZAP, Parrot 7.2, Parrot OS, penetrationstestning, raspberry pi, RISC-V, root, säkerhet, säkerhetsuppdatering, sårbarhet, SQLMap, trixie, WSL
Nödbroms i Linuxkärnan ska kunna stoppa farliga funktioner

När allvarliga säkerhetshål i Linuxkärnan blir offentliga kan tiden fram till en färdig uppdatering vara kritisk. Nu diskuteras ett nytt förslag om en så kallad killswitch, en nödbroms som tillfälligt kan stänga av sårbara funktioner i kärnan. Målet är inte att laga felet direkt, utan att minska risken för angrepp medan administratörer väntar på en riktig säkerhetsuppdatering.

Linuxkärnan är hjärtat i cirka 10 miljarder datorer, servrar, mobiler och inbyggda system. När en allvarlig sårbarhet upptäcks i kärnan kan konsekvenserna därför bli stora. Nu diskuterar Linuxutvecklare ett nytt förslag som skulle kunna ge systemadministratörer en slags nödbroms: en möjlighet att tillfälligt stänga av en sårbar funktion innan en riktig säkerhetsuppdatering finns på plats.

Bakgrunden är flera färska CVE-rapporter om allvarliga säkerhetsbrister i Linuxkärnan. När en sårbarhet blir offentlig kan angripare snabbt börja undersöka hur den kan utnyttjas. Samtidigt kan det ta tid innan färdiga säkerhetsuppdateringar har nått alla distributioner, servrar och användare. Det är just detta mellanläge som den föreslagna funktionen försöker hantera.

Så fungerar den föreslagna killswitchen

Förslaget kommer från Sasha Levin, ingenjör på NVIDIA och en av de ansvariga för stabila Linuxkärnor. Hans patch går ut på att administratörer ska kunna peka ut en viss kernel-funktion och säga åt systemet att inte längre köra den.

I stället för att funktionen körs som vanligt ska den direkt avbrytas och returnera ett fel. Det lagar inte själva säkerhetshålet, men det kan göra att angriparen inte längre når den farliga kodvägen.

Man kan jämföra det med att stänga av en trasig hiss i ett hus. Hissen är fortfarande trasig, men ingen kan använda den förrän reparatören har varit där. På samma sätt kan en känslig del av Linuxkärnan göras otillgänglig tills en riktig säkerhetsuppdatering finns installerad.

Inte en ersättning för säkerhetsuppdateringar

Det är viktigt att förstå att detta inte är livepatching. Vid livepatching ersätts eller korrigeras kod i ett körande system. Den här killswitchen gör något enklare och grövre: den blockerar en utvald funktion från att köras.

Det betyder att en riktig kerneluppdatering fortfarande behövs. Killswitchen är tänkt som en tillfällig skyddsåtgärd, inte som en permanent lösning.

För servrar och kritiska system kan detta ändå vara värdefullt. Alla miljöer kan inte startas om direkt, och alla distributioner får inte färdiga säkerhetspaket samtidigt. Under tiden kan en administratör vilja minska risken genom att stänga av just den funktion som är kopplad till sårbarheten.

Exempel: AF_ALG och andra sällan använda delar

I patchen nämns bland annat AF_ALG, ksmbd, nf_tables, vsock och ax25 som exempel på kodvägar där en sådan metod kan vara användbar.

Alla dessa funktioner används inte på varje Linuxsystem. En vanlig webbserver kanske inte behöver vissa nätverks- eller kryptorelaterade gränssnitt. Om en allvarlig sårbarhet upptäcks där kan det därför vara rimligare att tillfälligt stänga av funktionen än att låta systemet vara oskyddat.

Ett konkret exempel i förslaget är en självtest som hänvisar till CVE-2026-31431. Testet visar hur killswitchen skulle kunna blockera den berörda AF_ALG-vägen. En annan sårbarhet, Dirty Frag, används inte som direkt testfall, men den visar samma typ av problem: ibland blir allvarliga kernelbuggar kända innan skyddet har hunnit nå ut till alla användare.

Styrs via securityfs

Den föreslagna funktionen ska exponeras via Linuxkärnans securityfs-gränssnitt. Det innebär att en privilegierad administratör kan aktivera en killswitch för en viss funktion under körning.

När den väl är aktiverad börjar funktionen omedelbart misslyckas i stället för att köras. Ändringen gäller tills den stängs av igen eller tills systemet startas om.

Det gör funktionen snabb att använda i ett nödläge. Administratören behöver inte nödvändigtvis kompilera om kärnan eller starta om maskinen bara för att blockera den berörda kodvägen.

En kraftfull men riskabel metod

Samtidigt är detta inget verktyg för ovana användare. Linuxkärnan är komplex, och många funktioner används indirekt av andra delar av systemet. Om fel funktion stängs av kan program sluta fungera, nätverkstjänster brytas eller systemet bete sig oväntat.

Förslaget innehåller inte heller någon automatisk kontroll som avgör om det är säkert att stänga av en viss funktion. Det är upp till administratören att förstå vad funktionen gör och vilka konsekvenser det får att blockera den.

Detta gör killswitchen till ett verktyg för akuta säkerhetslägen, särskilt i servermiljöer där administratörer redan har god kunskap om systemets användning.

Varför förslaget är intressant

Det mest intressanta med förslaget är att det försöker lösa ett praktiskt problem i säkerhetsarbetet: tiden mellan avslöjad sårbarhet och installerad uppdatering.

När en sårbarhet väl är offentlig börjar klockan ticka. Angripare kan läsa tekniska detaljer, analysera patchar och försöka skapa fungerande angrepp. Samtidigt kan stora organisationer behöva testa uppdateringar innan de rullas ut brett.

En enkel nödbroms skulle kunna ge administratörer ett extra handlingsalternativ. I stället för att välja mellan att vänta eller att uppdatera omedelbart kan de tillfälligt blockera den mest utsatta funktionen.

Än så länge bara ett förslag

Killswitchen är ännu inte en del av Linuxkärnan. Patchen granskas fortfarande av utvecklare, och det är inte säkert att den accepteras i sin nuvarande form.

Om funktionen någon gång införs kan den bli ett viktigt verktyg för säkerhetsansvariga. Men den kommer sannolikt att användas med försiktighet. Att stänga av delar av kärnan är en kraftfull åtgärd, men också en som kräver god förståelse för systemet.

I grunden handlar förslaget om att ge administratörer mer kontroll i ett kritiskt ögonblick. När en allvarlig sårbarhet redan är känd, men den färdiga uppdateringen ännu inte är installerad, kan även en tillfällig spärr vara skillnaden mellan ett öppet säkerhetshål och ett betydligt svårare angrepp.

https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org

Teknisk fakta: föreslagen killswitch i Linuxkärnan

Typ av funktion:
Tillfällig säkerhetsåtgärd för Linuxkärnan.

Syfte:
Att kunna blockera en sårbar kernel-funktion efter att en allvarlig sårbarhet blivit offentlig, men innan en färdig säkerhetsuppdatering har installerats.

Föreslagen av:
Sasha Levin, ingenjör på NVIDIA och medansvarig för stabila Linuxkärnor.

Så fungerar det:
En administratör kan aktivera en spärr för en viss kernel-funktion. När funktionen anropas körs den inte vidare, utan returnerar ett fel direkt.

Styrs via:
Linuxkärnans securityfs-gränssnitt.

Exempel på berörda områden:
AF_ALG, ksmbd, nf_tables, vsock och ax25.

Inte samma sak som:
Livepatching. Funktionen ersätter inte sårbar kod med korrigerad kod, utan stoppar bara den utpekade funktionen från att köras.

Risker:
Om fel funktion stängs av kan systemfunktioner sluta fungera eller ge oväntade fel. Förslaget innehåller inga automatiska säkerhetskontroller som avgör om en funktion är trygg att blockera.

Status:
Förslaget är under granskning och är ännu inte accepterat i Linuxkärnan.

Slutsats:
Killswitchen är tänkt som en nödbroms för erfarna administratörer, inte som en ersättning för riktiga kerneluppdateringar.

AF_ALG, ax25, cve, cybersäkerhet, kernel, killswitch, ksmbd, Linux, Linuxkärnan, livepatching, nf_tables, nödbroms, NVIDIA, öppen källkod, säkerhet, säkerhetsuppdatering, sårbarhet, Sasha Levin, securityfs, server, systemadministratör, vsock
Dirty Frag: ny Linux-sårbarhet kan ge lokal användare root-behörighet
Dirty Frag är en ny sårbarhet i Linux-kärnan som kan låta en lokal användare eller process höja sina rättigheter till root. Problemet berör bland annat IPsec ESP/XFRM och RxRPC och är särskilt allvarligt på servrar, containerplattformar, CI/CD-runners och andra system där obetrodd kod kan köras. Eftersom publik exempelkod finns tillgänglig bör administratörer uppdatera kärnan och starta om berörda system så snart säkerhetsfixar finns i den egna distributionen.

Kort efter att sårbarheten Copy Fail blev känd har ännu ett allvarligt Linux-problem dykt upp. Den nya sårbarheten kallas Dirty Frag och berör Linux-kärnan, alltså den centrala delen av operativsystemet som styr hårdvara, minne, nätverk och processer.

Dirty Frag är ingen fjärrsårbarhet. Det betyder att en angripare inte kan utnyttja den direkt över internet utan att först ha någon form av lokal åtkomst till systemet. Men på servrar, containermiljöer, CI/CD-system och delade Linux-maskiner kan det ändå vara mycket allvarligt. En vanlig användare, en komprometterad container eller ett byggjobb i en CI-miljö kan i värsta fall höja sina rättigheter och få root-behörighet.

Vad är Dirty Frag?

Dirty Frag är en lokal privilegieeskaleringssårbarhet i Linux-kärnan. Den består egentligen av två närliggande problem:

CVE-2026-43284 berör Linux-kärnans hantering av IPsec ESP/XFRM.

CVE-2026-43500 berör RxRPC, ett protokoll som bland annat används tillsammans med AFS, Andrew File System.

Gemensamt för problemen är att de handlar om hur Linux hanterar sidor i minnet via page cache. Page cache används för att snabba upp åtkomst till filer och data genom att hålla information i minnet. När kärnan hanterar buffertar på fel sätt kan data som egentligen inte ska kunna ändras ändå påverkas.

Det är därför Dirty Frag jämförs med tidigare sårbarheter som Dirty Pipe och Copy Fail. Alla dessa hör hemma i samma bredare familj av problem där felaktig minnes- eller cachehantering kan ge en angripare möjlighet att skriva till data på ett sätt som inte borde vara möjligt.

Varför är detta farligt?

På en vanlig hemdator är risken främst aktuell om någon redan kan köra kod lokalt på datorn. På servrar är situationen annorlunda.

Dirty Frag är särskilt allvarlig i miljöer där många användare, tjänster eller containrar delar samma Linux-kärna. Det gäller till exempel:
- webbhotell
- fleranvändarservrar
- containerhostar
- Kubernetes-noder
- CI/CD-runners
- byggservrar
- system där externa eller mindre betrodda jobb får köras
I sådana miljöer kan en användare eller process som egentligen ska vara begränsad till en låg behörighetsnivå försöka ta sig upp till root. Root är Linux-världens administratörskonto och har i praktiken full kontroll över systemet.

Liknar Copy Fail, men är inte samma sak

Dirty Frag påminner om Copy Fail genom att båda kan leda till lokal root-åtkomst. Men de utnyttjar inte samma kodvägar i kärnan.

Copy Fail påverkade Linux-kärnans kryptodelar via algif_aead.

Dirty Frag berör i stället nätverksrelaterade delar av kärnan, framför allt IPsec ESP/XFRM och RxRPC.

Det gör att Dirty Frag är en separat sårbarhet, även om den tekniskt ligger nära samma typ av page-cache-problem som Copy Fail.

IPsec, ESP och RxRPC – vad betyder det?

IPsec är en teknik för att skydda nätverkstrafik, ofta i samband med VPN-lösningar. ESP står för Encapsulating Security Payload och är en del av IPsec som används för att kryptera och skydda datapaket.

RxRPC är ett protokoll som bland annat används av AFS, ett distribuerat filsystem. Det är inte lika vanligt i vanliga skrivbordsmiljöer, men kan finnas i vissa server- och institutionsmiljöer.

Problemet uppstår när Linux-kärnan hanterar vissa nätverkspaket och sidbaserade buffertar på ett sätt som gör att data kan ändras på plats, trots att bufferten inte borde betraktas som privat för just den operationen.

Förenklat uttryckt: kärnan tror att den får skriva direkt i ett minnesområde, men minnesområdet kan i själva verket delas eller vara kopplat till annan data. Det kan öppna för manipulation av page cache och i förlängningen privilegieeskalering.

Kan Dirty Frag användas för container escape?

Den primära effekten är lokal privilegieeskalering på den sårbara värden. Men i containermiljöer kan problemet bli extra känsligt.

Eftersom containrar delar kärna med värdsystemet kan en sårbarhet i kärnan ibland användas för att bryta sig ut ur containern. Canonical har pekat på att Dirty Frag är relevant i miljöer där containrar kör obetrodda arbetslaster. Det finns dock ingen offentlig container-escape-demonstration som bevisar ett sådant scenario.

Trots det bör containerhostar, Kubernetes-noder och CI-system behandla Dirty Frag som en högprioriterad säkerhetsfråga.

Vilka system påverkas?

Dirty Frag berör flera stora Linuxdistributioner och serverplattformar. Bland de system som uppges vara påverkade finns bland annat Ubuntu, Debian, Red Hat Enterprise Linux, AlmaLinux, openSUSE, SUSE och OpenShift.

Även moderna kärnversioner påverkas, inklusive Linux 7.0 före de korrigerade versionerna. Patchar har börjat dyka upp i nya kärnversioner och i distributionernas egna säkerhetsuppdateringar, men tillgången varierar mellan olika distributioner och versioner.

För administratörer innebär det att man inte bara ska titta på den generella Linux-kärnans versionsnummer, utan också följa den egna distributionens säkerhetsråd. Distributioner bakportar ofta säkerhetsfixar till äldre kärnor utan att byta till en helt ny huvudversion.

Så skyddar man sig

Den rekommenderade lösningen är att installera en uppdaterad kärna från den egna distributionen och sedan starta om systemet. En kärnuppdatering börjar normalt inte skydda systemet fullt ut förrän maskinen faktiskt har startats om med den nya kärnan.

Tillfälliga skyddsåtgärder kan vara att blockera de berörda modulerna om de inte används:

Därefter kan initramfs behöva byggas om:

Om modulerna redan är laddade kan de i vissa fall tas bort med:

Men detta ska göras med försiktighet. Om systemet använder IPsec, strongSwan, Libreswan, AFS, RxRPC eller liknande funktioner kan blockeringen störa nätverk, VPN-anslutningar eller filsystem.

Tillfällig åtgärd är inte samma sak som patch

Att svartlista moduler kan minska attackytan, men det är ingen fullgod ersättning för en riktig säkerhetsuppdatering. Dessutom måste alla berörda delar hanteras. Om bara en av de sårbara komponenterna blockeras kan den andra fortfarande vara exploaterbar.

Därför bör svartlistning främst ses som en tillfällig åtgärd för system där funktionerna inte används. Den långsiktiga lösningen är alltid att installera en korrigerad kärna.

