• FreeRDP 3.28 har släppts

    FreeRDP gör det möjligt att styra en dator på distans, nästan som om man satt framför den. I version 3.28 ligger fokus på säkrare anslutningar, färre krascher och bättre stöd för flera plattformar. Uppdateringen rättar flera sårbarheter, väcker liv i klienten för iPhone och iPad och förbättrar funktioner i Android, Windows och macOS.

    FreeRDP är en fri och öppen implementation av Microsofts Remote Desktop Protocol, vanligtvis förkortat RDP. Tekniken används för att ansluta till en annan dator över ett nätverk och arbeta med den på distans.

    Det kan exempelvis handla om att en Linuxanvändare behöver ansluta till en Windowsdator, att en administratör arbetar med en server eller att en användare vill nå sin arbetsdator hemifrån.

    När en RDP-anslutning upprättas skickas bilden från fjärrdatorn till användarens skärm. Tangentbord och mus skickar samtidigt kommandon tillbaka till fjärrdatorn. Även ljud, urklipp, skrivare, filer, kameror och andra enheter kan föras över mellan datorerna.

    FreeRDP används både som ett fristående program och som en teknisk grund i andra program för fjärrskrivbord. Därför kan en säkerhetsuppdatering i FreeRDP påverka betydligt fler användare än dem som själva känner till att programmet finns installerat.

    Flera säkerhetsproblem har rättats

    Den viktigaste nyheten i FreeRDP 3.28 är att flera säkerhetsproblem har åtgärdats. Bland dessa finns sårbarheterna CVE-2026-57156, CVE-2026-57157 och CVE-2026-57158.

    Rättningarna berör bland annat hur programmet tolkar inkommande data, kontrollerar minnesgränser och hanterar urklipp, kameror, smartkort, ljud, video och anslutna enheter.

    En RDP-klient måste kunna ta emot många olika typer av information från fjärrdatorn. Det kan vara allt från en bildruta till ett filnamn, ett ljudpaket eller information från ett smartkort.

    Om sådan information är felaktigt formaterad eller innehåller ett orimligt stort värde måste klienten upptäcka det innan informationen behandlas. Annars kan programmet försöka läsa eller skriva data på fel plats i minnet.

    Resultatet kan bli en krasch, men minnesfel kan i vissa fall även utnyttjas för att påverka programmet på ett mer allvarligt sätt. Därför är kontroller av storlek, format och minnesgränser en central del av säkerheten i program som kommunicerar över nätverk.

    I FreeRDP 3.28 har många av dessa kontroller förstärkts. Användare och Linuxdistributioner rekommenderas därför att uppdatera när den nya versionen blir tillgänglig.

    Klienten för iPhone och iPad får nytt liv

    En av de mer synliga nyheterna är att projektets klient för iPhone och iPad återigen har börjat utvecklas.

    Klienten heter iFreeRDP och är tänkt att göra det möjligt att ansluta till ett fjärrskrivbord från en iOS-enhet. I den nya versionen har utvecklarna moderniserat delar av koden och tagit bort flera varningar om föråldrade funktioner.

    Arbetet omfattar även förbättringar i byggsystemet och stöd för att bygga videokodeken OpenH264.

    En kodek är en teknik som komprimerar och packar upp ljud eller video. Komprimeringen gör att färre data behöver skickas över nätverket, vilket kan ge en snabbare och mjukare fjärrskrivbordsupplevelse.

    Förändringarna betyder inte automatiskt att en ny färdig version av iFreeRDP omedelbart dyker upp i Apples App Store. De visar däremot att klienten återigen har blivit en aktiv del av FreeRDP-projektet.

    Android får stöd för RISC-V

    Även Androidversionen har fått flera förbättringar. FreeRDP kan nu byggas för 64-bitars RISC-V på Android.

    RISC-V är en öppen processorarkitektur. Till skillnad från exempelvis x86 och ARM är den grundläggande instruktionsuppsättningen öppen och kan användas av olika tillverkare utan att de behöver utveckla en helt egen arkitektur.

    RISC-V används redan i bland annat inbyggda system, enkortsdatorer och vissa servrar. Stödet i Androidversionen av FreeRDP är därför främst viktigt för framtida enheter och för utvecklare som arbetar med den nya arkitekturen.

    Byggprocessen för Android har samtidigt blivit mer flexibel. Det går nu lättare att ändra versionsnamn och versionsnummer för olika utgåvor.

    Den virtuella muspekaren för pekskärmar har också fått en ny utformning. Dessutom har externa programberoenden flyttats till en särskild CMake-fil, vilket gör källkoden enklare att bygga och underhålla.

    Förbättringar i Windowsklienten

    FreeRDP innehåller också en klient för Windows som heter wfreerdp.

    I FreeRDP 3.28 har den flytande verktygsraden i helskärmsläget förbättrats. Verktygsraden gör det möjligt att komma åt olika kontroller även när fjärrskrivbordet täcker hela skärmen.

    Ett problem där rullningspositionen kunde återställas när rullningslisterna doldes har också rättats.

    Versionen innehåller dessutom justeringar för Microsofts kompilator MSVC och rättningar som berör CredSSP.

    CredSSP är en teknik som används när inloggningsuppgifter ska överföras till en fjärrdator. Eftersom tekniken hanterar känslig information är det viktigt att den fungerar korrekt och att fel upptäcks tidigt.

    Utvecklarna har även rättat problem med anropskonventioner på vissa x86-baserade Windows-system. En anropskonvention bestämmer bland annat hur ett program skickar information mellan olika funktioner. Fel på den nivån kan leda till oväntade krascher eller felaktiga resultat.

    Nytt stöd för smartkort på serversidan

    FreeRDP 3.28 introducerar ett nytt programmeringsgränssnitt för smartkort på serversidan.

    Ett smartkort är ett kort med ett inbyggt chip som kan lagra exempelvis digitala certifikat och krypteringsnycklar. Smartkort används ofta för säker inloggning inom företag, myndigheter och andra verksamheter med höga säkerhetskrav.

    Den nya versionen innehåller även flera rättningar för validering av smartkortsdata och för hantering av inloggning med smartkort.

    Validering innebär att programmet kontrollerar att informationen ser ut som förväntat innan den används. Det är särskilt viktigt när informationen kommer från en annan dator eller en extern enhet.

    Klientens statistikgränssnitt har dessutom utökats med stöd för statiska RDP-kanaler. Det gör det lättare för utvecklare och administratörer att se hur olika delar av anslutningen används och hur mycket data de överför.

    Säkrare filöverföring genom urklippet

    Den SDL-baserade FreeRDP-klienten har också fått flera förbättringar.

    SDL är ett plattformsoberoende bibliotek för bland annat grafik, ljud, tangentbord och mus. Det används för att samma programkod ska kunna fungera på flera operativsystem.

    I FreeRDP 3.28 har säkerheten förbättrats när filer kopieras genom urklippet.

    Urklippet används normalt när användaren kopierar och klistrar in text. I en RDP-anslutning kan samma teknik även användas för att flytta filer mellan den lokala datorn och fjärrdatorn.

    Det innebär att programmet måste hantera filnamn, sökvägar och filinformation som skickas över nätverket. Om sådana uppgifter inte kontrolleras ordentligt kan de orsaka fel eller användas på ett oväntat sätt.

    SDL-klienten har även fått stöd för Askpass. Det gör det möjligt att ange ett lösenord genom ett separat grafiskt fönster i stället för direkt i en terminal.

    Problem med aviseringar har rättats och inställningarna för naturlig rullning fungerar nu bättre med både mus och pekplatta.

    Naturlig rullning innebär att innehållet rör sig i samma riktning som användarens fingrar på pekplattan, ungefär som på en mobiltelefon eller surfplatta.

    Ljudet i macOS kan återställas bättre

    På macOS har ljudhanteringen förbättrats.

    Ljudet i en RDP-session kan påverkas när användaren ansluter hörlurar, byter ljudutgång eller ansluter ett externt ljudkort. Då kan macOS ändra konfigurationen för sitt ljudsystem AVAudioEngine.

    Tidigare kunde en sådan förändring göra att ljudet från fjärrdatorn försvann. FreeRDP 3.28 kan nu bättre återställa ljudströmmen efter att ljudsystemets inställningar har ändrats.

    Bättre kontroller av video och kameradata

    FreeRDP 3.28 innehåller även förbättrade kontroller av video och kameradata.

    När en videobild kopieras till skärmen måste programmet veta exakt hur stor den aktuella bildytan är. Om en bildruta är större än det tillgängliga området finns en risk att data hamnar utanför det minne som har reserverats.

    I den nya versionen begränsas kopieringen av videobildrutor till den aktuella bildytans storlek.

    Även information som skickas genom kamerakanaler och funktioner för fjärrassistans kontrolleras mer noggrant innan den används.

    Detta är ett exempel på så kallad defensiv programmering. Programmet utgår inte från att mottagen data är korrekt, utan kontrollerar den först.

    Färre krascher vid användning av RDP-gateway

    Ett möjligt segmenteringsfel i funktionen winpr_strnstr har också rättats.

    Ett segmenteringsfel uppstår när ett program försöker läsa eller skriva i ett minnesområde som det inte har rätt att använda. Operativsystemet stoppar då normalt programmet, vilket gör att det kraschar.

    Det aktuella felet kunde uppstå i samband med en RDP-gateway.

    En RDP-gateway fungerar som en mellanhand mellan klienten och fjärrdatorn. Den används ofta för att ge säker åtkomst till datorer i ett internt nätverk utan att RDP-servern behöver vara direkt åtkomlig från internet.

    RDPDR och WinPR har förstärkts

    Hanteringen av textsträngar i RDPDR-kanalen har förbättrats.