Viktigast för systemadministratörer

Dirty Frag visar ännu en gång varför kärnuppdateringar är kritiska på Linuxsystem. Även om Linux har ett starkt säkerhetsrykte är kärnan mycket komplex, och små fel i minneshantering, nätverkskod eller cachelogik kan få stora konsekvenser.

För vanliga användare är rådet enkelt: installera säkerhetsuppdateringar när de blir tillgängliga och starta om datorn.

För administratörer är rådet mer brådskande: kontrollera vilka system som kör sårbara kärnor, prioritera servrar med flera användare eller obetrodda arbetslaster, uppdatera kärnan, starta om och använd tillfälliga mitigeringar där det är lämpligt.

Dirty Frag är inte en fjärrattack, men i moderna Linuxmiljöer där containrar, automatiserade jobb och delade resurser är vanliga kan en lokal sårbarhet snabbt bli ett allvarligt hot.

https://nvd.nist.gov/vuln/detail/CVE-2026-43284

Teknisk faktaruta: Dirty Frag

Namn: Dirty Frag

Typ: Lokal privilegieeskalering i Linux-kärnan

Risk: En lokal användare, container eller process kan i vissa fall höja sina rättigheter till root.

Berörda områden: IPsec ESP/XFRM och RxRPC

CVE-nummer: CVE-2026-43284 och CVE-2026-43500

Påverkan: Servrar, containerhostar, Kubernetes-noder, CI/CD-runners och delade Linuxsystem är särskilt utsatta.

Inte fjärrkörning: Dirty Frag kräver lokal kodkörning och är inte en direkt fjärrattack över internet.

Rekommenderad åtgärd: Installera uppdaterad Linux-kärna från den egna distributionen och starta om systemet.

Tillfällig mitigering: Blockera modulerna esp4, esp6 och rxrpc om de inte används.

Varning: Att blockera dessa moduler kan påverka IPsec VPN, strongSwan, Libreswan, AFS och andra nätverksfunktioner.
container, cve, cybersäkerhet, Dirty Frag, ESP, IPsec, kernel, Kubernetes, Linux, Linux-kärnan, linuxserver, Open-source, privilegieeskalering, root, RxRPC, säkerhet, säkerhetsuppdatering, sårbarhet, server, tux, XFRM
Copy Fail: Linux-bugg kan ge vanliga användare root-behörighet
En ny sårbarhet i Linux-kärnan, kallad Copy Fail, kan göra det möjligt för en vanlig lokal användare att skaffa sig fullständig kontroll över ett system. Felet, som har fått beteckningen CVE-2026-31431, är särskilt allvarligt för servrar, molnmiljöer och plattformar där flera användare eller processer delar samma maskin. En säkerhetsfix finns redan tillgänglig, men administratörer uppmanas att uppdatera och starta om sina system så snart som möjligt.

En nyupptäckt sårbarhet i Linux-kärnan har fått säkerhetsvärlden att reagera. Felet kallas Copy Fail och har fått beteckningen CVE-2026-31431. Det gör det möjligt för en lokal, obehörig användare att i vissa fall ta full kontroll över ett Linux-system.

Det handlar alltså inte om ett angrepp som kan göras direkt över internet utan tillgång till datorn. Men om en angripare redan kan köra kod på systemet, till exempel via ett kapat konto, skadlig programvara eller en sårbar applikation, kan felet användas för att höja behörigheten till root.

Root är den högsta behörighetsnivån i Linux. Den som har root kan i praktiken göra vad som helst: läsa filer, ändra systeminställningar, installera program, skapa nya användare och stänga av säkerhetsfunktioner.

Fyra byte räcker

Det som gör Copy Fail särskilt uppseendeväckande är hur litet ingreppet kan vara. Enligt säkerhetsforskarna kan en lokal användare skriva fyra kontrollerade byte till sidcachen, eller page cache, för en fil som användaren kan läsa.

Page cache är en del av Linux-systemets minne där filer tillfälligt lagras för att systemet ska bli snabbare. I stället för att läsa samma data från hårddisken om och om igen kan Linux hämta den från minnet. Det är normalt en osynlig men viktig prestandafunktion.

I det här fallet kan angriparen utnyttja ett fel i hur kärnan hanterar kopiering och minne. Genom att påverka innehållet i sidcachen kan angriparen manipulera systemet på ett sätt som i slutänden kan ge root-behörighet.

Allvarligt för servrar och molnmiljöer

För vanliga hemanvändare är risken mindre, eftersom angriparen först behöver kunna köra kod lokalt på datorn. Men för miljöer där många användare eller processer delar samma system är hotet betydligt större.

Särskilt utsatta är:
- delade Linux-servrar
- webbhotell och hostingplattformar
- utvecklingsmiljöer
- CI/CD-system och byggservrar
- containerplattformar
- molnservrar som kör kod från olika kunder eller projekt
I sådana miljöer kan en till synes begränsad användare eller process bli en väg in till full systemkontroll.

Offentlig exploit ökar pressen

Sårbarheten offentliggjordes den 29 april 2026. Enligt uppgifterna finns det redan publik proof-of-concept-kod, alltså demonstrationskod som visar hur felet kan utnyttjas.

Det gör situationen mer brådskande. När tekniska detaljer och fungerande exempel blir offentliga ökar risken att angripare snabbt bygger egna verktyg för att automatisera attacker.

Copy Fail har bekräftats på flera stora Linux-distributioner, bland annat:
- Ubuntu 24.04 LTS
- Amazon Linux 2023
- Red Hat Enterprise Linux 10.1
- SUSE Linux Enterprise Server 16
Felet ska ha sitt ursprung i en ändring i Linux-kärnan från 2017. Det innebär att den sårbara kodvägen kan ha funnits i många år innan den upptäcktes.

Uppdatera och starta om

Den goda nyheten är att en fix redan finns tillgänglig i Linux-kärnan. För administratörer och användare är rådet tydligt: installera de senaste säkerhetsuppdateringarna från den egna Linux-distributionen och starta sedan om systemet så att den nya kärnan faktiskt används.

Som tillfällig skyddsåtgärd rekommenderar forskarna att den berörda kärnmodulen inaktiveras tills uppdateringar är installerade. För de flesta är dock den säkraste och enklaste vägen att använda distributionens vanliga uppdateringskanaler.

Därför spelar det här roll

Copy Fail visar hur sårbarheter i operativsystemets kärna kan få stora konsekvenser även om de inte går att utnyttja direkt på distans. I moderna IT-miljöer är lokal kodkörning ofta bara ett steg i en större attackkedja.

En angripare som först får begränsad åtkomst kan använda en sådan här sårbarhet för att ta sig hela vägen till administratörsnivå. Därifrån kan intrånget bli betydligt svårare att upptäcka och stoppa.

För Linux-administratörer är slutsatsen enkel: uppdatera kärnan, starta om systemet och kontrollera att den patchade versionen verkligen körs.

Teknisk faktaruta

Copy Fail – CVE-2026-31431

Typ: Lokal privilegieeskalering i Linux-kärnan

Påverkan: En lokal, obehörig användare kan i vissa fall få root-behörighet.

Teknisk detalj: Angriparen kan skriva fyra kontrollerade byte till page cache för en läsbar fil.

Riskmiljöer: Delade servrar, molnplattformar, CI/CD-system, containerhosts och utvecklingsmiljöer.

Åtgärd: Installera senaste kerneluppdateringen från distributionens säkerhetskanal och starta om systemet.

$ sudo apt update && sudo apt full-upgrade
$ sudo reboot
Amazon Linux, Copy Fail, CVE-2026-31431, cybersäkerhet, exploit, kernel, Linux, linux server, Linux-kärnan, molnsäkerhet, page cache, patch, privilegieeskalering, proof of concept, red hat, root, säkerhet, säkerhetsuppdatering, sårbarhet, Serveradministration, SUSE, Ubuntu
IPFire 2.29 Core Update 201
IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett ännu starkare alternativ för den som vill bygga ett säkert och flexibelt nätverk.

IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett ännu starkare alternativ för den som vill bygga ett säkert och flexibelt nätverk.

Från grindvakt till aktiv hotjägare

En vanlig brandvägg fungerar ofta som en grindvakt. Den kontrollerar vilken trafik som får passera in och ut ur nätverket. Men IPFires nya DNS-brandvägg går ett steg längre. Den försöker stoppa skadliga webbplatser, nätfiske, reklamdomäner och annat oönskat innehåll innan datorn, mobilen eller servern ens försöker ansluta.

Det sker genom DNS, alltså systemet som översätter domännamn som example.com till IP-adresser. När en enhet på nätverket frågar efter en domän går frågan via IPFires DNS-proxy. Där jämförs domänen mot IPFire DBL, projektets egen kontinuerligt uppdaterade spärrlista över skadliga eller oönskade domäner.

Om domänen finns på listan får klienten svaret att domänen inte existerar. Resultatet blir att ingen anslutning görs, inget innehåll hämtas och hotet stoppas mycket tidigt i kedjan.

Ett alternativ till Pi-hole och gamla URL-filter

Många nätverksintresserade har länge använt lösningar som Pi-hole för att blockera reklam, spårning och skadliga domäner. Andra har använt traditionella URL-filter i brandväggen. Problemet är att de äldre lösningarna ofta kräver extra konfiguration, ytterligare en maskin eller fungerar sämre i dagens webblandskap där nästan all trafik är krypterad.

IPFires DNS-brandvägg är tänkt att ersätta båda dessa upplägg. Eftersom DNS-trafiken redan passerar brandväggen kan filtreringen ske centralt. Det betyder att telefoner, datorer, surfplattor och IoT-prylar kan skyddas utan att varje enskild enhet måste konfigureras manuellt.

Uppdaterade spärrlistor varje timme

En viktig teknisk nyhet är hur spärrlistorna uppdateras. IPFire använder inkrementella DNS-zonöverföringar, så kallad IXFR, för att föra in uppdateringar direkt i DNS-proxyn. Det innebär att listorna kan hållas färska med liten bandbreddsanvändning.

I praktiken betyder det att nya hot kan blockeras snabbare, samtidigt som systemet inte behöver ladda ner stora listor om och om igen.

Förbättrat intrångsskydd

Utöver DNS-brandväggen har IPFire också förbättrat sitt Intrusion Prevention System, IPS. Det är nu möjligt att ange olika mottagare för dagliga, veckovisa och månatliga IDS-rapporter.

Det kan vara särskilt användbart i organisationer där olika personer ansvarar för olika typer av säkerhetsuppföljning. En tekniker kanske vill se dagliga varningar, medan en chef eller säkerhetsansvarig bara behöver en sammanfattning varje vecka eller månad.

Modernare grundsystem

Core Update 201 innehåller också en större uppdatering av byggkedjan, alltså de grundläggande verktyg som används för att bygga hela systemet. IPFire har uppdaterats till bland annat GNU C Library 2.43, GNU binutils 2.46.0, OpenSSL 3.6.1, OpenVPN 2.6.19, BIND 9.20.20, iptables 1.8.12 och Suricata Reporter 0.7.

Det här låter kanske torrt, men det är viktigt. Moderna systembibliotek och säkerhetskomponenter ger bättre hårdvarustöd, förbättrad säkerhet och en stabilare grund för framtida uppdateringar.

Mindre attackyta och bättre stabilitet

IPFire-teamet har också rensat bort Rust-paket som inte längre behövs i distributionen. Färre onödiga komponenter betyder mindre byggarbete och framför allt en mindre attackyta.

Andra förbättringar gäller bland annat nätverksinstallationen, som nu reserverar mer diskutrymme när systemet startas via nätverk, samt bättre experimentellt stöd för RISC-V-enheter. Web proxy-brandväggsregler skapas dessutom nu med flaggan –wait, vilket minskar risken för kapplöpningsproblem när regler läggs in.

Add-ons har också uppdaterats

Flera tilläggspaket har fått nya versioner, bland annat Git, Samba, Postfix, nano, minicom och tshark. Samtidigt har paketet 7zip tagits bort ur tilläggssamlingen eftersom upstream-projektet inte längre underhålls. För en säkerhetsinriktad distribution som IPFire är det en tydlig markering: gammal och övergiven mjukvara hör inte hemma i en brandvägg.

Varför spelar det här roll?

DNS-brandväggar är inte en magisk lösning på alla säkerhetsproblem. De stoppar inte allt, och de ersätter inte goda lösenord, uppdaterade system eller sunt säkerhetstänkande. Men de kan blockera många hot mycket tidigt, ofta innan användaren ens märker att något var på väg att hända.

För småföretag, skolor, hemmalabb och teknikintresserade användare kan IPFire 2.29 Core Update 201 därför bli en särskilt intressant uppdatering. Den flyttar en typ av skydd som tidigare ofta krävde separata lösningar direkt in i brandväggen.

Tillgänglighet

IPFire 2.29 Core Update 201 finns nu att ladda ner som ISO- och USB-avbildningar från projektets officiella webbplats. Befintliga IPFire-användare kan installera uppdateringen via Pakfire, precis som vanligt.

Med DNS-brandväggen tar IPFire ett tydligt steg från traditionell brandvägg till mer aktivt nätverksskydd, och gör det på ett sätt som både avancerade användare och mindre organisationer kan dra nytta av.

https://www.ipfire.org/downloads/ipfire-2.29-core200

Teknisk faktaruta: IPFire 2.29 Core Update 201

Distribution: IPFire

Version: 2.29 Core Update 201

Typ: Linuxbaserad brandväggsdistribution

Största nyhet: Inbyggd DNS-brandvägg

Skyddar mot: Skadliga domäner, nätfiske, reklam och oönskat innehåll

Teknik: DNS-frågor kontrolleras mot IPFire DBL innan svar skickas till klienten

Blockering: Otillåtna domäner returnerar NXDOMAIN, vilket gör att domänen uppfattas som obefintlig

Uppdatering av listor: Inkrementella DNS-zonöverföringar via IXFR

IPS-förbättring: Olika mottagare kan anges för dagliga, veckovisa och månatliga IDS-rapporter

Uppdaterade komponenter: glibc 2.43, GNU binutils 2.46.0, OpenSSL 3.6.1, OpenVPN 2.6.19 och BIND 9.20.20

Installation: Nya installationer via ISO eller USB-avbildning, befintliga system uppdateras via Pakfire
BIND, brandvägg, Core Update 201, cybersäkerhet, DNS, DNS-brandvägg, glibc, IDS, IPFire, IPFire 2.29, IPS, Linux, nätverkssäkerhet, Open-source, openssl, OpenVPN, Pakfire, Pi-Hole, RISC-V, URL-filter
Tails varnar i tid – ny version ska förebygga uppstartsproblem
En ny version av det integritetsinriktade operativsystemet Tails ska hjälpa användare att undvika framtida uppstartsproblem. Genom att varna för föråldrade säkerhetscertifikat, som slutar gälla 2026, vill utvecklarna förebygga fel innan de uppstår.

En ny version av det integritetsfokuserade operativsystemet Tails har släppts. Med Tails 7.7 införs en funktion som varnar användare för ett problem som annars riskerar att slå till först när det är för sent – vid datorns uppstart.

Tails används av personer som vill surfa anonymt och skydda sin kommunikation. Systemet körs ofta från ett USB-minne och all internettrafik leds genom Tor-nätverket, vilket gör det svårt att spåra användaren.

Den största förändringen i version 7.7 rör så kallade Secure Boot-certifikat. Dessa används av datorer för att kontrollera att endast betrodd programvara startas. Många datorer använder fortfarande certifikat som utfärdades 2011, men dessa kommer att upphöra att gälla i juni 2026.