    RDPDR används för omdirigering av lokala enheter. Det kan exempelvis göra det möjligt för en fjärrdator att komma åt en lokal hårddisk, skrivare, serieport eller ett smartkort.

    Eftersom enhetsnamn och sökvägar skickas som textsträngar är det viktigt att programmet kontrollerar deras längd och innehåll.

    Flera kontroller i WinPR:s datatolkning har också förstärkts.

    WinPR är ett kompatibilitetslager som ingår i FreeRDP. Det tillhandahåller funktioner som liknar dem i Windows, men som kan användas på andra operativsystem.

    Genom att förbättra WinPR:s parsrar minskar risken för att felaktigt formaterad information orsakar minnesfel eller krascher.

    Tydligare loggar när anslutningen misslyckas

    Loggningen vid misslyckade anslutningar har förbättrats.

    För användaren kan ett anslutningsfel verka enkelt: fjärrskrivbordet öppnas inte. Bakom felet kan det däremot finnas många olika orsaker, till exempel felaktiga inloggningsuppgifter, certifikatproblem, nätverksfel eller inkompatibla säkerhetsinställningar.

    Tydligare loggar gör det lättare för administratörer och utvecklare att se var i anslutningsprocessen problemet uppstod.

    En viktig uppdatering även för vanliga användare

    FreeRDP 3.28 innehåller många tekniska förändringar som de flesta användare aldrig kommer att märka direkt.

    Det är ofta ett gott tecken. Säkerhetskontroller, förbättrad minneshantering och noggrannare validering ska helst arbeta i bakgrunden utan att störa användningen.

    Samtidigt innehåller versionen synligare förbättringar, som ett återupplivat iOS-projekt, bättre Androidstöd, förbättrade Windowskontroller och stabilare ljud i macOS.

    Den som använder FreeRDP direkt, eller ett program som bygger på FreeRDP, bör därför installera version 3.28 när den finns tillgänglig genom operativsystemets uppdateringar.

    https://www.freerdp.com

    > Fakta om FreeRDP

    Program: FreeRDP

    Version: 3.28

    Typ: Klient och verktyg för fjärrskrivbord

    Protokoll: Remote Desktop Protocol, RDP

    Licens: Fri och öppen källkod

    Plattformar: Linux, Windows, macOS, Android och iOS

    Användningsområde: Anslutning till och fjärrstyrning av datorer och servrar

    Viktigaste nytt i version 3.28: Säkerhetsrättningar, återupplivad iOS-klient, Androidstöd för RISC-V och förbättringar för Windows och macOS

    > Rekommendation: Uppdatera när version 3.28 blir tillgänglig i operativsystemets paketförråd.

  • Parrot OS 7.3 är här – snabbare, smidigare och bättre anpassad för modern hårdvara

    Parrot OS 7.3 är här med fokus på modern hårdvara, bättre prestanda och smidigare användning. Den Debian-baserade säkerhetsdistributionen får optimerade paket för nyare processorer, officiella Vagrant-boxar, uppdaterade säkerhetsverktyg och ett nytt menysystem som gör det enklare att installera verktyg vid behov.

    Parrot OS 7.3 har nu släppts. Det är en ny version av den Debian-baserade Linuxdistributionen som främst riktar sig till säkerhetsexperter, penetrationstestare, utvecklare och användare som vill ha ett system med fokus på integritet och kontroll.

    Den nya versionen innehåller flera tekniska förbättringar, men det mest intressanta är att Parrot OS nu tar ett tydligare steg mot modernare datorhårdvara. Målet är att systemet ska kunna utnyttja nyare processorer bättre och samtidigt bli enklare att använda i vardagen.

    Snabbare program på nyare datorer

    En av de största nyheterna i Parrot OS 7.3 är så kallade optimerade paket. Traditionellt byggs många Linuxpaket för att fungera på väldigt gamla x86-64-processorer. Det är bra för kompatibiliteten, men det betyder också att moderna processorer inte alltid används fullt ut.

    Parrot OS 7.3 erbjuder därför ett frivilligt paketförråd med program som har kompilerats om för nyare processorer. På datorer med tillräckligt modern CPU kan vissa beräkningstunga arbetsuppgifter bli märkbart snabbare.

    Det gäller framför allt uppgifter som:

    • komprimering av filer
    • kryptering
    • hashning
    • videokodning
    • bild- och ljudbearbetning
    • vissa utvecklings- och analysverktyg

    Enligt Parrot-projektet kan prestandavinsten i vissa fall ligga mellan 20 och 50 procent. Det betyder inte att hela systemet automatiskt blir dubbelt så snabbt, men för rätt typ av arbetsuppgifter kan skillnaden märkas tydligt.

    För vanliga saker som filhantering, nätverkstjänster eller enklare kommandon blir skillnaden däremot ofta liten eller obefintlig.

    Byggt för dagens processorer

    De optimerade paketen riktar sig bland annat till system med nyare Intel- och AMD-processorer, exempelvis Intel Haswell eller AMD Zen och senare. På ARM-sidan nämns bland annat Apple M1, Raspberry Pi 5 och Amazon Graviton 2 som exempel på hårdvara som kan dra nytta av de nya optimeringarna.

    För att undvika problem finns det en kontroll som ser till att paketen inte installeras på en dator som saknar rätt processorfunktioner. Om hårdvaran inte klarar kraven avbryts installationen i stället för att systemet kraschar eller blir obrukbart.

    Det här är en viktig detalj. Parrot försöker alltså inte ersätta de vanliga paketen, utan erbjuder optimerade versioner som ett frivilligt tillägg för användare med rätt hårdvara.

    Linuxkärna 7.0 och bättre hårdvarustöd

    Parrot OS 7.3 levereras med Linux kernel 7.0. En nyare kärna innebär normalt bättre stöd för modern hårdvara, fler drivrutinsförbättringar och nya funktioner under huven.

    För användaren kan det betyda att nyare datorer, nätverkskort, grafikkort och annan hårdvara fungerar bättre direkt efter installation. Det är särskilt viktigt för en distribution som Parrot OS, där användarna ofta kör systemet på många olika typer av datorer, virtuella maskiner och labbmiljöer.

    Nytt menysystem skrivet i Go

    En annan nyhet är att Parrot OS har fått ett nytt menysystem. Två centrala delar, parrot-exec och launcher-updater, har skrivits om i programmeringsspråket Go.

    Det kan låta som en intern teknisk detalj, men för användaren märks det genom att verktygen i menyerna blir enklare att hantera. Ett program som inte är installerat kan visas i menyn och installeras med ett klick.

    Det innebär att Parrot OS inte behöver komma med alla verktyg förinstallerade från början. I stället kan systemet vara lättare och renare, samtidigt som användaren snabbt kan lägga till de verktyg som behövs.

    För säkerhetsarbete är detta praktiskt. En penetrationstestare kanske inte behöver hela verktygslådan installerad hela tiden, utan kan installera rätt program när det behövs.

    Mindre och renare installationsfiler

    Parrot-projektet har även arbetat med att göra installationsfilerna mindre. En del verktyg som inte behövs direkt i Home- och Security-utgåvorna har tagits bort från standardinstallationen.

    Det här gör systemet mer lättviktigt och minskar mängden onödiga program. Det kan också göra installationen snabbare och enklare, särskilt i virtuella miljöer eller på datorer med begränsat lagringsutrymme.

    Officiella Vagrant-boxar

    Parrot OS 7.3 introducerar också officiella Vagrant-boxar för både Home- och Security-utgåvan på amd64.

    Vagrant används för att snabbt skapa reproducerbara virtuella miljöer. Det är särskilt användbart för utbildning, testlabb, utveckling och säkerhetsövningar. I stället för att installera systemet manuellt varje gång kan man starta en färdig miljö med några kommandon.

    För lärare, studenter och säkerhetsteam är detta en välkommen förbättring. Det blir enklare att skapa samma labbmiljö på flera datorer och att återställa miljön när något gått fel.

    KDE Plasma som skrivbordsmiljö

    På skrivbordssidan använder Parrot OS KDE som standardmiljö. Version 7.3 levereras med Plasma 6.3.6, KDE Frameworks 6.13 och KDE Gear 25.04.3, byggt ovanpå Qt 6.8.2.

    KDE Plasma är en modern och anpassningsbar skrivbordsmiljö som passar användare som vill ha mycket kontroll över sitt system. Den är samtidigt tillräckligt användarvänlig för den som vill ha ett mer traditionellt grafiskt skrivbord.

    Uppdaterade säkerhetsverktyg

    Eftersom Parrot OS är starkt inriktat på IT-säkerhet är verktygsuppdateringarna viktiga. I version 7.3 har flera centrala säkerhetsverktyg uppdaterats.

    Bland de uppdaterade programmen finns:

    • Airgeddon 12.0
    • Bettercap 2.41.5
    • BloodyAD 2.5.4
    • Caido 0.55.2
    • Enum4linux-ng 1.3.10

    Det här är verktyg som används inom bland annat trådlös nätverkstestning, nätverksanalys, Active Directory-granskning, webbtestning och informationsinsamling.

    För säkerhetsforskare och penetrationstestare innebär det att Parrot OS fortsätter vara en komplett arbetsmiljö med moderna versioner av viktiga verktyg.

    Ny startsida i Firefox

    Parrot OS 7.3 innehåller även en ny startsida för Firefox. Den är byggd med Vite och uppges inte samla in någon användardata.

    Det är en liten men symboliskt viktig förbättring. Parrot OS har länge haft integritet som en av sina profilfrågor, och en startsida utan datainsamling passar väl in i den linjen.

    Två huvudutgåvor: Security och Home

    Parrot OS finns i två huvudsakliga skrivbordsutgåvor.

    Security Edition är avsedd för penetrationstestare, säkerhetsanalytiker och forskare. Den innehåller ett stort antal säkerhetsverktyg för analys, testning, forensik och nätverksarbete.