Microsoft började redan 2023 ersätta de gamla certifikaten, men långt ifrån alla system har uppdaterats. När certifikaten löper ut kan det leda till att datorer inte längre kan starta operativsystem som Tails.

För att förebygga detta inför Tails nu en varningsfunktion som meddelar användaren om äldre certifikat fortfarande används. Tanken är att problemet ska kunna åtgärdas i god tid innan det orsakar driftstörningar.

Utöver denna förändring innehåller uppdateringen även nya versioner av centrala program. Tor Browser uppdateras till version 15.0.10 och e-postklienten Thunderbird till version 140.9.1. Båda är viktiga komponenter för säker kommunikation och anonym surfning.

Även säkerheten i systemet har förstärkts. Bland annat har åtkomsten till systemkatalogen /root begränsats så att endast administratören kan läsa innehållet.

För befintliga användare är uppdateringen relativt enkel. De som kör Tails 7.0 eller senare kan uppgradera automatiskt utan att förlora data som sparats i så kallad Persistent Storage. Om uppgraderingen misslyckas rekommenderas en manuell installation.

Samtidigt uppmanas nya användare att vara uppmärksamma vid installation. Att installera Tails på ett USB-minne raderar all befintlig lagrad data på enheten.

Med den nya varningsfunktionen försöker Tails göra ett annars osynligt tekniskt problem mer konkret. I stället för att användare först märker av felet när datorn slutar fungera, får de nu en chans att agera i förväg. Det är en förändring som kan få stor betydelse, särskilt för dem som är beroende av ett fungerande och säkert system.

https://tails.net/

Teknisk fakta: Tails 7.7

Version: Tails 7.7

Fokus: Integritet, anonymitet och säker uppstart

Ny funktion: Varnar för äldre Secure Boot-certifikat

Riskdatum: Juni 2026

Tor Browser: 15.0.10

Thunderbird: 140.9.1

Säkerhetsändring: /root kan endast läsas av root-användaren
Anonymitet, cybersäkerhet, Integritet, Linux, Microsoft, operativsystem, öppen källkod, Persistent Storage, säkerhetscertifikat, Secure Boot, tails, Tails 7.7, thunderbird, Tor, Tor Browser, USB
OpenSSL 4.0 är här – säkrare kryptering för ett internet i förändring
OpenSSL 4.0 är här med starkare integritet, modernare kryptografi och skärpta säkerhetskontroller. Den nya versionen av ett av internets viktigaste säkerhetsbibliotek tar sikte på både dagens hot och morgondagens utmaningar – från bättre skydd av användares trafik till förberedelser för en post-kvantvärld.

OpenSSL 4.0 har nu släppts, och det är en stor uppdatering av ett av världens viktigaste programbibliotek för säker kommunikation på nätet. Även om namnet kanske främst är bekant för systemadministratörer och utvecklare, påverkar OpenSSL i praktiken allt från webbplatser och appar till servrar och molntjänster. När biblioteket uppdateras får det därför betydelse långt utanför programmerarnas värld.

Den nya versionen innehåller flera tekniska förbättringar, men också en tydlig signal om vart internets säkerhet är på väg: mot starkare integritet, bättre verifiering och förberedelser för framtidens kryptografi.

Vad är OpenSSL?

OpenSSL är ett öppet och fritt programbibliotek som används för att skapa säkra anslutningar över nätverk. Det ligger bakom mycket av den kryptering som skyddar information när vi surfar på webben, loggar in på tjänster, skickar data mellan servrar eller använder appar som behöver säker kommunikation.

Kort sagt är OpenSSL en av de byggstenar som gör att internet kan fungera på ett säkert sätt.

En viktig nyhet: Encrypted Client Hello

En av de mest uppmärksammade nyheterna i OpenSSL 4.0 är stöd för Encrypted Client Hello, ofta förkortat ECH. Det är en teknik som stärker användarnas integritet i samband med att en säker anslutning upprättas.

Normalt avslöjar de allra första stegen i en krypterad anslutning viss information om vilken webbplats en användare försöker nå, även innan den fullständiga krypteringen har kommit på plats. Med ECH krypteras även denna inledande del av kommunikationen bättre, vilket gör det svårare för utomstående att se vilken tjänst användaren kontaktar.

Det här är en viktig utveckling i en tid då integritet på nätet blivit en allt större fråga. För vanliga användare märks det kanske inte direkt, men i praktiken kan det göra internet mer privat.

Förbereder sig för tiden efter dagens kryptografi

OpenSSL 4.0 visar också att utvecklingen inom säkerhet inte bara handlar om dagens hot, utan också om morgondagens. Bland nyheterna finns stöd för nya algoritmer och hybridlösningar som kopplar samman klassisk kryptografi med post-kvantteknik.

Det handlar om att stegvis förbereda system för en framtid där kvantdatorer på sikt kan hota vissa av dagens krypteringsmetoder. Genom att införa stöd för fler moderna nyckelutbytesmetoder och algoritmer bygger OpenSSL en bro mellan nuvarande standarder och framtidens säkerhetskrav.

Det är inte något som vanliga användare kommer att behöva tänka på i vardagen, men för företag, myndigheter och utvecklare är det ett tydligt tecken på att säkerhetsvärlden redan planerar för nästa stora tekniksprång.

Striktare kontroll av certifikat

En annan viktig förbättring i OpenSSL 4.0 är att verifieringen av certifikat har skärpts. Certifikat används för att bekräfta att en webbplats eller tjänst verkligen är den den utger sig för att vara. Om sådana kontroller är för svaga finns risk att felaktiga eller manipulerade certifikat slinker igenom.

I den nya versionen införs bland annat bättre kontroller kopplade till AKID-verifiering när strikta verifieringslägen används, samt en utökad process för att kontrollera spärrlistor över återkallade certifikat, så kallade CRL:er.

Detta är kanske inte den mest spektakulära nyheten vid första anblick, men det är en typisk förbättring som stärker säkerheten där det verkligen räknas: i detaljerna.

Bättre stöd för moderna standarder

OpenSSL 4.0 lägger också till stöd för flera nya kryptografiska funktioner och standarder. Bland dessa finns stöd för olika nyckelderiveringsfunktioner, nya signaturalgoritmer och förbättringar i TLS 1.2, bland annat förhandlad FFDHE-nyckelutväxling enligt etablerade standarder.

Det kan låta mycket tekniskt, men poängen är enkel: OpenSSL blir bättre på att hantera modern säker kommunikation i många olika miljöer, från webbservrar till specialiserade nätverksprotokoll.

Dessutom får Windows-användare större flexibilitet genom stöd för både statisk och dynamisk koppling till Visual C-runtime, vilket kan underlätta distribution och kompatibilitet.

Städar bort gammal teknik

En stor versionsuppdatering handlar inte bara om att lägga till nytt, utan också om att ta bort sådant som blivit föråldrat eller osäkert. OpenSSL 4.0 gör därför en ganska omfattande utrensning.

Bland annat har stödet för SSLv2 Client Hello och SSLv3 tagits bort. Det är gamla protokoll som länge varit kända som otillräckliga ur säkerhetssynpunkt. Även stöd för engines har tagits bort, liksom flera äldre och numera föråldrade funktioner och verktyg.

Det här är viktigt, eftersom gamla kompatibilitetslager ofta lever kvar längre än de borde. Genom att rensa bort dem minskar risken för att osäkra lösningar används av misstag.

Färre genvägar, mer robust kod

Utvecklarna bakom OpenSSL har också gjort flera förändringar som förbättrar bibliotekets interna struktur. Vissa datatyper har gjorts helt opaka, vilket betyder att deras interna uppbyggnad inte längre är direkt åtkomlig för utvecklare. Det kan uppfattas som besvärligt för äldre programkod, men är i längden en fördel eftersom det gör biblioteket lättare att underhålla och säkrare att utveckla vidare på.

Många API-funktioner har också justerats, bland annat med fler const-kvalificeringar, vilket hjälper utvecklare att skriva tydligare och mindre felbenägen kod.

Sådana förändringar märks sällan utåt, men de spelar stor roll för stabilitet och kvalitet i stora programvaruprojekt.

Inte alltid bäst att installera själv

Även om den nya versionen går att ladda ner direkt från projektets GitHub-sida rekommenderas många användare att i stället installera OpenSSL via sin Linux-distributions stabila paketkällor. Skälet är enkelt: distributionernas pakethantering ser till att rätt version passar ihop med övriga delar av systemet och att säkerhetsuppdateringar hanteras på ett kontrollerat sätt.

För den som driver servrar eller utvecklar säkerhetskritiska system kan det ändå vara viktigt att läsa release notes noggrant, eftersom övergången till 4.0 också innebär att vissa äldre funktioner försvinner eller ändrar beteende.

Ett steg mot framtidens säkra internet

OpenSSL 4.0 är mer än bara en vanlig uppdatering. Det är en modernisering av en central komponent i internets säkerhetsinfrastruktur. Med bättre integritet genom ECH, skarpare certifikatkontroller, stöd för nya kryptografiska standarder och en tydlig utrensning av gammal teknik visar projektet att det tar både dagens och framtidens hot på allvar.

För de flesta internetanvändare kommer förändringarna att ske i bakgrunden. Men just där, i det osynliga lagret av kryptering och verifiering, avgörs ofta hur säkert vårt digitala samhälle faktiskt är.

https://github.com/openssl/openssl/releases/tag/openssl-4.0.0

> TEKNISK FAKTARUTA / OPENSSL 4.0

Bibliotek: OpenSSL

Version: 4.0

Fokus: Kryptering, certifikat, TLS, framtidssäker säkerhet

Ny integritetsfunktion: Encrypted Client Hello (ECH)

Nya algoritmer: ML-DSA-MU, cSHAKE, SM2/SM3

Post-kvantstöd: Hybridlösningar med ML-KEM

Skärpta kontroller: AKID-verifiering och utökad CRL-validering

Utfasat: SSLv3, SSLv2 Client Hello, engines

Rekommendation: Installera via distributionens stabila paketkällor

Andra nyheter om OpenSSL
certifikat, cybersäkerhet, ECH, Encrypted Client Hello, FIPS, internetsäkerhet, kryptering, ML-DSA, nätverkssäkerhet, openssl, OpenSSL 4.0, öppen källkod, post-kvantkryptografi, SM2, SSL, TLS
Linux 7.0 är här – men den stora nyheten är inte siffran
Linux 7.0 är här – men bakom det nya versionsnumret döljer sig ingen dramatisk omvälvning. I stället handlar det om en rad genomtänkta förbättringar som gör operativsystemet säkrare, snabbare och mer framtidssäkrat. Med stabilt stöd för Rust, nya säkerhetslösningar och smartare hantering av resurser fortsätter Linux att utvecklas i små men viktiga steg.

När Linux 7.0 nu har släppts är det lätt att tro att vi står inför ett dramatiskt teknikskifte. Men versionshoppet från 6.19 till 7.0 är framför allt en praktisk omnumrering, inte en revolution. Linus Torvalds beskriver releasen som stabil och relativt odramatisk, med fokus på många små förbättringar snarare än stora förändringar.

Det betyder dock inte att uppdateringen är ointressant. Tvärtom visar Linux 7.0 hur modern systemutveckling fungerar: genom kontinuerliga förbättringar som tillsammans gör systemet snabbare, säkrare och mer flexibelt.

Rust blir en etablerad del av kärnan

En av de mest uppmärksammade nyheterna är att programmeringsspråket Rust inte längre betraktas som experimentellt i Linuxkärnan.

Det innebär inte att C försvinner, men det markerar att Rust nu är ett accepterat verktyg för utvecklare. Fördelen är att Rust är designat för att undvika många vanliga minnesfel redan innan programmet körs. På sikt kan det leda till färre buggar och säkrare system.

Säkerhet i fokus – redo för framtidens hot

Linux 7.0 tar också steg mot framtidens cybersäkerhet. Stöd för post-kvantkryptografi införs genom ML-DSA-signaturer, samtidigt som äldre och osäkrare metoder som SHA-1 tas bort.

Det visar hur kärnan utvecklas i takt med nya hot – även sådana som ännu inte är fullt verklighet, som attacker från framtida kvantdatorer.

Bättre kontroll och isolering i systemet

Ett annat viktigt område är förbättrad kontroll i systemet. Den snabba I/O-mekanismen io_uring får bättre filtrering, vilket gör det lättare att begränsa vad program får göra i känsliga miljöer.

Dessutom introduceras nullfs, ett minimalistiskt filsystem som fungerar som en tom startpunkt innan det riktiga systemet laddas. Det gör uppstarten mer flexibel och renare, särskilt i container- och molnmiljöer.

Prestanda och lagring förbättras

Linux 7.0 innehåller flera förbättringar inom lagring och minneshantering. Swap-systemet förenklas och blir mer effektivt, och filsystem som XFS får nya funktioner för övervakning och självläkning.

Även andra filsystem förbättras, till exempel med bättre stöd för stora blockstorlekar och modern komprimering. Det handlar om små tekniska steg som tillsammans kan ge märkbara prestandavinster.

Smartare nätverk och modernare infrastruktur

På nätverkssidan aktiveras AccECN, en teknik som hjälper datorer att reagera tidigare på trängsel i nätverket. Det kan leda till stabilare och snabbare dataöverföringar.

Samtidigt fortsätter förbättringar inom virtualisering och molnstöd, vilket gör Linux ännu bättre anpassat för moderna IT-miljöer.

En evolution – inte en revolution

Det kanske viktigaste med Linux 7.0 är vad det representerar. Trots det nya versionsnumret handlar det inte om ett stort språng, utan om fortsatt evolution.

Linux utvecklas steg för steg: säkrare kod, bättre prestanda, renare arkitektur och fler verktyg för framtiden. Det är just denna stabila och metodiska utveckling som gjort Linux till ryggraden i allt från servrar till mobiltelefoner och superdatorer.

Kort sagt: Linux 7.0 ser kanske stort ut på ytan, men den verkliga styrkan ligger i de många små förbättringarna som driver tekniken framåt.

https://lore.kernel.org/lkml/CAHk-=wj2WqpPBwpAXo8bj_Hx-NxKMRVTVMUaQis7+Vm6XLRZiw@mail.gmail.com/T/#u

Teknisk fakta: Linux 7.0

Version: Linux Kernel 7.0

Typ av release: Versionsskifte från 6.19, främst en omnumrering

Viktig nyhet: Rust-stöd är inte längre markerat som experimentellt

Säkerhet: Stöd för ML-DSA post-kvant-signaturer, SHA-1 för modulsignering borttaget

Filsystem: Uppdateringar för Btrfs, EROFS, XFS och F2FS

Nätverk: AccECN aktiverat, CAKE får multiqueue-stöd

Virtualisering: Förbättringar i KVM och Hyper-V

Övrigt: NULLFS introduceras, förbättringar i minneshantering och swap

Andra artiklar om Linux Kernel
AccECN, Btrfs, cybersäkerhet, EROFS, F2FS, filsystem, Hyper-V, io\_uring, kernel, kernelutveckling, KVM, Linux, linux kernel, Linux Kernel 7.0, minneshantering, ML-DSA, nätverk, Open-source, operativsystem, öppen källkod, post-kvantkryptografi, prestanda, Rust, swap, systemprogrammering, tekniknyheter, Virtualisering, XFS
Frankrike satsar på Linux – ett steg mot digital självständighet
Frankrike tar ett historiskt steg mot digital självständighet genom att ersätta Windows med Linux i statliga datorer. Beslutet är en del av en bredare strategi för att minska beroendet av utländska teknikleverantörer och stärka kontrollen över landets digitala infrastruktur – med konkreta planer som ska tas fram av varje ministerium redan till hösten 2026.