    Home Edition är däremot tänkt för mer vardaglig användning, utveckling och integritet. Den levereras utan hela säkerhetsverktygslådan från början, men användaren kan installera de verktyg som behövs i efterhand.

    Det gör Parrot OS mer flexibelt. Alla behöver inte samma system, men båda grupperna kan använda samma grund.

    Uppgradering för befintliga användare

    Den som redan använder Parrot OS kan uppgradera med det vanliga uppgraderingskommandot:

    sudo parrot-upgrade
    

    Som alltid bör man se till att viktiga filer är säkerhetskopierade innan en större systemuppgradering görs.

    Ett steg mot ett smartare säkerhetssystem

    Parrot OS 7.3 är inte bara en samling uppdaterade program. Den här versionen visar också en tydligare riktning för distributionen.

    I stället för att bara lägga till fler verktyg försöker utvecklarna göra systemet snabbare, lättare och mer anpassat till modern hårdvara. De optimerade paketen, det nya menysystemet och de officiella Vagrant-boxarna pekar alla åt samma håll: Parrot OS ska vara enklare att använda, snabbare att starta med och mer effektivt i professionella arbetsflöden.

    För den som arbetar med IT-säkerhet, utbildning eller tekniska labbmiljöer är Parrot OS 7.3 därför en intressant uppdatering. Den gör inte bara systemet modernare, utan också mer praktiskt i vardagen.

    https://parrotsec.org

    Teknisk faktaruta: Parrot OS 7.3

    Distribution: Parrot OS 7.3

    Bas: Debian

    Inriktning: IT-säkerhet, penetrationstestning, digital forensik, integritet och utveckling

    Linuxkärna: Linux kernel 7.0

    Skrivbordsmiljö: KDE Plasma 6.3.6

    KDE Frameworks: 6.13

    KDE Gear: 25.04.3

    Qt-version: Qt 6.8.2

    Nyheter:

    • Optimerade paket för nyare processorer
    • Prestandavinster på upp till 20–50 procent i vissa beräkningstunga arbetsuppgifter
    • Nytt menysystem skrivet i Go
    • Installation av verktyg direkt från menyn
    • Officiella Vagrant-boxar för Home och Security Edition
    • Ny Firefox-startsida utan datainsamling
    • Uppdaterade säkerhetsverktyg

    Utgåvor: Security Edition och Home Edition

    Uppgradering:

    sudo parrot-upgrade
  • Kali Linux 2026.2 är här – verktygslådan för IT-säkerhet har blivit vassare

    Kali Linux 2026.2 är här med nya skrivbordsmiljöer, fler säkerhetsverktyg och snabbare virtuella maskiner. Den populära Linuxdistributionen, som används av säkerhetsexperter och etiska hackare, har fått uppdateringar som gör systemet både modernare och mer effektivt – samtidigt som Kali NetHunter fortsätter att växa på mobila enheter.

    Kali Linux 2026.2 har nu släppts av Offensive Security. Det är den senaste versionen av den välkända Linuxdistributionen som används av säkerhetsexperter, IT-tekniker, studenter och etiska hackare över hela världen.

    Kali Linux kan beskrivas som en specialbyggd verktygslåda för IT-säkerhet. I stället för att vara ett vanligt skrivbordsoperativsystem för kontorsarbete, spel eller vardagssurf, är Kali gjort för att testa nätverk, analysera system och hitta säkerhetsbrister innan angripare gör det.

    Den nya versionen, Kali Linux 2026.2, innehåller uppdaterade skrivbordsmiljöer, nya säkerhetsverktyg, snabbare virtuella maskiner och flera förbättringar för mobila säkerhetstester.

    Vad är Kali Linux?

    Kali Linux bygger på Debian, en av de mest etablerade Linuxdistributionerna. Skillnaden är att Kali levereras med en stor samling verktyg för säkerhetsarbete.

    Det kan handla om att testa lösenordssäkerhet, analysera nätverkstrafik, kontrollera webbservrar, undersöka misstänkta dokument eller leta efter svagheter i ett system. Därför används Kali ofta inom penetrationstestning, där man på ett kontrollerat och lagligt sätt försöker hitta brister i ett IT-system.

    Kali Linux är alltså inte ett verktyg för att “hacka vem som helst”, utan ett system som framför allt används för försvar, utbildning och säkerhetstestning.

    Nya skrivbord – men Xfce är fortfarande standard

    I Kali Linux 2026.2 har skrivbordsmiljöerna GNOME och KDE Plasma uppdaterats till nyare versioner.

    En skrivbordsmiljö är det grafiska gränssnittet som användaren ser: menyer, fönster, paneler, filhanterare och inställningar. Det är ungefär som skillnaden mellan olika utseenden och arbetssätt i ett operativsystem.

    Kali Linux använder fortfarande Xfce som standard. Xfce är känt för att vara snabbt, resurssnålt och pålitligt. Det passar bra för Kali, eftersom många användare kör systemet i virtuella maskiner, på äldre datorer eller i miljöer där man vill spara resurser.

    GNOME 50 ger bättre prestanda, snabbare filhantering och förbättrade tillgänglighetsfunktioner. KDE Plasma 6.6 har också förbättrats, bland annat med bättre stöd för pekskärmar, skärmtangentbord och funktioner som gör systemet lättare att använda för fler grupper av användare.

    En intressant nyhet i KDE:s skärmdumpsverktyg Spectacle är att det kan känna igen text i bilder. Det betyder att man kan ta en skärmbild och sedan plocka ut texten ur bilden, ungefär som OCR-funktioner i dokumentappar.

    Linux-kärnan 6.19

    Kali Linux 2026.2 använder Linux-kärnan 6.19. Kärnan är den centrala delen av operativsystemet. Den fungerar som länken mellan programmen och datorns hårdvara.

    Man kan jämföra kärnan med motorn i en bil. Användaren ser oftast inte själva motorn, men allt annat är beroende av att den fungerar. Kärnan styr bland annat minne, processer, nätverk, USB-enheter, grafik och lagring.

    Utvecklarna har valt att hålla sig till Linux 6.19 i denna version för att undvika problem med vissa Nvidia-drivrutiner. För den som vill testa nyare teknik finns Linux 7.0 tillgänglig via mer experimentella paketkällor.

    Nio nya verktyg

    Kali är känt för sina många säkerhetsverktyg, och i version 2026.2 har nio nya verktyg lagts till.

    Bland nyheterna finns verktyg för att analysera Office-dokument, hantera shell-anslutningar, förenkla arbete i kommandoraden, samla in öppen information från internet och testa lösenordssäkerhet.

    Ett exempel är oletools, som kan användas för att undersöka Microsoft Office-dokument. Det är viktigt eftersom skadlig kod ibland sprids via dokument som ser oskyldiga ut.

    Ett annat exempel är tookie-osint, ett verktyg för OSINT. OSINT står för Open Source Intelligence och betyder att man samlar information från öppna källor, till exempel webbplatser och sociala medier. Det används både av säkerhetsexperter, journalister och utredare.

    Verktyget uro används för att rensa upp listor med webbadresser. Det kan låta enkelt, men vid säkerhetstester av webbplatser kan man snabbt få tusentals URL:er. Då behövs verktyg som gör materialet mer hanterbart.

    Snabbare Kali i virtuella maskiner

    En av de mer praktiska förbättringarna gäller virtuella maskiner.

    Många kör Kali Linux i en virtuell maskin, alltså som en dator inuti datorn. Det är vanligt eftersom man då kan testa Kali utan att installera det direkt på sin vanliga dator.

    Tidigare följde mycket grafikfirmware med även i VM-versionerna. Firmware är små program som hjälper operativsystemet att prata med hårdvara. Problemet är att grafikfirmware för Nvidia, AMD och Intel har blivit mycket stort.

    I Kali Linux 2026.2 tas denna grafikfirmware bort från färdiga VM-avbilder. Det gör systemet lättare och snabbare att starta. För många VM-användare behövs ändå inte sådan firmware, eftersom den virtuella maskinen inte använder datorns grafikkort på samma sätt som ett system installerat direkt på hårdvaran.

    Resultatet blir mindre startfiler och snabbare uppstart.

    Nytt sätt att hantera paketkällor

    Kali Linux byter också till ett modernare format för APT-källor.

    APT är systemet som används för att installera och uppdatera program i Debian, Ubuntu, Kali och flera andra Linuxdistributioner. Paketkällorna talar om för systemet var det ska hämta program och uppdateringar.

    Tidigare låg informationen normalt i filen:

    /etc/apt/sources.list
    

    På nya Kali-installationer används i stället:

    /etc/apt/sources.list.d/kali.sources
    

    För vanliga användare märks detta troligen inte så mycket direkt. Men det är en modernisering som följer utvecklingen i Debianvärlden.

    Viktigt att starta om efter vissa uppdateringar

    Kali-utvecklarna varnar också för att vissa paket kräver omstart efter uppgradering. Det gäller bland annat polkit och xrdp.

    Polkit används för behörigheter i Linux, till exempel när grafiska program behöver administratörsrättigheter. Xrdp används för fjärrskrivbord, alltså när man ansluter till Kali på distans via Remote Desktop Protocol.

    Om dessa uppdateras utan att systemet startas om kan vissa funktioner sluta fungera korrekt. Därför är det klokt att starta om datorn efter en större Kali-uppgradering.

    Kali NetHunter – Kali i mobilen

    Kali Linux finns inte bara för vanliga datorer. Det finns också Kali NetHunter, som är en mobil version för Android-baserade enheter.

    I Kali Linux 2026.2 har NetHunter fått flera förbättringar. Appen startar snabbare, buggar har rättats och stödet för trådlösa tester har förbättrats.

    En ny funktion gäller EvilTwin-tester. Det handlar om att skapa en falsk Wi-Fi-accesspunkt för att testa hur användare och system reagerar på misstänkta nätverk. Sådana tester används i säkerhetsarbete för att förstå och minska risker.

    Stödet för fler telefoner har också byggts ut. Det gäller bland annat modeller från Google Pixel, OnePlus, Samsung, Xiaomi, Sony, LG och Fairphone.

    Hur uppgraderar man?

    Den som redan använder Kali Linux 2026.1 behöver inte installera om systemet. Det räcker att uppdatera via terminalen:

    sudo apt update && sudo apt full-upgrade
    

    Efter uppgraderingen bör systemet startas om.

    Nya installationsfiler finns för vanliga datorer, ARM-enheter, virtuella maskiner, molnplattformar, WSL och mobila plattformar.

    Sammanfattning

    Kali Linux 2026.2 är ingen revolution, men det är en viktig uppdatering. Den gör systemet modernare, snabbare och mer användbart.

    De största nyheterna är uppdaterade skrivbordsmiljöer, nio nya säkerhetsverktyg, snabbare virtuella maskiner, nytt APT-format och förbättringar i Kali NetHunter.

    För säkerhetsintresserade, tekniker och studenter är Kali Linux fortfarande en av de mest kompletta verktygslådorna för att lära sig mer om IT-säkerhet och för att testa system på ett lagligt och kontrollerat sätt.

    https://www.kali.org

    Läs mer om Kali Linux i vår wiki

    https://wiki.linux.se/Kali_Linux#Senaste_Version_%3A

    Teknisk fakta: Kali Linux 2026.2

    Distribution: Kali Linux

    Version: 2026.2

    Bas: Debian GNU/Linux

    Användningsområde: IT-säkerhet, penetrationstestning och etisk hackning

    Linux-kärna: 6.19

    Standard skrivbordsmiljö: Xfce 4.20

    Övriga skrivbordsmiljöer: GNOME 50 och KDE Plasma 6.6

    Nya verktyg: arsenal-ng, hydra-gtk, legba, oletools, penelope, shell-gpt, tailscale, tookie-osint och uro

    Paketkällor: Nytt DEB822-format via /etc/apt/sources.list.d/kali.sources

    Plattformar: 64-bit, ARM, VM, Cloud, WSL och mobila enheter

  • Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    När AI-verktyg gör det lättare att hitta säkerhetsbrister i öppen källkod ökar också trycket på de utvecklare som måste hantera rapporterna. Därför lanserar Linux Foundation initiativet Akrites, som ska samordna rapportering, åtgärder och offentliggörande av allvarliga sårbarheter i viktiga öppna projekt.

    Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    Öppen källkod är en grundpelare i dagens digitala samhälle. Den används i allt från mobiltelefoner och molntjänster till banker, myndigheter, sjukhus och artificiell intelligens. Men när så många system bygger på samma öppna komponenter blir säkerheten också en gemensam angelägenhet.

    Linux Foundation har därför lanserat Akrites, ett nytt initiativ som ska förbättra hur allvarliga säkerhetsbrister i öppen källkod rapporteras, hanteras och åtgärdas.

    Bakom satsningen finns flera stora aktörer inom teknik, AI, finans och cybersäkerhet. Bland de medverkande finns bland annat Amazon Web Services, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, Cisco, IBM, JPMorganChase, Rust Foundation och flera andra organisationer.

    AI hittar fler sårbarheter än tidigare

    En viktig bakgrund till Akrites är att AI-verktyg numera kan hjälpa säkerhetsforskare att hitta sårbarheter i kod mycket snabbare än förr. Det är i grunden positivt. Ju tidigare en brist upptäcks, desto snabbare kan den rättas till.

    Men den nya utvecklingen skapar också problem.

    Många projekt inom fri och öppen källkod drivs av små grupper eller enskilda frivilliga utvecklare. När de plötsligt får stora mängder säkerhetsrapporter kan det bli svårt att hinna kontrollera vilka rapporter som är riktiga, vilka som är dubbletter och vilka som faktiskt är allvarliga.

    Det räcker nämligen inte att bara hitta en sårbarhet. Den måste också bekräftas, bedömas, prioriteras, rättas i koden och ibland samordnas med flera leverantörer innan informationen blir offentlig. Om informationen sprids för tidigt kan angripare utnyttja bristen innan användarna hunnit uppdatera sina system.

    En gemensam säkerhetsgrupp

    Akrites är tänkt att fungera som ett samordnande lager mellan säkerhetsforskare, utvecklare, företag och organisationer. Initiativet ska bland annat skapa ett gemensamt Security Incident Response Team, alltså en grupp som kan hjälpa till vid allvarliga säkerhetsincidenter.

    Projektet ska också använda en standardiserad process för så kallad Coordinated Vulnerability Disclosure. Det betyder att information om sårbarheter hanteras på ett ansvarsfullt och samordnat sätt, så att utvecklare får möjlighet att rätta felet innan detaljerna sprids brett.

    Akrites ska arbeta med etablerade säkerhetsstandarder och verktyg, exempelvis CVE, CWE, CVSS, EPSS, SSVC och VEX. Dessa används för att beskriva, klassificera och prioritera säkerhetsbrister.

    Kan hjälpa övergivna projekt

    En särskilt intressant del av Akrites är att initiativet även kan fungera som en slags “sista utväg” för viktiga öppna projekt som saknar aktiva underhållare.

    Det är ett välkänt problem inom mjukvaruvärlden att många program och bibliotek fortsätter att användas långt efter att de ursprungliga utvecklarna slutat arbeta med dem. Trots det kan dessa komponenter finnas kvar i tusentals andra system.

    Om en allvarlig säkerhetsbrist upptäcks i ett sådant projekt kan det vara oklart vem som egentligen ska ta ansvar för att rätta felet. Där kan Akrites få en viktig roll.

    Upptäckt är bara första steget

    Säkerhet inom öppen källkod handlar inte bara om att hitta fel. Det handlar lika mycket om att ha fungerande rutiner för vad som händer efteråt.

    En sårbarhet måste analyseras. Hur allvarlig är den? Vilka system påverkas? Finns det redan ett angrepp i omlopp? Behöver ett CVE-nummer tilldelas? Ska informationen delas med leverantörer innan den blir offentlig?

    Det är just denna kedja som Akrites vill stärka.

    Om projektet fungerar som tänkt kan det minska mängden dubbla rapporter, förbättra samarbetet mellan utvecklare och företag samt göra att säkerhetsfixar når användarna snabbare.

    Ett viktigt steg för hela ekosystemet

    Öppen källkod bygger på samarbete. Men när mjukvaran används i samhällskritiska system krävs också tydliga strukturer för säkerhet och ansvar.

    Akrites kan därför bli ett viktigt komplement till andra säkerhetsinitiativ inom öppen källkod, till exempel OpenSSF och Alpha-Omega. Men framgången kommer inte bara att avgöras av vilka stora företag som står bakom projektet.

    Det avgörande blir om Akrites lyckas samarbeta med de människor som faktiskt underhåller den öppna koden. Om initiativet underlättar deras arbete, minskar belastningen och leder till snabbare säkerhetsuppdateringar kan det bli ett betydelsefullt steg framåt för hela den öppna mjukvaruvärlden.

    I en tid där AI både kan hjälpa till att hitta säkerhetsbrister och samtidigt öka mängden rapporter är behovet av samordning större än någonsin. Akrites är ett försök att skapa ordning i den nya verkligheten.

    https://www.linuxfoundation.org/press/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats

    Teknisk faktaruta: Akrites

    Namn: Akrites

    Organisation: Linux Foundation

    Syfte: Förbättra hantering, samordning och offentliggörande av säkerhetsbrister i öppen källkod.

    Fokusområde: Kritiska sårbarheter i viktiga open source-projekt.

    Bakgrund: AI-verktyg gör det möjligt att hitta fler sårbarheter snabbare, men många projekt saknar resurser för att hantera stora mängder säkerhetsrapporter.

    Arbetssätt: Samordnad sårbarhetsrapportering, verifiering, prioritering, åtgärd och ansvarsfull publicering.

    Standarder och verktyg: CVE, CWE, CVSS, EPSS, SSVC, VEX och TLP.

    Viktiga aktörer: AWS, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, IBM, Cisco, Rust Foundation och flera andra.

    Betydelse: Akrites kan minska dubbla rapporter, förbättra samarbetet med utvecklare och göra att säkerhetsfixar når användare snabbare.

  • DirtyClone: ny Linux-sårbarhet kan ge angripare root-behörighet

    Linuxvärlden har drabbats av ännu en allvarlig kärnsårbarhet. Den nya bristen, kallad DirtyClone, är nära besläktad med DirtyFrag och kan i vissa fall låta en lokal angripare få root-behörighet på sårbara system. Även om felet inte kan utnyttjas direkt på distans är risken betydande, särskilt på system med containrar eller unprivileged user namespaces aktiverade.

    När Linux-administratörer precis börjat lägga DirtyFrag bakom sig dyker nästa besläktade säkerhetsproblem upp. Den nya sårbarheten kallas DirtyClone och har fått beteckningen CVE-2026-43503.

    Det handlar om en allvarlig brist i Linux-kärnan som i vissa fall kan låta en lokal angripare höja sina rättigheter till root. Det betyder att en vanlig användare på systemet, eller någon som lyckats köra kod med låg behörighet, kan få full kontroll över maskinen.

    Inte fjärrstyrd – men ändå allvarlig

    DirtyClone kan inte utnyttjas direkt över internet på samma sätt som en fjärrsårbarhet i en webbserver. Angriparen måste redan ha någon form av lokal åtkomst till systemet.