Frankrike tar nu ett tydligt och strategiskt steg bort från proprietära operativsystem. Landets regering har meddelat att statliga arbetsdatorer successivt ska gå över från Windows till Linux – ett beslut som är en del av en större satsning på digital suveränitet.

Vad innebär beslutet?

Bakom initiativet står DINUM (Direction interministérielle du numérique), den myndighet som ansvarar för att samordna digital utveckling inom den franska staten.

I ett officiellt uttalande klargör DINUM att Linux ska ersätta Windows på arbetsstationer inom offentlig sektor. Men det handlar inte om en snabb eller centraliserad utrullning. Istället måste varje ministerium ta fram en egen handlingsplan senast hösten 2026.

Dessa planer ska inte bara omfatta operativsystem, utan även:
- Samarbetsverktyg
- Antiviruslösningar
- AI-system
- Databaser
- Virtualisering
- Nätverksutrustning
Det visar att förändringen är betydligt bredare än en enkel OS-uppgradering.

Varför Linux?

Beslutet är starkt kopplat till begreppet digital suveränitet – alltså ett lands förmåga att kontrollera sin egen digitala infrastruktur utan beroende av utländska aktörer.

Linux spelar här en central roll eftersom det är:
- Öppen källkod – koden kan granskas och modifieras
- Leverantörsoberoende – ingen enskild aktör kontrollerar systemet
- Flexibelt – kan anpassas efter specifika behov
Genom att minska beroendet av exempelvis Microsoft vill Frankrike stärka kontrollen över sina egna system och data.

Mer än bara teknik

Det här beslutet handlar inte enbart om IT – det är också ett politiskt ställningstagande.

Europa har länge diskuterat beroendet av stora teknikföretag utanför regionen, särskilt från USA. Frankrikes satsning kan ses som ett konkret försök att bryta detta beroende och samtidigt stimulera europeiska alternativ.

Liknande initiativ har tidigare genomförts i mindre skala, exempelvis i städer och regioner, men detta är en av de mest omfattande nationella satsningarna hittills.

Vad händer nu?

Även om riktningen är tydlig, återstår många praktiska frågor:
- Vilka Linuxdistributioner ska användas?
- Hur säkerställs kompatibilitet med befintliga system?
- Hur utbildas personalen?
Svar på dessa frågor väntas i de planer som varje ministerium ska lämna in under 2026.

En möjlig dominoeffekt?

Frankrikes beslut kan få konsekvenser långt utanför landets gränser. Om övergången lyckas kan det inspirera andra europeiska länder att följa efter.

Det skulle i så fall kunna innebära:
- Ökad användning av öppen källkod i offentlig sektor
- Stärkt europeisk IT-industri
- Minskad dominans från globala teknikjättar
Slutsats

Frankrikes satsning på Linux är inte bara en teknisk förändring – det är ett strategiskt vägval. Genom att prioritera öppen källkod och minska beroendet av externa leverantörer markerar landet en tydlig ambition: att ta kontroll över sin digitala framtid.

Hur framgångsrik denna omställning blir återstår att se, men en sak är klar – detta är ett av de mest betydelsefulla stegen mot digital självständighet i Europa på länge.

https://www.numerique.gouv.fr/sinformer/espace-presse/souverainete-numerique-reduction-dependances-extra-europeennes

Faktaruta: Frankrikes Linuxsatsning

Beslut: Frankrike vill ersätta Windows med Linux på statliga arbetsdatorer.

Ansvarig myndighet: DINUM, landets interministeriella digitaliseringsdirektorat.

Tidsplan: Varje ministerium ska ta fram en genomförandeplan senast hösten 2026.

Syfte: Stärka digital suveränitet och minska beroendet av utländska teknikleverantörer.

Omfattar även: Samarbetsverktyg, antivirus, AI, databaser, virtualisering och nätverksutrustning.

Linuxdistribution: Ännu inte officiellt fastställd.
cybersäkerhet, digital suveränitet, digitalisering, DINUM, Europa, Frankrike, IT-strategi, Linux, linux desktop, myndigheter, offentlig sektor, operativsystem, öppen källkod, teknikpolitik, Windows
Tails 7.6 gör det enklare att kringgå censur
Tails 7.6 gör anonym surfning enklare än någonsin genom att automatiskt kringgå censur och samtidigt förbättra användarvänligheten – ett viktigt steg för fri och privat internetåtkomst världen över.

Den integritetsfokuserade Linux-distributionen Tails har fått en ny uppdatering som gör det betydligt lättare att ansluta till det anonyma nätverket Tor – även i miljöer där det är blockerat.

Den stora nyheten i version 7.6 är automatiskt stöd för så kallade Tor-bryggor, en teknik som gör det möjligt att dölja att man använder Tor och därmed ta sig förbi censur.

Automatisk anslutning trots blockeringar

I många länder och organisationer försöker man aktivt blockera Tor-trafik. Tidigare har det krävt teknisk kunskap att manuellt konfigurera alternativa anslutningar.

Med Tails 7.6 sker detta nu automatiskt:
- Systemet upptäcker om Tor är blockerat
- Det erbjuder att hämta fungerande bryggor
- Bryggorna anpassas efter användarens region
Tekniken bakom detta kommer från The Tor Project och bygger bland annat på deras Moat-API. Dessutom används metoden domain fronting, som maskerar trafiken så att den ser ut som vanlig webbkommunikation.

Detta gör det betydligt svårare för censurfilter att identifiera och stoppa Tor-användning.

Ny lösenordshanterare integrerad i systemet

En annan viktig förändring är att standardverktyget för lösenord har bytts ut.

Tidigare använde Tails KeePassXC, men nu ersätts det av GNOME Secrets.

Bytet innebär flera förbättringar:
- Bättre integration med skrivbordsmiljön
- Återställt stöd för hjälpmedel, som skärmtangentbord
- Kompatibilitet med befintliga lösenordsdatabaser
Användare som behöver mer avancerade funktioner kan fortfarande installera KeePassXC manuellt.

Uppdaterade program och bättre stöd för ny hårdvara

Version 7.6 innehåller även uppdateringar av centrala program:
- Tor Browser till version 15.0.8
- Mozilla Thunderbird till version 140.8
- Electrum till version 4.7
Samtidigt har firmware uppdaterats för att förbättra kompatibiliteten med modern hårdvara, särskilt när det gäller grafik och trådlösa nätverk.

Felsökningar och stabilitet

Flera mindre men viktiga problem har också åtgärdats, bland annat:
- Fel i översättningar vid språk- och tangentbordsval
- En trasig informationsknapp i Thunderbird
- Problem med automatiska uppdateringar i vissa språkversioner
Detta bidrar till en mer stabil och konsekvent användarupplevelse.

Enklare uppgraderingar utan dataförlust

Sedan tidigare versioner stödjer Tails automatiska uppgraderingar, och detta gäller även för 7.6.
- Användarens Persistent Storage bevaras vid uppdatering
- Manuell uppgradering finns som alternativ vid problem
Ett steg mot mer tillgänglig anonymitet

Tails 7.6 visar tydligt att fokus inte bara ligger på säkerhet, utan även på användarvänlighet. Genom att automatisera tekniskt avancerade funktioner som Tor-bryggor blir anonym kommunikation tillgänglig för fler.

Samtidigt gör förbättrad integration och stabilitet att systemet fungerar bättre i vardagen – oavsett om användaren är tekniskt avancerad eller nybörjare.

https://tails.net

Fakta: Tails 7.6

Version: 7.6

Största nyheten: Automatiskt stöd för Tor-bryggor för att kringgå censur

Ny lösenordshanterare: GNOME Secrets ersätter KeePassXC som standard

Tor Browser: 15.0.8

Thunderbird: 140.8

Electrum: 4.7

Fördel: Enklare anonym anslutning på nätverk där Tor blockeras

Uppgradering: Automatisk uppdatering stöds från Tails 7.0 med Persistent Storage bevarad
Anonymitet, Censur, cybersäkerhet, Electrum, GNOME Secrets, Integritet, KeePassXC, Linux, Open-source, operativsystem, tails, thunderbird, Tor, Tor Browser, Tor-bryggor
Mindre GRUB – säkrare start? Canonical vill strama åt Secure Boot i Ubuntu 26.10

Canonical planerar en omfattande förändring av hur Ubuntu startar i framtiden. Genom att kraftigt begränsa funktionerna i GRUB vid Secure Boot vill företaget minska säkerhetsrisker – men förslaget kan samtidigt tvinga många användare att ändra hur deras system är uppbyggda.

Vad handlar det om?

Företaget Canonical, som utvecklar Ubuntu, planerar förändringar i hur system startar med Secure Boot i version 26.10.

Kärnan i förslaget är att skapa en nedbantad version av GRUB för system som använder Secure Boot.

Denna variant skulle ta bort stöd för flera avancerade funktioner, bland annat LUKS, LVM, ZFS och Btrfs, samt delar av RAID och vissa filformat.

I stället ska system starta från en enklare lösning, oftast en vanlig ext4-partition för /boot.

Varför vill man göra detta?

Bakgrunden är säkerhet. GRUB körs innan operativsystemet startar och har därför mycket hög behörighet.

För att kunna starta systemet måste GRUB kunna läsa olika filsystem, tolka diskformat och hantera konfigurationer. Varje sådan funktion innebär mer kod, och mer kod innebär fler potentiella sårbarheter.

Genom att minska mängden funktioner vill Canonical:

minska attackytan
göra säkerhetsgranskning enklare
förbättra tillförlitligheten i Secure Boot-kedjan

Det är ett exempel på principen att enklare system ofta är lättare att säkra.

Vad är Secure Boot?

Secure Boot är en funktion i modern firmware som ser till att endast signerad kod får köras vid uppstart.

Processen fungerar ungefär så här:

först verifierar firmware bootloadern
sedan verifierar bootloadern operativsystemets kärna
därefter startar systemet

Om något i kedjan inte är betrott stoppas uppstarten.

Problemet är att GRUB i dag är ganska komplext, vilket gör det till en möjlig angreppspunkt.

Vad blir konsekvenserna?

För många användare kan förändringen få stora praktiska effekter.

System som använder kryptering med LUKS eller volymhantering med LVM kommer inte längre fungera tillsammans med Secure Boot i standardutförande.

Även användare av ZFS och Btrfs påverkas, eftersom dessa filsystem tas bort ur den signerade GRUB-versionen.

Uppgraderingar kan stoppas

Canonical har också meddelat att system som använder dessa funktioner inte kommer kunna uppgraderas till Ubuntu 26.10 via vanliga verktyg.

Istället måste användaren:

ändra sin partitionering
installera om systemet
eller stänga av Secure Boot

Det innebär ett tydligt brott mot dagens förväntningar om smidiga uppgraderingar.

Servermiljöer påverkas mest

I många serverinstallationer är det vanligt att kombinera kryptering, LVM och RAID.

Det betyder att förändringen inte bara är en teknisk detalj, utan kan kräva omdesign av hela system.

För organisationer med etablerade infrastrukturer kan detta bli både tidskrävande och kostsamt.

En konflikt mellan säkerhet och flexibilitet

Det här illustrerar en klassisk avvägning inom IT.

Ett enklare system är lättare att säkra, men också mindre flexibelt.

Canonical prioriterar tydligt säkerheten i bootkedjan, medan många användare värderar möjligheten att bygga avancerade lagringslösningar.

Även utseendet förenklas

Förslaget innebär också att stöd för bildformat som PNG och JPEG tas bort i den signerade GRUB-versionen.

Det gör att teman med bakgrundsbilder och ikoner inte längre fungerar i Secure Boot-läge.

Det är en liten förändring i praktiken, men visar tydligt ambitionen att ta bort allt som inte är absolut nödvändigt.

Vad händer nu?

Förslaget gäller Ubuntu 26.10 och är ännu inte slutgiltigt beslutat.

Diskussionen i communityn är intensiv, och det är möjligt att Canonical justerar planen innan den genomförs.

Slutsats

Canonical försöker minska komplexiteten i en av de mest kritiska delarna av systemstarten.

Det kan leda till bättre säkerhet, men också till att vissa funktioner och arbetssätt försvinner.

Frågan som återstår är hur mycket flexibilitet användarna är beredda att offra för en säkrare uppstart.

https://discourse.ubuntu.com/t/streamlining-secure-boot-for-26-10/79069

Faktaruta: GRUB och Secure Boot i Ubuntu 26.10

Vad föreslås?
Canonical vill minska funktionerna i den signerade GRUB-versionen som används med Secure Boot.

Vad kan tas bort?
Stöd för LUKS, LVM, ZFS, Btrfs, delar av md-raid samt PNG- och JPEG-bilder i GRUB-teman.

Varför?
Syftet är att minska attackytan i den känsliga uppstartsprocessen före att operativsystemet har laddats.

Vilka påverkas?
Användare och administratörer som har system med kryptering, avancerad lagring eller särskilda boot-konfigurationer.

Praktisk följd
Vissa system kan behöva en separat ext4-partition för /boot för att fortsatt fungera med Secure Boot.

Risk för användare
Berörda installationer kan få svårt att uppgradera till Ubuntu 26.10 utan omkonfigurering.

Status
Förslaget är ännu inte slutgiltigt beslutat och diskussionen pågår.

bootloader, Btrfs, Canonical, cybersäkerhet, filsystem, grub, Linux, LUKS, LVM, operativsystem, Secure Boot, server, Ubuntu, zfs
OpenSSL 4.0 tar steg mot framtidens kryptering
OpenSSL, ett av världens mest använda bibliotek för krypterad kommunikation på internet, närmar sig en ny stor version. Den första alfautgåvan av OpenSSL 4.0 visar en rad tekniska nyheter – från förbättrat integritetsskydd i TLS till stöd för postkvantkryptografi – och markerar ett viktigt steg i utvecklingen av framtidens säkra nätverk.

Den kommande versionen av OpenSSL, en av världens mest använda programvaror för säker kommunikation på nätet, har nu nått ett första publikt alfa-steg. Det innebär att utvecklare och testare kan börja prova de nya funktionerna, även om versionen ännu inte är redo för skarp drift. Bakom den tidiga testutgåvan döljer sig flera förändringar som pekar mot en framtid där både integritet, kompatibilitet och motståndskraft mot nya typer av hot blir allt viktigare.

Ett viktigt verktyg för säker kommunikation

OpenSSL är ett öppet och fritt programbibliotek som används för att skydda data när den skickas mellan datorer, servrar, appar och webbplatser. Det är en central byggsten i många säkerhetslösningar på internet, inte minst för krypterade anslutningar via TLS, alltså tekniken som bland annat gör att webbadresser kan börja med HTTPS.

När OpenSSL får en större uppdatering påverkar det därför inte bara utvecklare, utan i förlängningen också hela den digitala infrastrukturen.

Krypterad information redan innan anslutningen är upprättad

En av de mest uppmärksammade nyheterna i OpenSSL 4.0 är stöd för Encrypted Client Hello, ofta förkortat ECH. Den tekniken är framtagen för att förbättra integriteten i det allra första steget när en krypterad anslutning etableras mellan en användare och en server.