    Det kan låta som en tröst, men i praktiken är det fortfarande allvarligt. Många attacker sker i flera steg. Först får angriparen in en fot i systemet, till exempel via ett kapat konto, en sårbar tjänst eller en container. Därefter används en lokal sårbarhet för att klättra vidare till administratörsnivå.

    DirtyClone har fått CVSS 8.8, vilket räknas som hög allvarlighetsgrad.

    Vad är det som går fel?

    För att förstå DirtyClone behöver man känna till att Linux-kärnan hanterar nätverkstrafik i små databitar. Dessa ligger i så kallade socket buffers, eller sk_buff.

    Enkelt uttryckt är det små paket med information som kärnan skickar runt internt när nätverkstrafik behandlas.

    Problemet uppstår när vissa delar av kärnan inte bevarar viktig information om hur minnet bakom dessa paket får användas. En särskild markering, som talar om att en minnesbit är delad eller kopplad till filsystemets sidcache, kan tappas bort.

    När den markeringen saknas kan senare kod i kärnan tro att minnet är säkert att skriva till, trots att det egentligen inte borde ändras direkt.

    Resultatet blir att en angripare under rätt omständigheter kan ändra data i Linux sidcache.

    Sidcache – datorns snabba minne för filer

    Linux använder sidcache för att snabba upp filåtkomst. När en fil läses från disk sparas ofta en kopia i RAM-minnet. Nästa gång filen behövs kan systemet läsa den från minnet i stället för från den långsammare disken.

    DirtyClone gör det möjligt att manipulera den här minneskopian av en fil. Det särskilt obehagliga är att angriparen kan påverka innehållet i en root-ägd och skrivskyddad fil i minnet, utan att själva filen på disken ändras.

    Det här påminner om äldre Linux-sårbarheter där skillnaden mellan “det som finns på disk” och “det som just nu finns i minnet” kunnat utnyttjas för att lura systemet.

    Koppling till nätverkskod och IPsec

    DirtyClone finns i Linux-kärnans nätverksdelar. Särskilt nämns kodvägar som rör XFRM/IPsec och hantering av fragment i socket buffers.

    IPsec används bland annat för krypterad nätverkstrafik och VPN-lösningar. XFRM är en del av Linux nätverksstack som hanterar transformering av paket, exempelvis kryptering och dekryptering.

    Sårbarheten blir extra intressant på system där unprivileged user namespaces är aktiverade. Det är en Linux-funktion som gör att vanliga användare kan skapa isolerade miljöer där de får vissa behörigheter som normalt kräver root.

    Det är praktiskt för containrar och sandboxing, men innebär också att sårbarheter i kärnan ibland blir lättare att utnyttja.

    Kan DirtyClone användas för container escape?

    Ja, i vissa scenarier kan DirtyClone eventuellt användas för att ta sig ut ur en container. Det beror på hur systemet är konfigurerat, vilka kernel-funktioner som är tillgängliga och vilka säkerhetslager som används.

    Alla Linux-system är alltså inte lika sårbara. Risken påverkas av flera faktorer:

    • vilken kärnversion som används
    • vilka distributionens patchar som är installerade
    • om unprivileged user namespaces är aktiverat
    • vilka kernel-moduler som är laddade
    • om systemet använder IPsec, RxRPC eller liknande funktioner
    • om extra säkerhet som AppArmor, SELinux eller seccomp används

    Det gör att DirtyClone inte är en enkel “alla Linux-maskiner faller direkt”-sårbarhet. Men den är tillräckligt allvarlig för att tas på största allvar.

    DirtyClone, DirtyFrag och Fragnesia – varför så många namn?

    Namngivningen kan vara förvirrande.

    Sårbarheten är registrerad som CVE-2026-43503. JFrog beskriver exploitvarianten som DirtyClone, medan Ubuntu även använder namnet Fragnesia i sin hantering av problemet.

    Det är alltså inte nödvändigtvis tre helt separata sårbarheter, utan olika namn och perspektiv på samma eller närliggande problemområde i Linux-kärnan.

    DirtyClone hör dessutom till samma familj av buggar som DirtyFrag, men utnyttjar en annan väg genom kärnans nätverkskod. Det visar att tidigare fixar inte helt stängde alla möjliga angreppsvägar.

    Ubuntu, Debian och Red Hat har uppdateringar

    Ubuntu har släppt uppdateringar för flera stödda versioner av sin generiska Linux-kärna.

    För standardkärnan gäller följande fixade versioner:

    Ubuntu-versionFixad kernelversion
    Ubuntu 26.04 LTS7.0.0-22.22
    Ubuntu 25.106.17.0-35.35
    Ubuntu 24.04 LTS6.8.0-124.124
    Ubuntu 22.04 LTS5.15.0-181.191

    Den som kör molnvarianter eller specialkärnor bör kontrollera just sin kernelvariant. Det gäller till exempel AWS, Azure, GCP, Raspberry Pi, realtidskärnor och OEM-kärnor.

    Debian följer också sårbarheten och listar uppdaterade paket för flera grenar, däribland Bullseye, Bookworm och Trixie.

    Red Hat hanterar problemet som en del av DirtyFrag-familjen och beskriver det som lokala sårbarheter i nätverkssubsystemet som kan ge en angripare root-behörighet.

    Vad ska man göra?

    Det viktigaste rådet är enkelt:

    Uppdatera kärnan och starta om datorn.

    Att bara installera kernelpaketet räcker inte. Linux fortsätter nämligen att köra den gamla kärnan tills systemet startas om. Först efter omstart används den uppdaterade och korrigerade kärnan.

    På Ubuntu kan man kontrollera aktuell kärna med:

    uname -r
    

    Efter uppdatering och omstart bör kommandot visa en kernelversion som innehåller fixen.

    Tillfälliga skyddsåtgärder

    Om man inte kan uppdatera direkt finns vissa tillfälliga skydd. Dessa bör dock användas med försiktighet eftersom de kan påverka legitima funktioner.

    Exempel på möjliga åtgärder är att:

    • stänga av unprivileged user namespaces
    • blockera kernelmoduler som esp4, esp6 och rxrpc
    • begränsa användares möjlighet att skapa nätverksrelaterade namespaces
    • förstärka containerprofiler med seccomp, AppArmor eller SELinux

    Men dessa lösningar är inte ersättning för en riktig kerneluppdatering. De är bara tillfälliga hinder.

    Slutsats

    DirtyClone är ännu en påminnelse om att Linux-kärnan är ett mycket komplext system där små detaljer i minneshantering kan få stora säkerhetskonsekvenser.

    Sårbarheten kräver lokal åtkomst, men när den väl kan utnyttjas är konsekvensen allvarlig: en vanlig användare kan i vissa fall bli root.

    För vanliga användare och administratörer är rådet tydligt: installera de senaste säkerhetsuppdateringarna från din Linuxdistribution och starta om systemet.

    Det är först efter omstarten som skyddet faktiskt börjar gälla.

    https://security-tracker.debian.org/tracker/CVE-2026-43503

    https://bugzilla.redhat.com/show_bug.cgi?id=2480902

    Teknisk faktaruta: DirtyClone

    CVE: CVE-2026-43503

    Namn: DirtyClone / Fragnesia

    Allvarlighetsgrad: Hög

    CVSS: 8.8

    Typ: Lokal privilegiehöjning i Linux-kärnan

    Påverkan: Kan ge angripare root-behörighet

    Fjärrutnyttjande: Nej, kräver lokal åtkomst eller möjlighet att köra kod

    Berörd del: Nätverkskod, socket buffer-fragment, XFRM/IPsec

    Extra risk: System med unprivileged user namespaces aktiverade


    Rekommenderad åtgärd:

    Installera senaste kerneluppdateringen från din Linuxdistribution och starta om systemet.

    Viktigt: En kerneluppdatering börjar inte skydda systemet förrän datorn har startats om.

  • Linux-bugg kan ge root-rättigheter och container-utbrytning

    En allvarlig sårbarhet i Linux-kärnans brandväggskod kan låta en vanlig lokal användare få root-rättigheter och i vissa fall bryta sig ut ur en container. Felet, CVE-2026-23111, är redan rättat i Linux-kärnan, men fungerande exploitkod finns nu offentligt dokumenterad. Administratörer bör därför uppdatera kernelpaketen och starta om berörda system snarast.

    Säkerhetsforskare har publicerat en detaljerad och fungerande exploit för en allvarlig sårbarhet i Linux-kärnan. Felet gör det möjligt för en lokal användare utan administratörsrättigheter att höja sina behörigheter till root och i vissa fall bryta sig ut ur en container.

    Sårbarheten har fått beteckningen CVE-2026-23111 och finns i kärnans kod för nf_tables, den moderna delen av Linux brandväggssystem som används av nftables. Felet är en så kallad use-after-free, där minne används efter att det redan har frigjorts. Den typen av buggar kan i värsta fall utnyttjas för att ta kontroll över körningen i kärnan.

    Problemet åtgärdades i Linux-kärnans huvudkod den 5 februari 2026. Trots det har säkerhetsforskare nu publicerat tekniska genomgångar som visar exakt hur sårbarheten kan utnyttjas. Exodus Intelligence publicerade sin detaljerade analys den 8 juni 2026, men redan i april släppte FuzzingLabs en egen reproduktion av felet.

    Enligt beskrivningarna berodde sårbarheten på ett mycket litet programmeringsfel: en felvänd kontroll i nf_tables. Den färdiga korrigeringen i upstream-kärnan bestod i praktiken av en enda rad kod.

    Ubuntu klassar sårbarheten som CVSS 7.8, vilket motsvarar hög allvarlighetsgrad.

    Kräver lokal åtkomst

    Sårbarheten kan inte utnyttjas direkt över nätet. En angripare måste redan ha någon form av lokal åtkomst till systemet, till exempel genom ett kapat användarkonto, ett sårbart programkonto eller en komprometterad container.