Normalt har vissa delar av den inledande anslutningen varit synliga för utomstående, även om själva trafiken senare blir krypterad. Med ECH skyddas mer av denna information från insyn. Det betyder att det blir svårare för exempelvis nätoperatörer, övervakningssystem eller angripare att se exakt vilken tjänst eller webbplats en användare försöker nå.

Det här är en utveckling som passar väl in i internets långsiktiga rörelse mot starkare integritetsskydd.

Förberedelser för en postkvantframtid

OpenSSL 4.0 innehåller också flera nyheter som knyter an till det som ofta kallas postkvantkryptografi. Det handlar om kryptografiska metoder som är utformade för att stå emot framtida attacker från kvantdatorer, som i teorin skulle kunna hota vissa av dagens vanliga krypteringsmetoder.

Bland nyheterna finns stöd för hybridlösningar och nya nyckelutbytesgrupper, där klassisk kryptografi kombineras med modernare tekniker. Tanken med sådana hybrider är att få det bästa från två världar: kompatibilitet med dagens system och bättre motståndskraft mot framtida hot.

Även om kvantdatorer ännu inte har slagit ut dagens internetkryptering i praktiken, visar OpenSSL 4.0 att förberedelserna redan är i gång på allvar.

Nya funktioner för nyckelhantering och specialprotokoll

Den nya versionen lägger också till stöd för flera så kallade nyckelavledningsfunktioner, bland annat för SNMP och SRTP. Sådana funktioner används för att skapa kryptografiska nycklar på ett säkert sätt utifrån annan information.

Det kan låta tekniskt, men i praktiken handlar det om att ge bättre stöd för system som behöver skyddad nätverkshantering eller säker realtidskommunikation, till exempel ljud- och videoströmmar. Det gör OpenSSL mer användbart i fler typer av miljöer, inte bara i vanliga webbservrar.

Strängare kontroll av certifikat

Säkerhet handlar inte bara om att kryptera data, utan också om att verifiera att en server verkligen är den den utger sig för att vara. Därför är de förbättrade kontrollerna av certifikat en viktig del av OpenSSL 4.0.

Bland annat införs ytterligare verifiering kopplad till AKID när strikt X.509-kontroll används. Dessutom förbättras kontrollen av spärrlistor för certifikat, så kallade CRL-kontroller. För den som driver system där hög tillit är avgörande kan sådana skärpningar minska risken att felaktiga eller tveksamma certifikat godtas.

Det här är inte en förändring som vanliga användare direkt märker, men den kan få stor betydelse för den underliggande säkerheten.

FIPS och säkerhetskrav i känsliga miljöer

OpenSSL 4.0 förbättrar även stödet för FIPS-relaterade självtester. FIPS är ett ramverk med säkerhetskrav som ofta används i myndighetsmiljöer, reglerade verksamheter och andra sammanhang där certifierad kryptografi är viktig.

Den nya versionen gör det möjligt att skjuta upp vissa självtester vid installation av FIPS-modulen. Det kan ge större flexibilitet i hur system installeras och tas i drift, särskilt i mer kontrollerade IT-miljöer.

Gamla delar försvinner när biblioteket moderniseras

Som en del av övergången till en ny huvudversion rensas också en del äldre teknik bort. OpenSSL 4.0 slutar stödja vissa äldre macOS-relaterade plattformsmål, stänger av stöd för föråldrade elliptiska kurvor i TLS som standard vid kompilering och gör vissa interna datatyper mer inkapslade.

Detta är typiskt för större uppdateringar i mogen systemprogramvara. Gamla lösningar måste till slut fasas ut för att göra plats för bättre säkerhet, enklare underhåll och tydligare gränssnitt för utvecklare.

Ändringar som påverkar utvecklare direkt

Utöver nya funktioner och skärpt säkerhet innehåller OpenSSL 4.0 även förändringar i själva API:et, alltså de funktioner som programmerare använder för att bygga in OpenSSL i sina program. Många funktionssignaturer ändras för att använda const-kvalificering där det passar bättre, vilket kan göra koden tydligare och säkrare.

Samtidigt fasas vissa äldre funktioner ut. Exempelvis ersätts flera tidsrelaterade X.509-funktioner av en nyare funktion för certifikatstidskontroll. För utvecklare betyder detta att en framtida migrering kan krävas, särskilt i projekt som bygger på äldre OpenSSL-kod.

Inte för produktion ännu

Det är viktigt att komma ihåg att den första alpha-utgåvan av OpenSSL 4.0 fortfarande är en förhandsversion. Den är avsedd för testning, felsökning och utvärdering, inte för produktionsmiljöer. Men redan nu ger den en tydlig bild av vart projektet är på väg.

Det handlar om starkare integritet, bättre stöd för nya kryptografiska standarder, modernisering av gamla delar och förberedelser inför en tid då hotbilden förändras snabbt. OpenSSL 4.0 ser därför ut att bli mer än bara en vanlig versionsuppdatering. Det kan bli ett viktigt steg i utvecklingen av internets säkerhetsinfrastruktur.

Sammanfattning

Med OpenSSL 4.0 visar projektet att modern kryptografi inte bara handlar om att skydda data här och nu, utan också om att bygga för framtiden. Stöd för ECH förbättrar integriteten, nya kryptografiska funktioner breddar användningsområdena och postkvantrelaterade tillägg visar att utvecklingen redan anpassas till morgondagens hot.

För slutanvändare märks sådana förändringar sällan direkt. Men i bakgrunden är de avgörande. När grunden för säker kommunikation stärks, påverkar det i förlängningen allt från webbsurfning och molntjänster till myndighetssystem och företagsnätverk.

https://github.com/openssl/openssl/releases/tag/openssl-4.0.0-alpha1

OpenSSL 4.0 alfa – faktaruta

Status: Första publika alfaversionen, avsedd för testning och utveckling – inte för produktionsmiljöer.

Vad är OpenSSL? Ett öppet och fritt programbibliotek för krypterad kommunikation, använt i servrar, applikationer och webbplatser världen över.

Viktiga nyheter: Stöd för Encrypted Client Hello (ECH), SNMP KDF, SRTP KDF, cSHAKE, ML-DSA-MU och flera nya kryptografiska funktioner.

Säkerhetsförbättringar: Striktare certifikatkontroller, utökad CRL-verifiering och förbättrat stöd för FIPS-självtester.

Framtidsfokus: OpenSSL 4.0 visar tydligt att projektet förbereder sig för starkare integritetsskydd och nya krav inom postkvantkryptografi.

Övriga ändringar: Äldre plattformsmål tas bort, vissa föråldrade kurvor i TLS inaktiveras som standard och flera API-funktioner moderniseras.

Att tänka på: Eftersom detta är en alfa kan funktioner ändras innan den slutliga versionen av OpenSSL 4.0 släpps.
cybersäkerhet, ECH, Encrypted Client Hello, internet säkerhet, kryptering, kryptografi, Linux säkerhet, nätverkssäkerhet, Open-source, openssl, OpenSSL 4.0, OpenSSL 4.0 alfa, postkvantkryptografi, SSL bibliotek, TLS
När stjärnorna avslöjar mer än du tror – om lösenord, synlig feedback och framtiden för sudo
En ny ändring i sudo-rs, den Rust-baserade omimplementeringen av det klassiska sudo-verktyget, gör lösenordsinmatningen synlig genom att visa stjärnor i terminalen. Det kan låta som en harmlös användarvänlig förbättring, men förändringen väcker en större fråga: när ett system börjar avslöja detaljer som lösenordets längd, är det då bara en kosmetisk justering, eller ett steg bort från en säkerhetsfilosofi som präglat Unix i decennier?

I decennier har en liten detalj i Unix-världen varit nästan helig: när du skriver ditt lösenord i terminalen syns ingenting. Inga prickar. Inga stjärnor. Bara en tyst markör.

Det har inte varit en bugg utan en medveten säkerhetsåtgärd.

Men nu är en förändring på väg.

Vad är sudo – och varför är det så viktigt?

sudo är ett av de mest centrala verktygen i Unix- och Linuxsystem. Det låter en vanlig användare tillfälligt köra kommandon med administratörsrättigheter.

Varje gång du installerar ett program, uppdaterar systemet eller ändrar något viktigt i Linux, använder du nästan alltid sudo.

Och varje gång skriver du in ditt lösenord.

Den tysta traditionen

Historiskt har lösenordsinmatningen varit helt osynlig. Skärmen visar inga tecken alls medan du skriver.

Varför?

Det handlar om något som kallas sidokanalsinformation. Även om en angripare inte ser själva lösenordet kan lösenordets längd ge värdefulla ledtrådar. Ju mer information som exponeras, desto lättare blir det att göra kvalificerade gissningar.

Genom att inte visa något alls döljs åtminstone längden.

Det är en liten detalj men en symbol för Unix-filosofins säkerhetstänkande.

Nu ändras beteendet

sudo-rs är en modern, minnessäker omskrivning av sudo i programmeringsspråket Rust. Syftet är att minska risken för klassiska minnesfel som buffer overflow.

I en nyligen införd ändring aktiverade utvecklarna alternativet pwfeedback som standard.

Resultatet är att när du skriver lösenordet visas nu stjärnor i terminalen.

Utvecklarna beskriver det som en förbättrad användarupplevelse. Många nya användare tror att tangentbordet inte fungerar när inget syns på skärmen.

Deras argument är att säkerhetsförlusten, att lösenordets längd exponeras, är teoretisk och marginell jämfört med den pedagogiska vinsten.

Säkerhet kontra användarvänlighet

Här uppstår den klassiska konflikten mellan säkerhet genom minimal informationsläcka och användarvänlighet genom tydlig återkoppling.

Att visa stjärnor avslöjar inte lösenordet men det avslöjar exakt hur långt det är. För en angripare som redan har annan information kan varje detalj spela roll.

Fenomenet kallas ofta shoulder surfing, när någon bokstavligen tittar över din axel.

Är det ett stort hot? I de flesta vardagssituationer, nej.
Är det en principiell förändring? Absolut.

Vad betyder detta för Ubuntu?

Ubuntu 26.04 LTS planeras bli den första större distributionen som använder sudo-rs som standardimplementation.

Det innebär att många framtida användare potentiellt kommer att möta stjärnor istället för tystnad vid lösenordsinmatning.

Andra stora distributioner fortsätter än så länge att använda den klassiska C-baserade versionen av sudo.

Går det att ändra tillbaka?

Ja.

Administratörer kan återställa traditionellt beteende genom att lägga till

Defaults !pwfeedback

i sin sudoers-konfiguration.

Men här ligger en intressant socioteknisk fråga. Hur många gör det faktiskt?

Nya användare kommer sannolikt inte bry sig.
Erfarna användare kanske inte prioriterar ännu en justering.

Standardinställningar formar beteenden.

Är detta en liten detalj eller en symbolisk förändring?

Tekniskt sett är detta ingen katastrof. Det är en marginell informationsläcka i en värld där betydligt större säkerhetsproblem existerar.

Men symboliskt är det större.

Unix-världen har länge lutat mot principen att avslöja så lite som möjligt.

Att nu prioritera användarupplevelse över strikt informationsminimering visar hur säkerhetsfilosofin förändras i takt med att Linux når bredare användargrupper.

Det är inte bara en fråga om stjärnor i terminalen.
Det är en fråga om vilken balans mellan säkerhet och bekvämlighet vi tycker är rimlig.

Slutsats

Ska man undvika system som använder sudo-rs?

Det beror på hur man värderar risk.

För de flesta användare är detta ingen praktisk säkerhetsfara. För säkerhetsmedvetna miljöer kan det däremot vara en principiell invändning.

Men kanske är den verkligt intressanta frågan denna.

När vi gör system mer tillgängliga, hur mycket är vi villiga att kompromissa med den tystnad som en gång var en säkerhetsprincip?

Och nästa gång du ser stjärnor när du skriver ditt lösenord, fundera på vem som faktiskt ser dem.

https://bugs.launchpad.net/ubuntu/+source/rust-sudo-rs/+bug/2142721
TEKNISK FAKTA

Vad är sudo?

Verktyget som låter en vanlig användare köra enskilda kommandon med administratörsrättigheter (root).

Vad är sudo-rs?

En minnessäker omimplementering av sudo i Rust, med fokus på att minska klasser av minnesfel.

Förändringen

Alternativet pwfeedback är aktiverat som standard: lösenord visas som ******** istället för helt tyst inmatning.

Varför är det kontroversiellt?

Stjärnor avslöjar lösenordets längd för någon som tittar på skärmen (”shoulder surfing”). Den klassiska sudo-prompten har historiskt undvikit detta.
Återställ klassiskt beteende

Lägg till i sudoers:
```
Defaults !pwfeedback
```
Nyckelpoäng

Det är en avvägning: bättre användarupplevelse för nya användare, men något mer läckage av information på skärmen.
användarupplevelse, cybersäkerhet, Linux, lösenord, öppen källkod, root, Rust, säkerhet, sudo, sudo-rs, Systemadministration, Terminal, Ubuntu, Ubuntu 26.04 LTS, UNIX
Tails 7.5 stärker anonymitet och säker e-post

Tails 7.5 är här med uppdaterad Tor Browser, säkrare hantering av e-postklienten Thunderbird och förbättrad stabilitet i Tor-nätverket. Den nya versionen stärker skyddet för användare som vill surfa anonymt och kommunicera säkert – genom smartare uppdateringsrutiner och löpande säkerhetsförbättringar som minskar risken för sårbarheter.

Den integritetsfokuserade Linuxdistributionen Tails 7.5 är här – och den innehåller flera viktiga säkerhetsförbättringar. Uppdateringen innebär en ny version av Tor Browser, förbättrad hantering av e-postprogrammet Thunderbird och utökad språksupport.

Tails (The Amnesic Incognito Live System) är ett operativsystem som startas från USB och är konstruerat för att inte lämna spår på datorn. All internettrafik tvingas genom Tor-nätverket, vilket döljer användarens IP-adress och försvårar övervakning.

Uppdaterad Tor Browser och stabilare anslutning

I version 7.5 uppdateras Tor Browser till 15.0.7 och Tor-klienten till 0.4.9.5.

Det innebär säkerhetsfixar mot nyligen upptäckta sårbarheter, bättre kompatibilitet med moderna webbplatser och stabilare anslutningar till Tor-nätverket. Webbläsarens startsida har dessutom förenklats för att minska visuellt brus och göra det lättare för användare att förstå hur anonym surfning fungerar.

Små förbättringar i säkerhetskritisk programvara kan ha stor betydelse, särskilt när hotbilden ständigt förändras.

Smartare och säkrare Thunderbird

En av de mest intressanta förändringarna rör e-postklienten Thunderbird.

Tidigare levererades Tails med en förinstallerad version av Thunderbird. Problemet var att Mozilla ofta släpper säkerhetsuppdateringar kort efter en ny Tails-version, vilket kunde innebära att användare under en period körde en version med kända sårbarheter.

I Tails 7.5 installeras Thunderbird i stället som Additional Software när funktionen är aktiverad i Persistent Storage, den krypterade lagringsdel som sparas mellan omstarter.

Det gör att den senaste versionen av Thunderbird installeras automatiskt vid varje uppstart. När installationen lyckas visas en dialogruta som informerar användaren om att programmet installerats från Persistent Storage för att förbättra säkerheten.

Det är en teknisk förändring som i praktiken minskar risken för att användare fastnar på osäkra versioner.

Utökad språksupport

Tails 7.5 lägger även till ett mexikanskt spanskt språkpaket för Thunderbird, utöver det redan befintliga spanska språkpaketet för Spanien.

Det kan verka som en liten detalj, men lokaliseringsstöd är viktigt för att göra säkerhetsverktyg tillgängliga för fler människor.

Enkel uppgradering

Användare som kör Tails 7.0 eller senare kan uppgradera automatiskt till version 7.5 utan att förlora sin Persistent Storage. Om den automatiska uppgraderingen misslyckas finns fortfarande möjlighet att uppgradera manuellt.

Varför det här spelar roll

I en tid då digital övervakning, dataläckor och riktade attacker blivit allt vanligare är verktyg som Tails centrala för journalister, aktivister, forskare och privatpersoner som vill skydda sin integritet.

Tails 7.5 är ingen dramatisk omvälvning, men den visar hur kontinuerliga säkerhetsuppdateringar och genomtänkta tekniska lösningar gradvis stärker skyddet för användarna. Inom digital säkerhet är det ofta just dessa stegvisa förbättringar som gör störst skillnad.

Tekniska fakta: Tails 7.5

Distribution

Tails 7.5 (Live-OS med fokus på anonymitet)

Nätverk

All trafik routas via Tor-nätverket

Tor Browser

15.0.7

Tor-klient

0.4.9.5

Startsida i webbläsaren

Förenklad för bättre överblick

Thunderbird

Installationsflöde förbättrat via Persistent Storage + Additional Software

Varför Thunderbird-ändringen?

Minskar risken att användare fastnar på en äldre version med kända sårbarheter

Språk

Thunderbird får även språkpaket för spanska (Mexiko) utöver spanska (Spanien)

Uppgradering

Automatisk uppgradering stöds från Tails 7.0+ (Persistent Storage behålls)

Tips: Kör alltid senaste versionen och verifiera nedladdningar enligt Tails officiella instruktioner.

Anonymitet, chat control, cybersäkerhet, digital säkerhet, e-postsäkerhet, Integritet, Linuxdistribution, Open-source, övervakning, Persistent Storage, Tails 7.5, Tails Linux, thunderbird, Tor 0.4.9.5, Tor Browser 15.0.7
OpenVPN 2.7 släppt – snabbare, säkrare och smartare VPN-servrar
Den nya versionen av OpenVPN 2.7 markerar ett tydligt tekniskt kliv framåt för en av världens mest använda VPN-lösningar. Uppdateringen fokuserar på högre prestanda, modernare kryptografi och bättre plattformsintegration – särskilt för Windows och Linux. Med stöd för multi-socket-servrar, förbättrad DNS-hantering och en mer framtidssäker datakanal tar OpenVPN ytterligare steg bort från äldre kompromisser och närmare en säker, flexibel och kärnnära VPN-arkitektur anpassad för dagens krav.

Den nya versionen OpenVPN 2.7 är här – och det är en av de största uppdateringarna på länge. Fokus ligger på bättre prestanda, modernare säkerhet och en mer flexibel serverarkitektur. Här är vad det innebär i praktiken för både administratörer och avancerade användare.

En server – flera portar och protokoll

Den kanske största nyheten är multi-socket-stöd.

Tidigare behövdes flera serverprocesser om man ville att en VPN-server skulle lyssna på både UDP och TCP, flera IP-adresser eller flera portar. Nu klarar en enda serverinstans allt detta.

Det gör konfigurationen enklare, minskar resursanvändningen och gör det lättare att bygga redundanta och flexibla VPN-lösningar.

Smartare DNS-hantering

DNS-problem är en av de vanligaste orsakerna till VPN-strul. OpenVPN 2.7 gör stora förbättringar.

Linux, BSD och macOS

En ny inbyggd --dns-updown-implementation hanterar automatiskt systemd-resolved, resolveconf, klassisk /etc/resolv.conf och split-DNS.

Resultatet är mindre manuell konfiguration och bättre kompatibilitet direkt från start.

Windows

Windows-klienten använder nu NRPT (Name Resolution Policy Table) vilket ger stöd för split-DNS och DNSSEC samt bättre samspel med lokala DNS-servrar. Det är särskilt viktigt i företagsmiljöer där olika domäner ska routas via olika nät.

Windows får en rejäl modernisering

Windows-versionen genomgår stora arkitekturförändringar:
- win-dco är nu standarddrivrutin
- Wintun-drivrutinen tas bort
- Nätverksadaptrar skapas vid behov
- OpenVPN-tjänsten körs som oprivilegierad användare
- Blockering av lokalt nät (block-local) sker via Windows Filtering Platform
Detta stärker skyddet mot attacker där trafik försöker läcka utanför VPN-tunneln.

Ny kryptomodell – mer framtidssäker

OpenVPN 2.7 inför striktare användningsgränser för AES-GCM, i nivå med TLS 1.3. När en krypteringsnyckel använts tillräckligt länge sker automatisk nyckelrotation.

En ny datapaketstruktur med så kallade epoch data keys introduceras. Den ger:
- 64-bitars paket-ID
- Automatisk nyckelväxling
- Förbättrad IV-konstruktion
- Effektivare hårdvarustöd
Detta gör datakanalen både snabbare och säkrare.

Linux: närmare kärnan

På Linux stöds nu den nya uppströms DCO-modulen ovpn, som är på väg in i huvudkärnan.

Det innebär mindre overhead, högre prestanda, stabilare implementation och mindre beroende av externa moduler. DCO flyttar delar av krypteringen till kernel-nivå och kan ge markant bättre genomströmning.

PUSH_UPDATE – ändra konfiguration utan omkoppling

Med stöd för PUSH_UPDATE kan servern nu ändra delar av klientens konfiguration utan att klienten behöver koppla ner och återansluta.

Det gäller exempelvis IP-adress, rutter, DNS-inställningar och MTU. Detta är särskilt användbart i dynamiska nätverk och större företagsmiljöer.

Säkerhetsstädning och borttagna funktioner

OpenVPN 2.7 tar tydligt avstånd från äldre och osäkra tekniker.

Funktioner som static key mode (--secret), NTLMv1, OpenSSL 1.0.2, mbedTLS 2.x och komprimering vid sändning har tagits bort eller fasats ut. Wintun-drivrutinen stöds inte längre.

Standardinställningar har också moderniserats:
- --topology är nu subnet i serverläge
- --dh none är standard
- persist-key är aktiverat som standard
Detta gör nya installationer säkrare direkt från start.

Förbättrad felsökning

OpenVPN 2.7 skickar tydliga TLS-varningar vid fel, ger mer detaljerad handshake-debugging och förbättrad loggning i Windows. Den så kallade “recursive routing”-kontrollen är nu mer exakt och släpper igenom legitim trafik till VPN-servern.

Resultatet är att användare får tydligare felmeddelanden i stället för att klienten bara slutar svara.

Sammanfattning

OpenVPN 2.7 är en tydlig modernisering med bättre prestanda via DCO, starkare kryptografi, modern Windows-arkitektur, smartare DNS-hantering och rensning av föråldrade funktioner.

Det är en version som både förenklar drift och höjer säkerhetsnivån, samtidigt som flexibiliteten som gjort OpenVPN till en av världens mest använda VPN-lösningar bevaras.

https://openvpn.net
OpenVPN 2.7 – Teknisk faktaruta

Fokus: multi-socket server, DNS förbättringar, DCO/driver-uppdateringar och ny datakanal med epoch keys.
Server: Multi-socket
En serverinstans kan lyssna på flera adresser/portar/protokoll via flera --local. Praktiskt för t.ex. både UDP och TCP parallellt.

DNS: Linux/BSD/macOS
Nya standardskript via --dns-updown förbättrar hantering av DNS som pushas från servern, inklusive split-DNS (beroende på plattformens DNS-stack).

DNS: Windows
Använder NRPT för DNS-policyer: split-DNS + DNSSEC-stöd och bättre kompatibilitet med lokala resolvers. Kräver Interactive Service.

PUSH_UPDATE
Server kan uppdatera delar av klientkonfig (IP, routes, MTU, DNS) utan reconnect via kontrollkanalmeddelandet PUSH_UPDATE (kan vara begränsat om DCO är aktivt).

Windows: driver & arkitektur
win-dco är standard (TAP som fallback). Wintun är borttagen. Adapter skapas on-demand och tjänsten körs som oprivilegierad användare.

Linux: DCO (ovpn)
Stöd för den nya upstream ovpn-DCO-modulen (nya API:t). Backports finns via ovpn-backports-projektet.

Datakanal: AES-GCM usage limits
Använder gränser i linje med TLS 1.3:s konfidentialitetsmarginaler och triggar nyckelrotation efter stora mängder trafik.

Datakanal: Epoch data keys
Nytt paketformat med bl.a. 64-bit packet IDs och smidigare nyckelbyte när usage limits uppnås. Windows-stöd finns via win-dco (2.8.0+).
Säkerhetsstädning
Äldre/oskra funktioner fasas ut: static key mode (--secret) bort som standard, NTLMv1 bort, komprimering vid sändning bort.

--topology default i serverläge: subnet

--dh none default om --dh saknas

persist-key enabled by default
Routing: “recursive routing” mer exakt
Drop sker bara när destination IP + protokoll + port matchar det som behövs för att nå VPN-servern, vilket minskar falska stopp.
Tips i WP: Klistra in i ett “Anpassad HTML”-block. Om ditt tema redan har aggressiv CSS kan du lägga till !important på färgerna (sista utväg).
AES-GCM, cybersäkerhet, DCO, DNS, DNSSEC, kernel module, kryptering, Linux, multi-socket, nätverkssäkerhet, OpenVPN, OpenVPN 2.7, ovpn, PUSH_UPDATE, split-DNS, TLS 1.3, vpn, VPN-server, win-dco, Windows
Parrot OS 7.1 – ett stabilt steg framåt för etisk hackning och cybersäkerhet

Parrot OS 7.1 är här – en uppdatering som vässar den populära säkerhetsdistributionen med stabilare grund, uppdaterade hackningsverktyg och ett tydligt steg mot AI-assisterad penetrationstestning. Med nya skrivbordsmiljöer, förbättrad pakethantering och smartare containerlösningar stärker Parrot sin position som en modern plattform för etisk hackning och cybersäkerhetsanalys.

Parrot OS 7.1 – ett stabilt steg framåt för etisk hackning och cybersäkerhet

Den Debian-baserade GNU/Linux-distributionen Parrot OS har släppts i version 7.1. Det är en så kallad minor-release, men innehållet visar tydligt att projektet fortsätter att utvecklas målmedvetet mot bättre stabilitet, modernare arbetsflöden och ett allt tydligare samspel mellan traditionella säkerhetsverktyg och artificiell intelligens.

Version 7.1 bygger vidare på Parrot 7.0, som redan betraktades som stabil, men fokuserar på förbättringar som rapporterats av användare i verkliga arbetsmiljöer.

Nya skrivbordsmiljöer och community-drivna varianter

En av de mest synliga nyheterna är införandet av ytterligare skrivbordsmiljöer. Utöver MATE och LXQt finns nu även en variant baserad på Enlightenment. Samtliga alternativ är resurssnåla och lämpade för både moderna och äldre datorer.

Parrot-utvecklarna betonar att dessa så kallade “Community Spins” gör det möjligt att snabbare svara på önskemål från användarbasen. Det innebär att fler officiella varianter kan dyka upp framöver, utan att kompromissa med säkerhetsfokus eller verktygsutbud.

Uppdaterade verktyg för penetrationstestning

Kärnan i Parrot OS är dess omfattande samling av säkerhetsverktyg, och version 7.1 innehåller uppdateringar av de flesta centrala komponenterna. Linux-kärnan är uppdaterad till 6.17.13, GRUB har förbättrats för bättre kompatibilitet, och flera kända problem som hindrade systemet från att starta på vissa bärbara datorer är nu åtgärdade.

Bland de viktigaste verktygsuppdateringarna finns nya versioner av Metasploit, Burp Suite och Maltego. Även trådlösa analysverktyg, ordlistor och reverse-engineering-verktyg har uppdaterats, vilket gör Parrot 7.1 till en aktuell plattform för både offensiv och defensiv säkerhetsanalys.

MCPwn – när AI blir ett praktiskt säkerhetsverktyg

En av de mest intressanta nyheterna i Parrot 7-serien är introduktionen av MCPwn. Verktyget bygger på Model Context Protocol och fungerar som en mellanhand mellan stora språkmodeller och klassiska säkerhetsverktyg.

Med MCPwn kan en AI-modell initiera exempelvis nätverksskanning eller sårbarhetsanalys, men själva kommandona körs lokalt i isolerade Docker-containrar. På så sätt kombineras AI-assisterad analys med ett säkerhetsmedvetet utförande, där värdsystemet skyddas från oavsiktliga eller skadliga åtgärder.

Detta markerar ett tydligt steg mot framtidens arbetsflöden inom cybersäkerhet, där mänsklig expertis och automatiserad analys samverkar i praktiken, snarare än i teorin.

Förbättrad pakethantering med Mirror Director

Parrot-projektet har även tagit tillbaka kontrollen över sin Mirror Director, ett lättviktigt system som styr hur paket levereras till användare världen över. När en klient begär ett paket analyseras användarens geografiska position, och systemet omdirigerar automatiskt nedladdningen till den mest lämpliga spegelservern.

Denna hierarkiska modell ger snabbare uppdateringar, mindre belastning på huvudservrarna och en mer robust upplevelse vid hög belastning eller regionala störningar.

Rocket och containerbaserade verktyg

Rocket, Parrots launcher för Docker-baserade säkerhetsverktyg, har uppdaterats till version 1.5.0. Den nya versionen innehåller ett omarbetat användargränssnitt och fler tillgängliga verktyg. Fokus ligger på isolering, reproducerbarhet och enkel hantering av komplexa säkerhetsmiljöer.

Raspberry Pi och återinfört i386-stöd

För Raspberry Pi-användare återgår Parrot 7.1 till MATE som standardmiljö, även om KDE fortfarande kan installeras. Utvecklarna experimenterar dessutom med LXQt för att uppnå ännu bättre prestanda på svagare hårdvara.

Samtidigt har i386-arkitekturen återinförts i begränsad form. Stödet finns endast för de beroenden som krävs av specifika verktyg, exempelvis Steam, och innebär inte ett fullskaligt återtåg till 32-bitarsplattformar.

Uppgradering och rekommendationer

Det går att uppgradera befintliga installationer från Parrot 6 och 7 via de vanliga uppdateringsverktygen, och MATE behålls som standard för äldre system. Trots detta rekommenderar utvecklarna en ren installation för den som vill ha maximal stabilitet och prestanda, särskilt vid större versionshopp.

Sammanfattning

Parrot OS 7.1 är ett moget och genomtänkt steg framåt snarare än en dramatisk omvälvning. Uppdateringen fokuserar på stabilitet, moderna verktyg och framtidssäkrade arbetsflöden, inte minst genom integrationen av AI-baserade lösningar som MCPwn.