    Det som gör buggen särskilt farlig är kombinationen av nf_tables och unprivileged user namespaces. User namespaces är en Linux-funktion som gör att en vanlig användare kan agera som root inne i en isolerad miljö. Funktionen används bland annat av containers och sandbox-lösningar, men har också återkommande varit en väg in till känslig kärnkod.

    På många Linux-installationer, särskilt skrivbordssystem och vissa servermiljöer, är den här kombinationen aktiverad som standard.

    Fungerande root-exploits finns publicerade

    Exodus-forskaren Oliver Sieber, som hittade buggen redan i början av 2025, har visat hur sårbarheten kan kedjas till full lokal root-åtkomst. Exploiten utlöser use-after-free-felet, tar sig förbi flera av Linux-kärnans inbyggda minnesskydd och kapar därefter körningen för att ge angriparen root-rättigheter.

    Exploiten demonstrerades på bland annat:

    • Debian Bookworm
    • Debian Trixie
    • Ubuntu 22.04 LTS
    • Ubuntu 24.04 LTS

    FuzzingLabs har dessutom reproducerat buggen på RHEL 10 inför Pwn2Own Berlin 2026 och byggt en egen root-exploit med en annan teknisk metod.

    Det innebär att tekniken nu är dokumenterad för flera av de största Linux-familjerna: Debian, Ubuntu och Red Hat-baserade system.

    Alla sårbara kärnor bör uppdateras

    Eftersom felet finns i Linux huvudkod kan alla distributioner som har levererat en sårbar kärna vara påverkade, förutsatt att nf_tables och unprivileged user namespaces är aktiverade.

    Det viktigaste rådet är enkelt:

    Uppdatera kärnan och starta om systemet.

    En kerneluppdatering skyddar inte fullt ut förrän datorn eller servern faktiskt har startats om och kör den nya kärnan.

    Ubuntu har enligt uppgifterna rättningar för 22.04 LTS, 24.04 LTS och 25.10. Debian har rättat felet i Bookworm och Trixie, samt tagit fram en 6.1-backport för Bullseye LTS. Även Red Hat, SUSE och Amazon Linux följer sårbarheten i sina respektive säkerhetskanaler.

    Eftersom versionsnumren varierar mellan distributioner bör administratörer kontrollera den egna distributionens säkerhetsmeddelanden och se till att rätt kernelpaket är installerat.

    Tillfällig skyddsåtgärd: begränsa user namespaces

    För system där uppdatering inte kan göras omedelbart kan det vara klokt att se över om vanliga användare verkligen behöver kunna skapa egna user namespaces.

    Att begränsa eller stänga av unprivileged user namespaces kan stoppa just den här angreppsvägen i många miljöer. Det kan dock påverka program som använder sandboxning eller containers, till exempel vissa webbläsare, Flatpak, rootless Podman eller andra isoleringslösningar.

    Det är därför en skyddsåtgärd som bör testas innan den införs brett.

    Del av en större våg av lokala Linux-sårbarheter

    CVE-2026-23111 kommer samtidigt som flera andra lokala root-sårbarheter i Linux har uppmärksammats. Under den senaste tiden har säkerhetsforskare lyft fram bland annat Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt och en äldre ptrace-sårbarhet som kan läsa /etc/shadow och köra kommandon som root.

    Detaljerna skiljer sig åt, men mönstret är detsamma: en angripare som först får en begränsad lokal åtkomst kan i många fall ta steget vidare till full kontroll över systemet.

    Säkerhetsföretaget Synacktiv har i en genomgång kopplat ökningen av lokala Linux-exploits till bland annat AI-stödd sårbarhetsforskning och snabbare analys av säkerhetspatchar. När en patch väl publiceras kan angripare jämföra ändringen med äldre kod och snabbare förstå hur felet kan utnyttjas.

    Inga kända attacker i det vilda

    Det finns i nuläget inga offentliga rapporter om att CVE-2026-23111 används aktivt i attacker, och ingen känd hotaktör har kopplats till sårbarheten.

    Men exploitkod har varit offentlig sedan april, och en ännu mer detaljerad teknisk genomgång publicerades i juni. Det innebär att organisationer inte bör vänta med att uppdatera.

    För administratörer är prioriteringen tydlig: börja med system där okända eller mindre betrodda användare kan köra kod, där containers används, eller där tjänster kan ge en angripare ett första lokalt fotfäste.

    En lokal sårbarhet är inte ofarlig bara för att den saknar fjärrangrepp. I praktiken är just den här typen av buggar ofta nästa steg efter ett intrång.

    https://thehackernews.com/2026/06/one-character-linux-kernel-flaw-enables.html

    Fakta: CVE-2026-23111

    Sårbarhet: CVE-2026-23111

    Typ: Use-after-free i Linux-kärnans nf_tables-kod

    Påverkar: Linux-system där sårbar kärna, nf_tables och unprivileged user namespaces används

    Risk: Lokal användare kan höja sina rättigheter till root och i vissa fall bryta sig ut ur en container

    Allvarlighet: Ubuntu klassar felet som CVSS 7.8, vilket motsvarar hög allvarlighetsgrad

    Patchad upstream: 5 februari 2026

    Publika exploits: Tekniska genomgångar och fungerande exploits har publicerats av bland annat Exodus Intelligence och FuzzingLabs

    Rekommendation: Uppdatera kärnan och starta om systemet. För system som inte kan uppdateras direkt kan det vara aktuellt att begränsa unprivileged user namespaces, men detta bör testas eftersom det kan påverka containers, Flatpak, rootless Podman och vissa sandboxade program.

  • HTTP/2 Bomb – ny attack kan få webbservrar att krokna på sekunder

    En ny attack mot HTTP/2, kallad HTTP/2 Bomb, visar hur moderna webbprotokoll kan utnyttjas på oväntade sätt. Genom att missbruka komprimering och flödeskontroll kan en angripare få webbservrar som Nginx, Apache, IIS, Envoy och Pingora att snabbt förbruka stora mängder minne – i vissa fall på bara några sekunder.

    En ny typ av överbelastningsattack mot HTTP/2 visar hur en till synes effektiv webbteknik kan vändas mot de servrar den är tänkt att hjälpa. Attacken kallas HTTP/2 Bomb och kan i värsta fall få stora webbservrar att snabbt förbruka enorma mängder minne.

    Det handlar inte om ett klassiskt angrepp där angriparen skickar enorma datamängder mot en server. I stället utnyttjas funktioner som redan finns i HTTP/2-protokollet. Med relativt små mängder trafik kan en angripare få servern att lägga beslag på stora mängder RAM-minne. När minnet tar slut börjar tjänsten svara långsamt, krascha eller sluta svara helt.

    Vad är HTTP/2?

    HTTP är protokollet som webbläsare och webbservrar använder för att prata med varandra. När du öppnar en webbsida skickar webbläsaren förfrågningar till servern, som sedan svarar med HTML, bilder, skript, stilmallar och annan data.

    HTTP/2 är en modernare version av HTTP. Den infördes för att göra webben snabbare och mer effektiv. Bland annat kan flera förfrågningar skickas över samma anslutning, och sidans olika delar kan hanteras mer parallellt än tidigare.

    För vanliga användare betyder HTTP/2 oftast snabbare webbplatser. För serveradministratörer betyder det bättre prestanda – men också en mer komplicerad teknikstack.

    Så fungerar HTTP/2 Bomb

    HTTP/2 Bomb bygger på två delar som tillsammans blir farliga.

    Den första delen handlar om HPACK, den metod som HTTP/2 använder för att komprimera HTTP-huvuden. Huvuden är metadata som skickas med varje webbförfrågan, exempelvis information om webbläsare, cookies, språk och vilken sida som efterfrågas.

    Komprimering är normalt en bra sak. Den gör trafiken mindre och snabbare. Men i det här fallet kan angriparen skicka små komprimerade referenser som får servern att skapa betydligt större interna datastrukturer i minnet.

    Den andra delen handlar om flödeskontroll i HTTP/2. Flödeskontroll används för att styra hur snabbt data får skickas mellan klient och server. Attacken utnyttjar detta för att få servern att hålla kvar svar och minnesobjekt längre än normalt.

    Resultatet blir att servern tvingas reservera minne, men inte får möjlighet att frigöra det i tid. Attacken fungerar därför ungefär som att någon fyller ett lager med paket, men samtidigt blockerar utgången så att inget kan skickas vidare.

    Varför är attacken allvarlig?

    Det allvarliga är att attacken inte kräver extrem bandbredd. En angripare behöver inte nödvändigtvis ha ett stort botnät eller skicka enorma mängder trafik. Poängen är i stället att få servern att göra mycket mer arbete än klienten själv gör.

    I tester har forskarna visat att flera välkända webbservrar och HTTP/2-implementationer kan pressas till mycket hög minnesanvändning på kort tid. Bland de berörda nämns Nginx, Apache HTTP Server, Microsoft IIS, Envoy och Cloudflare Pingora.

    Det gör attacken särskilt oroande för publika webbplatser, API, lastbalanserare och reverse proxies som exponerar HTTP/2 direkt mot internet.

    Problemet ligger inte bara i stora headers

    Många skydd mot den här typen av attacker bygger på att begränsa hur stora HTTP-huvuden får vara. Det är logiskt: om en klient skickar för mycket metadata kan servern avvisa förfrågan.

    Men HTTP/2 Bomb visar att det inte alltid räcker.

    Attacken kan använda många små headerfält i stället för ett fåtal stora. Varje litet fält kan verka ofarligt, men tillsammans skapar de mycket intern hantering i servern. Minnesförbrukningen kommer alltså inte bara från den faktiska datamängden, utan även från serverns egna objekt, tabeller och bokföring.

    Särskilt cookie-hantering har pekats ut som en faktor i vissa implementationer. HTTP/2 tillåter att Cookie-huvuden delas upp i flera fält. Om dessa inte räknas korrekt mot serverns gränser kan angriparen skapa väldigt många interna headerobjekt utan att slå i de skydd som administratören tror finns på plats.

    Apache och Nginx har fått åtgärder

    För Apache HTTP Server spåras problemet som CVE-2026-49975. En åtgärd finns i mod_http2 2.0.41, där cookie-huvuden räknas mot gränsen för antal tillåtna requestfält. För miljöer som inte kan uppgradera direkt rekommenderas att HTTP/2 tillfälligt stängs av med:

    För Nginx har problemet åtgärdats i Nginx 1.29.8 genom en ny begränsning för maximalt antal headers. Den nya direktivet max_headers har ett standardvärde på 1000. För system där uppgradering inte är möjlig är en tillfällig åtgärd att stänga av HTTP/2:

    Det är viktigt att se detta som tillfälliga skydd. Den långsiktiga lösningen är att uppdatera berörda komponenter när säkerhetsfixar finns tillgängliga.

    Alla plattformar hade inte färdiga patchar direkt

    Vid den första publiceringen fanns inte bekräftade patchar för alla berörda system. För IIS, Envoy och Cloudflare Pingora var läget mer oklart i samband med offentliggörandet. Senare uppgifter pekade på att Envoy hade släppt patchar, men att validering fortfarande pågick.

    Det här visar ett återkommande problem i modern webbinfrastruktur: många tjänster är beroende av flera lager. En webbplats kan till exempel använda en CDN-tjänst, en reverse proxy, en lastbalanserare, en applikationsserver och ett internt API-lager. Alla dessa kan hantera HTTP/2 på olika sätt.

    Därför räcker det inte alltid att bara uppdatera “webbservern”. Administratören måste förstå var HTTP/2 faktiskt termineras och vilka komponenter som tar emot trafiken direkt från internet.

    Vad bör administratörer göra?

    Den som driver publika HTTP/2-tjänster bör kontrollera om Nginx, Apache, IIS, Envoy, Pingora eller andra HTTP/2-komponenter används i kedjan.

    Viktigast är att:

    • uppdatera till versioner där tillgängliga fixar finns,
    • införa tydliga gränser för antal headers per förfrågan,
    • kontrollera att Cookie-huvuden räknas korrekt,
    • övervaka ovanlig minnesanvändning,
    • och tillfälligt stänga av HTTP/2 om ingen säker fix finns tillgänglig.

    Att stänga av HTTP/2 kan påverka prestandan, men är i många fall bättre än att låta en publik tjänst vara sårbar för en attack som kan tömma serverns minne på kort tid.

    En påminnelse om att snabbare inte alltid betyder säkrare

    HTTP/2 Bomb är ett tydligt exempel på att optimeringar i protokoll kan få oväntade säkerhetskonsekvenser. Funktioner som komprimering, multiplexning och flödeskontroll är byggda för att göra webben snabbare och mer effektiv.

    Men när samma funktioner kombineras på fel sätt kan de skapa asymmetri: klienten skickar lite data, medan servern tvingas reservera mycket minne och hålla kvar resurser länge.

    Det är just den asymmetrin som gör HTTP/2 Bomb farlig. Attacken handlar inte om att skrika högst, utan om att få servern att arbeta ihjäl sig i tysthet.

    För vanliga användare är detta inget man själv kan skydda sig mot i webbläsaren. För driftansvariga är budskapet däremot tydligt: kontrollera HTTP/2-konfigurationen, uppdatera berörda komponenter och se till att gränser för headers verkligen fungerar i praktiken.

    https://www.openwall.com/lists/oss-security/2026/06/03/3

    Faktaruta: HTTP/2 Bomb

    Typ av hot: Denial-of-service-attack, DoS.

    Berörda tekniker: HTTP/2, HPACK, flödeskontroll och hantering av HTTP-headers.

    Berörda system: Nginx, Apache HTTP Server, Microsoft IIS, Envoy och Cloudflare Pingora.

    Så fungerar attacken: Angriparen skickar små HTTP/2-förfrågningar som får servern att skapa och behålla stora mängder data i minnet.

    Konsekvens: Servern kan snabbt få slut på RAM-minne och börja svara långsamt, krascha eller sluta svara helt.

    Viktiga åtgärder: Uppdatera berörda komponenter, sätt tydliga gränser för antal headers och stäng tillfälligt av HTTP/2 om ingen säker fix finns.

    Apache: Problemet spåras som CVE-2026-49975. Åtgärd finns i mod_http2 2.0.41.

    Nginx: Åtgärdat i Nginx 1.29.8 med direktivet max_headers.

    Rekommendation: Publika HTTP/2-tjänster bör kontrolleras och uppdateras så snart som möjligt.

  • IBM och Red Hat satsar 5 miljarder dollar på säkerhet i öppen källkod

    IBM och Red Hat lanserar Project Lightwell, en satsning på 5 miljarder dollar för att stärka säkerheten i öppen källkod. Genom att kombinera AI-assisterad kodanalys med tusentals ingenjörer vill företagen skapa ett betrott säkerhetslager för företag som är beroende av Linux, Kubernetes, Java, AI-ramverk och andra centrala open source-komponenter.

    IBM och Red Hat lanserar Project Lightwell, ett omfattande initiativ på 5 miljarder dollar som ska stärka säkerheten i den öppna källkod som moderna företag, molnplattformar och AI-system bygger på. Projektet beskrivs som en ny typ av företagsinriktad säkerhetsplattform där AI-assisterad analys kombineras med mänsklig expertis från över 20 000 ingenjörer inom IBM och Red Hat.

    Bakgrunden är att öppen källkod i dag är en grundläggande del av nästan all modern IT-infrastruktur. Operativsystem, molntjänster, utvecklingsverktyg, databaser, AI-ramverk och containerplattformar bygger ofta på komponenter som utvecklas öppet och används av tusentals organisationer världen över. Samtidigt har hotbilden förändrats. Sårbarheter kan upptäckas snabbare än tidigare, inte minst med hjälp av AI, och angripare kan utnyttja brister i mjukvarukedjan innan många organisationer hunnit reagera.

    Project Lightwell ska fungera som ett slags betrott säkerhetslager för företag som är beroende av öppen källkod. IBM beskriver initiativet som en ”trusted enterprise clearinghouse”, alltså en samordnande plattform där sårbarheter kan identifieras, analyseras, valideras, prioriteras och åtgärdas i stor skala. Målet är inte bara att hitta säkerhetsproblem, utan också att testa och kvalitetssäkra patchar innan de används i produktionsmiljöer.

    En central del av satsningen är AI-assisterad ingenjörskonst. AI ska användas för att analysera kod, prioritera risker, hjälpa till med granskning och stödja utvecklingen av korrigeringar. Men IBM och Red Hat betonar samtidigt att arbetet inte enbart bygger på automatisering. Projektet ska backas upp av ett mycket stort team av ingenjörer som kan granska, testa och samordna arbetet med både företagskunder och öppna utvecklarprojekt.

    Project Lightwell riktar sig främst till stora företag och organisationer snarare än till den breda open source-gemenskapen. IBM planerar att erbjuda tjänsten genom kommersiella abonnemang, där kunder får tillgång till validerade säkerhetsfixar, livscykelhantering och produktionsklassad testning. För företag inom exempelvis finans, offentlig sektor, molndrift och AI-utveckling kan detta bli ett sätt att minska risken i sina beroenden av öppen källkod.

    Teknikområdet som omfattas är brett. IBM och Red Hat nämner bland annat Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra, AI-ramverk, språkverktyg, oberoende bibliotek och plattformar för dataströmning. Det innebär att Project Lightwell inte bara handlar om Red Hats egna produkter, utan även om komponenter utanför bolagets traditionella produktgränser.

    Clearinghouse-modellen bygger på tre huvudsakliga funktioner. För det första ska företag kunna rapportera känsliga sårbarheter i den mjukvara de använder. För det andra ska Project Lightwell kunna erbjuda validerade patchar för både Red Hat-relaterad kod och fristående open source-komponenter. För det tredje ska IBM och Red Hat samordna ansvarsfull rapportering uppströms, så att korrigeringar också kan komma de öppna projekten till del.

    Det är en viktig balansgång. Öppen källkod bygger på samarbete, transparens och frivilliga eller företagsstödda underhållare. IBM och Red Hat framhåller därför att Project Lightwell inte ska ersätta befintliga säkerhetsprocesser eller de utvecklare som redan underhåller projekten. I stället presenteras satsningen som ett extra lager för samordning, validering och företagsanpassad hantering av säkerhetsproblem.

    För Red Hat ligger initiativet nära bolagets etablerade affärsmodell. Red Hat har länge byggt sin verksamhet på att paketera, underhålla, testa och ge support för öppen källkod i företagsmiljöer. Skillnaden med Project Lightwell är att samma typ av ingenjörsprocesser nu ska kunna tillämpas på ett större ekosystem av open source-komponenter, även sådana som inte ingår direkt i Red Hats egna plattformar.

    Projektet testas redan tillsammans med tidiga användare inom finanssektorn. Bland de organisationer som nämns finns Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa och Wells Fargo. Erfarenheterna från dessa piloter ska enligt IBM användas för att förbättra hur sårbarheter identifieras, valideras och åtgärdas i stor skala.

    Initiativet visar också hur säkerheten kring öppen källkod håller på att bli en strategisk fråga för storföretag. Tidigare har många organisationer förlitat sig på att enskilda projekt, distributioner eller leverantörer hanterar säkerhetsuppdateringar. Med allt mer komplexa beroendekedjor, AI-genererad kod och snabbare sårbarhetsforskning räcker det inte alltid med traditionella processer.