För studenter, yrkesverksamma inom cybersäkerhet och teknikintresserade som vill ha en komplett och aktuell säkerhetsdistribution är Parrot 7.1 ett starkt och välbalanserat val.

https://parrotsec.org/download

TEKNISK FAKTA

Distribution Parrot OS 7.1

Bas Debian-baserad

Målgrupp Etisk hackning, pentest, forensik, säkerhetsanalys

Skrivbord MATE, LXQt, Enlightenment (spin)

Kernel Linux 6.17.13

Bootloader GRUB 2.14 (fixar för vissa laptop-bootproblem)

Repo-infrastruktur Mirror Director (HTTP 307-redirect till närmaste spegel)

Containerverktyg Rocket 1.5.0 (Docker-baserade säkerhetsverktyg)

AI-verktyg MCPwn (MCP-server som kör verktyg i Docker-containrar)

Arkitektur amd64 (64-bit). Begränsat i386-stöd för vissa beroenden

Exempel på uppdaterade verktyg Metasploit 6.4.111, Burp Suite 2025.11.6, Maltego 4.11.1, Airgeddon 11.61

Raspberry Pi MATE som standard (KDE finns, LXQt testas)

Burp Suite, cybersäkerhet, Debian, Docker, Enlightenment, etisk hackning, GNU/Linux, Linux, LXQt, Maltego, MATE, MCPwn, Metasploit, Open-source, Parrot 7.1, Parrot OS, penetrationstestning, pentest, raspberry pi, Säkerhetsverktyg

annons

Trasig dator?

Vi fixar trötta speldatorer
Byter skärm på laptops
Hjälper dig att byta dator
Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00

Datorreparation Stockholm
Orrspelsvägen 13, Bromma

Ericsson Hotline 900 Pocket – när mobiltelefonen blev möjlig att stoppa i fickan
Ericsson Hotline 900 Pocket var en av de tidiga mobiltelefonerna som markerade övergången från biltelefoner och tunga transportabla enheter till verkligt handhållna mobiler. Med dagens mått var den stor, […]
BUTOBA MT 7 F – när bandspelaren blev bärbar på riktigt
Butoba MT 7 F var en liten men avancerad rullbandspelare från början av 1960-talet, byggd i en tid då ljudinspelning höll på att bli verkligt portabel. Med batteridrift, två […]
Acer Aspire one – en symbol för sin tid.
Acer Aspire One blev en av de tydligaste symbolerna för netbook-eran – den korta men intensiva period då datorbranschen trodde att framtidens vardagsdator skulle vara liten, billig och ständigt […]
DECstation – när DEC försökte ta klivet in i RISC-eran
DECstation var Digital Equipment Corporations försök att möta den nya RISC-eran. Med snabba MIPS-processorer, Unix-systemet ULTRIX och avancerad grafik blev maskinerna viktiga arbetsstationer för forskare, ingenjörer och utvecklare. Samtidigt […]
Yamaha DX7 – synten som förändrade popmusiken
Yamaha DX7 såg kanske inte märkvärdig ut när den lanserades 1983, men den förändrade ljudet av en hel musikgeneration. Med digital FM-syntes, klara elpianon, metalliska klockljud och ett pris […]
VAX-11 – datorn som gjorde minidatorn till ett kraftpaket
VAX-11 var datorfamiljen som visade att en minidator kunde mäta sig med betydligt dyrare stordatorer. När DEC lanserade VAX-11/780 1977 fick universitet, företag och forskningsmiljöer tillgång till en kraftfull […]
Commodore CBM-II: datorn som skulle ersätta PET – men hamnade i skuggan av C64
Commodore CBM-II var tänkt att bli den moderna efterföljaren till PET-serien och ta Commodore vidare in på både hemma- och kontorsmarknaden. Med mer minne, avancerad bankväxling, SID-ljud och professionella […]
Commodore PET och CBM: när framtiden kom i plåtchassi
När Commodore PET lanserades 1977 var persondatorn fortfarande ett djärvt löfte om framtiden. Med robust plåtchassi, inbyggd skärm, BASIC i ROM och en blinkande markör blev PET och de […]
Amiga 500 – hemdatorn som gav framtiden ett ansikte
Amiga 500 blev för många mer än en hemdator – den blev en första glimt av framtiden. Med färgstark grafik, stereoljud och spelupplevelser som stack ut från mängden tog […]
Akai GX-635D – när rullbandspelaren blev högteknologi
Akai GX-635D var mer än en exklusiv rullbandspelare – den var ett exempel på hur långt den analoga ljudtekniken kunde utvecklas innan den digitala eran tog över. Med avancerade […]

wiki.linux.se

Datorhjälp hemma – 399 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

watch: The One Linux Command You Keep Forgetting to Use
Discover the one essential Linux command that can streamline your workflow. Learn how to enhance your efficiency and never forget it again! The post watch: The One Linux Command You Keep Forgetting to Use appeared first on Linux Today.
Wine 11.8 Brings Mono Engine Update and 22 Bug Fixes
Discover the latest Wine 11.8 update featuring a Mono engine enhancement and 22 crucial bug fixes. Improve your experience with this powerful software today! The post Wine 11.8 Brings Mono Engine Update and 22 Bug Fixes appeared first on Linux Today.
Canonical Says Ubuntu Infrastructure Is Facing Cross-Border DDoS Attack
Canonical reports that Ubuntu infrastructure is under a cross-border DDoS attack. Discover the implications and how it affects users worldwide. The post Canonical Says Ubuntu Infrastructure Is Facing Cross-Border DDoS Attack appeared first on Linux Today.
EndeavourOS Titan Neo Arrives with Installer and Package Updates
Discover the latest EndeavourOS Titan Neo, featuring an updated installer and package enhancements. Elevate your Linux experience today! The post EndeavourOS Titan Neo Arrives with Installer and Package Updates appeared first on Linux Today.
APT 3.3 Lands in Debian Unstable with CLI Versioning Support
APT 3.3 has arrived in Debian Unstable, bringing improved CLI versioning support. Explore the new features and enhance your package management experience today. The post APT 3.3 Lands in Debian Unstable with CLI Versioning Support appeared first on Linux Today.
Star Labs Releases Coreboot Firmware 26.05 with New Features for Its Linux PCs
Upgrade your Linux PC with Star Labs' Coreboot Firmware 26.05, offering exciting new features and improved performance. Check out the latest release now! The post Star Labs Releases Coreboot Firmware 26.05 with New Features for Its Linux PCs appeared first on Linux Today.
Shelly 2.2 Arch Linux GUI Package Manager Released with Major UI Revamp
Discover the newly released Shelly 2.2 for Arch Linux, featuring a major UI revamp that enhances user experience and simplifies package management. The post Shelly 2.2 Arch Linux GUI Package Manager Released with Major UI Revamp appeared first on Linux Today.
Calibre 9.8 E-Book Manager Improves Content Server, Native TTS Engine, and More
Upgrade your e-book management with Calibre 9.8. Enjoy improved content server capabilities, a native TTS engine, and additional features for seamless reading. The post Calibre 9.8 E-Book Manager Improves Content Server, Native TTS Engine, and More appeared first on Linux Today.
The UPERFECT UColor T6 Review
Discover the UPERFECT UColor T6 with our in-depth review. Explore its features, performance, and why it stands out in the portable monitor market. The post The UPERFECT UColor T6 Review appeared first on Linux Today.
First Arch Linux ISO Powered by Linux Kernel 7.0 Is Now Available for Download
The latest Arch Linux ISO featuring Linux Kernel 7.0 is here! Download today to explore new capabilities and improvements for your Linux experience. The post First Arch Linux ISO Powered by Linux Kernel 7.0 Is Now Available for Download appeared first on Linux Today.

ANNONS

Starta inte datorn?
Hjälp att byta datorn?
Trasig laptop
Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

9to5linux.com

COSMIC 1.0.14 Desktop Adds Keybind Support for Non-Latin Keyboard Layouts
COSMIC 1.0.14 desktop environment is now available with improvements to COSMIC Files, COSMIC Term, COSMIC Edit, COSMIC Settings, COSMIC Panel, COSMIC Store, and COSMIC Applets. The post COSMIC 1.0.14 Desktop Adds Keybind Support for Non-Latin Keyboard Layouts appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
Mozilla Firefox 151.0.2 Is Out Now to Improve Split View, Disk Caching, and More
Mozilla Firefox 151.0.2 open-source web browser is now available for download with improvements to the Split View feature, disk caching, website and forms compatibility, and more. The post Mozilla Firefox 151.0.2 Is Out Now to Improve Split View, Disk Caching, and More appeared first on 9to5Linux – do not reproduce this article without permission. This […]
NVIDIA 610 Linux Graphics Driver Adds Vulkan and Wayland Improvements
NVIDIA 610 graphics driver is now available for download with support for new Vulkan extensions, support for creating Vulkan logical devices from multiple physical devices, and more. The post NVIDIA 610 Linux Graphics Driver Adds Vulkan and Wayland Improvements appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
IPFire 2.29 Core Update 202 Linux Firewall Distro Released with OpenVPN 2.7
IPFire 2.29 Core Update 202 hardened Linux firewall distro is now available for download with OpenVPN 2.7, security patches for Dirty Frag and Copy Fail vulnerabilities, and other changes. The post IPFire 2.29 Core Update 202 Linux Firewall Distro Released with OpenVPN 2.7 appeared first on 9to5Linux – do not reproduce this article without permission. […]
AlmaLinux OS 10.2 Released as a Free Alternative to Red Hat Enterprise Linux 10.2
AlmaLinux OS 10.2 distribution is now available for download as a free alternative to Red Hat Enterprise Linux 10.2. Here’s what’s new! The post AlmaLinux OS 10.2 Released as a Free Alternative to Red Hat Enterprise Linux 10.2 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
PipeWire 1.6.6 Improves the Pulse Server, Volume Initialization in Filter Graph
PipeWire 1.6.6 audio/video server for Linux is now available for download with more improvements for the Pulse server, filter graph, and more. The post PipeWire 1.6.6 Improves the Pulse Server, Volume Initialization in Filter Graph appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not […]
Sway 1.12 Wayland Compositor Released with HDR10 Support via Vulkan Renderer
Sway 1.12 Wayland compositor is now available for download with HDR10 support when running with the Vulkan renderer, support for capturing individual windows, and other changes. The post Sway 1.12 Wayland Compositor Released with HDR10 Support via Vulkan Renderer appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
AppGrid 1.8 Native App Launcher for KDE Plasma 6 Is Out with New Features
AppGrid 1.8 open-source application launcher for the KDE Plasma desktop environment is now available for download with new features and improvements. Here's what's new! The post AppGrid 1.8 Native App Launcher for KDE Plasma 6 Is Out with New Features appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed […]
MKVToolNix 99.0 MKV Manipulation Tool Improves the MKVToolNix GUI, mkvmerge
MKVToolNix 99.0 open-source MKV manipulation tool is now available for download with the ability to remember the last used directory when selecting audio files, and many other changes. Here’s what’s changed! The post MKVToolNix 99.0 MKV Manipulation Tool Improves the MKVToolNix GUI, mkvmerge appeared first on 9to5Linux – do not reproduce this article without permission. […]
MX Linux 25.2 “Infinity” Released with Linux Kernel 7.0, Based on Debian 13.5
MX Linux 25.2 distribution is now available for download with a new text-mode installer, Debian 13.5 base, and Linux kernel 7.0 on the AHS builds. Here’s what’s new! The post MX Linux 25.2 “Infinity” Released with Linux Kernel 7.0, Based on Debian 13.5 appeared first on 9to5Linux – do not reproduce this article without permission. […]

10 Things to do After Installing Fedora 44 (Workstation)
Here’s a quick rundown of the 10 quick tips after you finish installing a brand new Fedora 44 workstation edition. In this article, we will talk about a few post-install tips for Fedora 44 workstation edition. These are a good starting point if you are installing a fresh Fedora 44 workstation edition for all user… […]
Upgrade to Fedora 44 from Fedora 43 Workstation (GUI and CLI)
Here’s are the quick steps on how you can upgrade to the Fedora 44 version. Fedora 44 is officially available for download and the upgrade channels are now available. This release brings the latest and greatest GNOME 50 desktop for workstation editions, refinements to KDE Plasma desktop and more updates. If you are trying to… […]
Future of AI in Ubuntu: Thoughtful Integration via Snap
Canonical is bringing thoughtful, local-first AI to Ubuntu – enhancing accessibility, enabling intelligent agents, and keeping user privacy and open source values at the core. As we move through 2026, large language models (LLMs) and AI tools have become ubiquitous across the tech industry. Adoption varies widely – some projects dive in headfirst, while others… […]
Xubuntu 26.04 LTS: Best New Features
Xubuntu 26.04 LTS is here – a fast, lightweight, and beautiful release featuring Xfce 4.20 and special 20th anniversary wallpapers. Xubuntu 26.04 LTS codenamed ‘Resolute Raccoon’ released on April 23, 2026. This lightweight flavour of Ubuntu brings the stable Xfce 4.20 desktop along with three years of support until April 2029. It celebrates 20 years… […]
Fedora 44: Best New Features
We round up the best new features of the upcoming fedora 44 workstation edition release. Fedora 44 is released on April 28, 2026. This significant release brings the latest and greatest GNOME 50 to Workstation, Linux kernel 6.19, and many practical updates across desktops and tools. It balances new technology with excellent usability, making it… […]
Ubuntu 26.04 LTS: Best New Features
Ubuntu 26.04 LTS codenamed “Resolute Raccoon” brings exciting improvements in desktop experience, security, and hardware support for the next five years. Ubuntu 26.04 LTS codenamed “Resolute Raccoon” released on April 23, 2026. This is the latest long-term support release that brings solid improvements in security, desktop experience, and hardware support. This release, will be receiving… […]
OpenShot 3.5 Brings Faster, Smoother Video Editing
OpenShot 3.5 is here with major speed and smoothness upgrades that make video editing feel much more responsive and enjoyable. The free and open source video editor OpenShot 3.5 arrives with major speed, smoothness, and power improvements. This is one of the biggest releases in its 18-year history. A new default timeline, 35% overall performance… […]
EndeavourOS Titan: Feature Highlights
We round up the EndeavourOS Titan release. EndeavourOS Titan is now available, released on March 12 2026. This fresh Arch-based ISO brings smarter hardware support and a smoother installation experience while keeping the lightweight, customizable spirit we all love. This Arch-based distribution gives me the pure Arch experience with a friendly installer and helpful tools…. […]
GNOME 50 Tokyo: Best New Features and Improvements
Learn about the key feature sets of GNOME 50 desktop environment. A fresh release of GNOME 50 “Tokyo” landed on March 18, 2026. This version brings solid improvements in parental controls, accessibility, file management, and display technologies. It marks a big step forward for families, assistive tech users, and everyday productivity while making the desktop… […]
Linux Kernel 6.18: Key Feature Highlights
We round up the key feature sets of Linux Kernel 6.18. Linus Torvalds released Linux Kernel 6.18 on November 30, 2025. This is the last mainline kernel of the year and is expected to become the 2025 Long Term Support (LTS) kernel. It brings many new features and hardware updates while staying focused on stability… […]

Annons

Digital Fixare

Strul med e-posten? Hjälp med TV? Problem med wifi?
Digital Fixare

Linuxiac.com

LibreOffice Outlines New Web and Mobile Strategy
The Document Foundation details its plan for LibreOffice on the web and mobile, with WebAssembly, mobile GUI work, and collaboration tests.
COSMIC Desktop 1.0.14 Adds External Monitor Brightness Control
COSMIC Desktop 1.0.14 brings DDC/CI brightness support, text previews in COSMIC Files, VPN fixes, and better X11 game handling.
NVIDIA 610.43 Linux Driver Adds Vulkan and Wayland Improvements
NVIDIA 610.43 for Linux adds new Vulkan extensions, Wayland EGL support, DRM color pipeline support, and game performance fixes.
IPFire 2.29 Core Update 202 Released with Linux Kernel Security Fixes
IPFire 2.29 Core Update 202 open-source firewall distro ships Linux 6.18.32, fixing Dirty Frag, Copy Fail, and other security issues.
AlmaLinux 10.2 Released with i686 Packages and Btrfs Boot Support
AlmaLinux 10.2 ships with Linux kernel 6.12, i686 userspace packages, Btrfs boot support, GNOME 49, Linux 6.12, and expanded hardware support.
California Bill Adds Open-Source Carve-Out to Age Verification Rules
California’s AB 1856 amendment adds an open-source carve-out to OS-level age verification rules, likely excluding most Linux distributions.
Labwc 0.20 Wayland Compositor Released with wlroots 0.20 Support
Labwc 0.20 window-stacking Wayland compositor lands as the first release based on wlroots 0.20, adding HDR10 support, show desktop action, and capture improvements.
PipeWire 1.6.6 Multimedia Framework Fixes Snap Client Audio Issue
PipeWire 1.6.6 is out with a fix for a server bug that could leave Snap clients without sound, plus filter-graph and Pulse server updates.
AerynOS Gets Linux 7.0, COSMIC 1.0.13, and KDE Plasma 6.6.5
AerynOS users get Linux kernel 7.0.10, KDE Plasma 6.6.5, COSMIC 1.0.13, Firefox 151, Wine 11.9, and LLVM 22.1.6.
KernelScript 0.1 Debuts as a New Language for eBPF Development
KernelScript 0.1 introduces an experimental type-safe DSL for writing eBPF, userspace, and kernelspace code from one codebase.

Datorhjälp

Digital fixare Stockholm
Datorproblem kan vara både frustrerande och tidskrävande – men hjälp finns nära till hands. Hos Datorhjälp i Bromma får du personlig och kunnig support, oavsett om det gäller en trasig laptop, krånglande e-post eller installation av ny teknik i hemmet. Med butik på Orrspelsvägen 13 och möjlighet till hembesök över hela Stockholm hjälper våra erfarna […]
Datorhjälp nära till hands för boende vid Karlaplan
När datorn krånglar, Wi-Fi-uppkopplingen sviktar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende kring Karlaplan finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll runt Karlaplan väljer att få teknisk hjälp på plats i stället för att ta sig […]
Datorhjälp hemma i Bergshamra – personligt stöd när tekniken krånglar
När datorn krånglar, wifi slutar fungera eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Bergshamra. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Bergshamra. När datorn låser sig, e-posten slutar fungera eller den nya […]
Datorhjälp hemma i Hässelby Strand – personligt stöd när tekniken krånglar
När datorn krånglar, wifi strular eller den nya mobilen känns svår att förstå finns personlig hjälp att få i Hässelby Strand. Genom hembesök i lugn miljö och pedagogiskt stöd på plats blir tekniken enklare att hantera – dessutom till halva kostnaden tack vare RUT-avdraget. Hässelby Strand. När datorn låser sig, e-posten slutar fungera eller den […]
Datorhjälp hemma i Högdalen – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från datorer som låser sig till wifi som inte fungerar – finns personlig hjälp att få i Högdalen. Med hembesök i lugn och trygg miljö, pedagogiska förklaringar och möjlighet till halva kostnaden genom RUT-avdraget blir det enklare att få digitala problem lösta. Högdalen. När datorn fryser, e-posten slutar fungera […]
Datorhjälp på plats för boende i Rågsved
När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Rågsved finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. När datorn krånglar, Wi-Fi-uppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig […]
Datorhjälp hemma i Vårberg – personligt stöd när tekniken krånglar
När tekniken krånglar i vardagen – från strulande datorer och e-post till wifi som inte vill fungera – finns personlig hjälp att få i Vårberg. Med hembesök i lugn och ro och möjlighet till halva kostnaden via RUT-avdraget erbjuds ett tryggt och pedagogiskt stöd för den som vill få tekniken att fungera igen. Vårberg. När […]
Datorhjälp nära till hands för boende i Norsborg för halva priset efter RUT avdraget
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli både stressig och tidskrävande. För boende i Norsborg finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll i Norsborg väljer att få teknisk hjälp på plats i stället för […]
Datorhjälp nära till hands för boende kring Huddinge Centrum
När datorn krånglar, internetuppkopplingen svajar eller skrivaren vägrar fungera kan vardagen snabbt bli frustrerande. För boende runt Huddinge Centrum finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris tack vare RUT-avdraget. Allt fler hushåll i området kring Huddinge Centrum väljer att få teknisk hjälp på plats i […]
Datorhjälp nära till hands för boende vid S:t Eriksplan för halva med priset med RUT avdraget
När datorn krånglar, Wi-Fi-uppkopplingen sviktar eller skrivaren inte vill fungera kan vardagen snabbt bli frustrerande. För boende kring S:t Eriksplan finns nu möjlighet att få snabb och personlig datorhjälp direkt i hemmet – till ett förmånligt pris med RUT-avdrag. Allt fler hushåll i området runt S:t Eriksplan väljer att få teknisk hjälp på plats i […]

Etikett: cybersäkerhet

WireGuard Easy 15.3: enklare och säkrare kontroll över vem som får nå vad i VPN-nätet

WireGuard Easy 15.3 gör det enklare att driva en egen VPN-server med bättre kontroll över vilka resurser olika klienter får nå. Den stora nyheten är serverbaserad kontroll av Allowed IPs, vilket innebär att åtkomstregler kan genomdrivas på serversidan i stället för att enbart bygga på klientens konfiguration. Uppdateringen innehåller också förbättrad QR-kodshantering, bättre stöd för…

2026-05-18
När Linux sätter gränser för vad som är en säkerhetsbugg

När antalet AI-genererade sårbarhetsrapporter ökar vill Linuxprojektet dra en tydligare gräns mellan vanliga buggar och verkliga säkerhetshål. Linus Torvalds har nu slagit ihop ny dokumentation som förklarar när ett fel i Linuxkärnan ska behandlas som en säkerhetsbugg, hur rapporter bör skickas in och varför spekulativa AI-fynd inte får belasta säkerhetsteamet i onödan. Resultatet är en…

2026-05-17
Nginx 1.31 släpps med forward proxy-stöd och flera säkerhetsfixar

Nginx är en av internets viktigaste byggstenar. Den används för att leverera webbsidor, fördela trafik mellan servrar och fungera som mellanhand mellan användare och webbapplikationer. Med Nginx 1.31 tar projektet ett nytt steg: webbservern får stöd för HTTP forward proxy, samtidigt som flera säkerhetshål i moderna webbprotokoll som HTTP/2 och HTTP/3 täpps till. För de…

2026-05-14
KDE får över en miljon euro för att stärka det fria skrivbordet

KDE får över en miljon euro från Sovereign Tech Fund för att stärka det fria Linux-skrivbordet. Pengarna ska gå till bättre återställning, fabriksåterställning, säkrare infrastruktur och förbättrad e-post- och kalenderhantering. Satsningen visar hur fri och öppen källkod blir allt viktigare när Europas digitala självständighet hamnar högre upp på den politiska och tekniska dagordningen. Det fria…

2026-05-13
Parrot 7.2 släppt – säkerhets-Linux får viktig patch mot ”Copy Fail”

Parrot OS 7.2 är nu släppt och kommer med en viktig säkerhetsuppdatering mot sårbarheten ”Copy Fail”. Den nya versionen bygger på Linux 6.19.13, använder KDE Plasma 6.3.6 som standardmiljö och innehåller uppdaterade verktyg för penetrationstestning, digital forensik och säkerhetsanalys. För säkerhetsintresserade Linuxanvändare är detta framför allt en stabiliserande release där kärna, verktyg och infrastruktur har…

2026-05-10
Nödbroms i Linuxkärnan ska kunna stoppa farliga funktioner

När allvarliga säkerhetshål i Linuxkärnan blir offentliga kan tiden fram till en färdig uppdatering vara kritisk. Nu diskuteras ett nytt förslag om en så kallad killswitch, en nödbroms som tillfälligt kan stänga av sårbara funktioner i kärnan. Målet är inte att laga felet direkt, utan att minska risken för angrepp medan administratörer väntar på en…

2026-05-09
Dirty Frag: ny Linux-sårbarhet kan ge lokal användare root-behörighet

Dirty Frag är en ny sårbarhet i Linux-kärnan som kan låta en lokal användare eller process höja sina rättigheter till root. Problemet berör bland annat IPsec ESP/XFRM och RxRPC och är särskilt allvarligt på servrar, containerplattformar, CI/CD-runners och andra system där obetrodd kod kan köras. Eftersom publik exempelkod finns tillgänglig bör administratörer uppdatera kärnan och…

2026-05-08
Copy Fail: Linux-bugg kan ge vanliga användare root-behörighet

En ny sårbarhet i Linux-kärnan, kallad Copy Fail, kan göra det möjligt för en vanlig lokal användare att skaffa sig fullständig kontroll över ett system. Felet, som har fått beteckningen CVE-2026-31431, är särskilt allvarligt för servrar, molnmiljöer och plattformar där flera användare eller processer delar samma maskin. En säkerhetsfix finns redan tillgänglig, men administratörer uppmanas…

2026-05-01
IPFire 2.29 Core Update 201

IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett…

2026-04-30
Tails varnar i tid – ny version ska förebygga uppstartsproblem

En ny version av det integritetsinriktade operativsystemet Tails ska hjälpa användare att undvika framtida uppstartsproblem. Genom att varna för föråldrade säkerhetscertifikat, som slutar gälla 2026, vill utvecklarna förebygga fel innan de uppstår. En ny version av det integritetsfokuserade operativsystemet Tails har släppts. Med Tails 7.7 införs en funktion som varnar användare för ett problem som…

2026-04-24
OpenSSL 4.0 är här – säkrare kryptering för ett internet i förändring

OpenSSL 4.0 är här med starkare integritet, modernare kryptografi och skärpta säkerhetskontroller. Den nya versionen av ett av internets viktigaste säkerhetsbibliotek tar sikte på både dagens hot och morgondagens utmaningar – från bättre skydd av användares trafik till förberedelser för en post-kvantvärld. OpenSSL 4.0 har nu släppts, och det är en stor uppdatering av ett…

2026-04-15
Linux 7.0 är här – men den stora nyheten är inte siffran

Linux 7.0 är här – men bakom det nya versionsnumret döljer sig ingen dramatisk omvälvning. I stället handlar det om en rad genomtänkta förbättringar som gör operativsystemet säkrare, snabbare och mer framtidssäkrat. Med stabilt stöd för Rust, nya säkerhetslösningar och smartare hantering av resurser fortsätter Linux att utvecklas i små men viktiga steg. När Linux…

2026-04-13
Frankrike satsar på Linux – ett steg mot digital självständighet

Frankrike tar ett historiskt steg mot digital självständighet genom att ersätta Windows med Linux i statliga datorer. Beslutet är en del av en bredare strategi för att minska beroendet av utländska teknikleverantörer och stärka kontrollen över landets digitala infrastruktur – med konkreta planer som ska tas fram av varje ministerium redan till hösten 2026. Frankrike…

2026-04-10
Tails 7.6 gör det enklare att kringgå censur

Tails 7.6 gör anonym surfning enklare än någonsin genom att automatiskt kringgå censur och samtidigt förbättra användarvänligheten – ett viktigt steg för fri och privat internetåtkomst världen över. Den integritetsfokuserade Linux-distributionen Tails har fått en ny uppdatering som gör det betydligt lättare att ansluta till det anonyma nätverket Tor – även i miljöer där det…

2026-03-26
Mindre GRUB – säkrare start? Canonical vill strama åt Secure Boot i Ubuntu 26.10

Canonical planerar en omfattande förändring av hur Ubuntu startar i framtiden. Genom att kraftigt begränsa funktionerna i GRUB vid Secure Boot vill företaget minska säkerhetsrisker – men förslaget kan samtidigt tvinga många användare att ändra hur deras system är uppbyggda. Vad handlar det om? Företaget Canonical, som utvecklar Ubuntu, planerar förändringar i hur system startar…

2026-03-26
OpenSSL 4.0 tar steg mot framtidens kryptering

OpenSSL, ett av världens mest använda bibliotek för krypterad kommunikation på internet, närmar sig en ny stor version. Den första alfautgåvan av OpenSSL 4.0 visar en rad tekniska nyheter – från förbättrat integritetsskydd i TLS till stöd för postkvantkryptografi – och markerar ett viktigt steg i utvecklingen av framtidens säkra nätverk. Den kommande versionen av…

2026-03-11
När stjärnorna avslöjar mer än du tror – om lösenord, synlig feedback och framtiden för sudo

En ny ändring i sudo-rs, den Rust-baserade omimplementeringen av det klassiska sudo-verktyget, gör lösenordsinmatningen synlig genom att visa stjärnor i terminalen. Det kan låta som en harmlös användarvänlig förbättring, men förändringen väcker en större fråga: när ett system börjar avslöja detaljer som lösenordets längd, är det då bara en kosmetisk justering, eller ett steg bort…

2026-03-02
Tails 7.5 stärker anonymitet och säker e-post

Tails 7.5 är här med uppdaterad Tor Browser, säkrare hantering av e-postklienten Thunderbird och förbättrad stabilitet i Tor-nätverket. Den nya versionen stärker skyddet för användare som vill surfa anonymt och kommunicera säkert – genom smartare uppdateringsrutiner och löpande säkerhetsförbättringar som minskar risken för sårbarheter. Den integritetsfokuserade Linuxdistributionen Tails 7.5 är här – och den innehåller…

2026-02-27
OpenVPN 2.7 släppt – snabbare, säkrare och smartare VPN-servrar

Den nya versionen av OpenVPN 2.7 markerar ett tydligt tekniskt kliv framåt för en av världens mest använda VPN-lösningar. Uppdateringen fokuserar på högre prestanda, modernare kryptografi och bättre plattformsintegration – särskilt för Windows och Linux. Med stöd för multi-socket-servrar, förbättrad DNS-hantering och en mer framtidssäker datakanal tar OpenVPN ytterligare steg bort från äldre kompromisser och…

2026-02-12
Parrot OS 7.1 – ett stabilt steg framåt för etisk hackning och cybersäkerhet

Parrot OS 7.1 är här – en uppdatering som vässar den populära säkerhetsdistributionen med stabilare grund, uppdaterade hackningsverktyg och ett tydligt steg mot AI-assisterad penetrationstestning. Med nya skrivbordsmiljöer, förbättrad pakethantering och smartare containerlösningar stärker Parrot sin position som en modern plattform för etisk hackning och cybersäkerhetsanalys. Parrot OS 7.1 – ett stabilt steg framåt för…

2026-02-11

Teknisk faktaruta: WireGuard Easy 15.3

Teknisk faktaruta: Linuxkärnans nya säkerhetsdokumentation

Teknisk faktaruta: Nginx 1.31

Teknisk faktaruta: KDE och Sovereign Tech Fund

Teknisk faktaruta: Parrot OS 7.2

Teknisk fakta: föreslagen killswitch i Linuxkärnan

Teknisk faktaruta: Dirty Frag

Copy Fail – CVE-2026-31431

Teknisk faktaruta: IPFire 2.29 Core Update 201

Teknisk fakta: Tails 7.7

Teknisk fakta: Linux 7.0

Faktaruta: Frankrikes Linuxsatsning

Fakta: Tails 7.6

Faktaruta: GRUB och Secure Boot i Ubuntu 26.10