    Project Lightwell kan därför ses som ett försök att bygga en mer industriell modell för säkerhet i öppen källkod. Genom att kombinera AI, storskalig ingenjörskapacitet och samordning med upstream-projekt vill IBM och Red Hat skapa ett system där företag snabbare kan få tillgång till testade och betrodda säkerhetsfixar.

    Samtidigt väcker modellen frågor. Om säkerhetsfixar och validering erbjuds genom kommersiella abonnemang kan det skapa en tydligare uppdelning mellan företagsanpassad open source-säkerhet och den bredare öppna gemenskapens resurser. Hur IBM och Red Hat hanterar balansen mellan kommersiell nytta och bidrag tillbaka till öppna projekt blir därför avgörande för hur Project Lightwell tas emot.

    Klart är att säkerhet i mjukvarans leveranskedja har blivit en av de stora frågorna för hela IT-branschen. När Linux, Kubernetes, Java-bibliotek, AI-ramverk och molnkomponenter utgör grunden för samhällsviktig infrastruktur blir frågan inte längre om öppen källkod används, utan hur den säkras, testas och underhålls över tid.

    Med Project Lightwell vill IBM och Red Hat positionera sig som en central aktör i den utvecklingen. Om satsningen lyckas kan den bli ett viktigt steg mot mer strukturerad, AI-assisterad och företagsanpassad säkerhet för den öppna källkod som stora delar av den digitala världen redan är beroende av.

    https://newsroom.ibm.com/2026-05-28-ibm-and-red-hat-commit-5-billion-to-redefine-the-future-of-open-source-in-the-ai-era

    Fakta: Project Lightwell

    Vad är det?
    Project Lightwell är ett initiativ från IBM och Red Hat för att stärka säkerheten i öppen källkod som används i företag, molnplattformar och AI-system.

    Budget:
    5 miljarder dollar.

    Syfte:
    Att identifiera, analysera, validera och åtgärda sårbarheter i open source-komponenter i stor skala.

    Teknik:
    AI-assisterad kodanalys kombineras med arbete från IBM:s och Red Hats ingenjörer.

    Omfattar bland annat:
    Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra, AI-ramverk, språkverktyg och fristående bibliotek.

    Målgrupp:
    Främst stora företag och organisationer som är beroende av öppen källkod i produktion.

    Viktigt att notera:
    Project Lightwell är inte tänkt att ersätta öppna utvecklarprojekt eller befintliga säkerhetsprocesser, utan fungera som ett extra lager för samordning, testning och validering.

  • WireGuard Easy 15.3: enklare och säkrare kontroll över vem som får nå vad i VPN-nätet

    WireGuard Easy 15.3 gör det enklare att driva en egen VPN-server med bättre kontroll över vilka resurser olika klienter får nå. Den stora nyheten är serverbaserad kontroll av Allowed IPs, vilket innebär att åtkomstregler kan genomdrivas på serversidan i stället för att enbart bygga på klientens konfiguration. Uppdateringen innehåller också förbättrad QR-kodshantering, bättre stöd för AmneziaWG 2.0, fler översättningar och en moderniserad teknisk grund med Node.js 24.

    WireGuard har blivit ett populärt val för den som vill bygga en snabb, modern och självhostad VPN-lösning. Men även om WireGuard är tekniskt elegant kan administrationen vara knepig för den som vill hantera många användare, klienter och åtkomsträttigheter. Där kommer WireGuard Easy in i bilden – ett webbaserat verktyg som gör det enklare att installera, konfigurera och administrera en egen WireGuard-server.

    Med version WireGuard Easy 15.3 får projektet en viktig nyhet: servern kan nu själv kontrollera vilka IP-adresser och nätverk en klient faktiskt får nå. Det låter kanske tekniskt, men i praktiken handlar det om något mycket enkelt: bättre kontroll över vem som får komma åt vad.

    Allowed IPs flyttar från klientens goda vilja till serverns kontroll

    I WireGuard används inställningen Allowed IPs för att avgöra vilken trafik som ska gå genom VPN-tunneln och vilka nät som en viss klient får hantera. Traditionellt ligger mycket av detta i klientens konfiguration. Det fungerar bra i många enkla installationer, men det bygger delvis på att klienten följer de regler som administratören har tänkt sig.

    I WireGuard Easy 15.3 införs därför server-side Allowed IP enforcement. Det betyder att reglerna kan kontrolleras på serversidan med hjälp av brandväggsfiltrering. Om en klient bara ska få nå exempelvis ett internt system, en viss server eller ett begränsat nätverk, kan servern nu hjälpa till att se till att klienten inte kommer längre än så.

    Det är särskilt värdefullt i miljöer där olika användare ska ha olika behörighet. En tekniker kanske behöver nå hela driftmiljön, medan en extern konsult bara ska nå en enda tjänst. Med serverbaserad filtrering blir det enklare att skapa en mer uppdelad och säker VPN-lösning.

    En viktig förbättring för självhostade VPN-miljöer

    Många använder WireGuard Easy i hemmalabb, småföretag, föreningar eller mindre servermiljöer. I sådana sammanhang vill man ofta ha något som är enkelt nog att administrera via webbläsaren, men ändå tillräckligt säkert för att användas på riktigt.

    Den nya brandväggsfunktionen gör att WireGuard Easy tar ett steg från att bara vara ett bekvämt administrationsgränssnitt till att också bli ett starkare verktyg för åtkomstkontroll. Det gör det lättare att arbeta enligt principen minsta möjliga behörighet: varje klient får bara tillgång till det den faktiskt behöver.

    För den som driver en egen VPN-server kan detta minska risken för att en felkonfigurerad eller manipulerad klient får bredare åtkomst än tänkt.

    Bättre hantering av QR-koder

    WireGuard-klienter konfigureras ofta genom att man skannar en QR-kod med mobilen. Det är smidigt, men det ställer krav på att QR-koderna är enkla att visa, kopiera och spara.

    I WireGuard Easy 15.3 har QR-kodshanteringen förbättrats. Kommandoradsverktyget kan nu visa en QR-kod direkt, och i webbgränssnittet går det att både kopiera och ladda ner QR-koder som PNG-bilder.

    Det gör utrullningen av nya klienter enklare, särskilt när administratören behöver hjälpa användare på distans eller dokumentera konfigurationer på ett mer organiserat sätt.

    Förbättrat stöd för AmneziaWG 2.0

    Version 15.3 innehåller även förbättringar för AmneziaWG 2.0, bland annat stöd för H1–H4-ranges. AmneziaWG är en WireGuard-relaterad teknik som används i vissa sammanhang där man vill göra VPN-trafik svårare att identifiera eller blockera.

    För vanliga användare är detta kanske inte den mest synliga nyheten, men för administratörer som arbetar i mer begränsade nätmiljöer kan förbättrat AmneziaWG-stöd vara en viktig detalj.

    Hooks blir enklare att arbeta med

    WireGuard Easy har också ändrat hur så kallade hooks hanteras i gränssnittet. Hooks är kommandon som kan köras vid olika händelser, exempelvis när en klient ansluter eller när en tunnel startas.

    Tidigare kunde längre eller flerradiga kommandon vara svårare att hantera. I version 15.3 har dessa fält gjorts om till textområden, vilket gör det enklare att lägga in mer avancerade kommandon direkt i webbgränssnittet.

    Det är en liten förändring på ytan, men en praktisk förbättring för den som automatiserar uppgifter runt sin VPN-server.

    Mobilgränssnitt, översättningar och underhåll

    Utöver de större nyheterna innehåller WireGuard Easy 15.3 flera mindre förbättringar. Mobilgränssnittet har justerats, ett problem med felmeddelanden när en avstängd klient aktiverades har rättats, och Prometheus-mätvärden avslutas nu korrekt med en radbrytning.

    Projektet har även fått många uppdaterade översättningar, bland annat till bulgariska, tjeckiska, galiciska, vietnamesiska, nederländska, ryska, spanska, franska, tyska, kinesiska, turkiska, polska och ukrainska.

    Flera språk anges nu också ha fullständig översättningstäckning, däribland engelska, tyska, franska, nederländska, polska, ryska, turkiska, ukrainska, vietnamesiska och kinesiska varianter.

    På den tekniska sidan har projektets Node.js-bas uppdaterats till Node 24 “Krypton”, tillsammans med olika beroendeuppdateringar och interna underhållsändringar.

    En uppdatering med fokus på kontroll

    WireGuard Easy 15.3 är inte bara en putsning av gränssnittet. Den viktigaste nyheten – serverbaserad kontroll av Allowed IPs – gör att administratörer får bättre möjlighet att styra klienternas åtkomst på riktigt.

    För hemmabruk kan det innebära att familjens olika enheter får olika åtkomst. För småföretag kan det betyda att konsulter, anställda och servrar kan separeras tydligare. Och för den som driver en självhostad VPN-lösning blir det ett steg mot en mer robust och professionell nätverksmiljö.

    WireGuard Easy fortsätter därmed att fylla en viktig roll: att göra WireGuard enklare att använda, utan att helt ta bort den tekniska kontroll som gör WireGuard så attraktivt från början.

    https://github.com/wg-easy/wg-easy/releases/tag/v15.3.0

    Teknisk faktaruta: WireGuard Easy 15.3

    Program: WireGuard Easy

    Version: 15.3

    Typ: Webbaserat administrationsverktyg för självhostad WireGuard VPN

    Viktigaste nyhet: Serverbaserad kontroll av Allowed IPs med brandväggsfiltrering

    Säkerhetsförbättring: Administratörer kan begränsa vilka nätverk och servrar en VPN-klient får nå direkt från serversidan.

    QR-koder: Förbättrad hantering med möjlighet att visa QR-kod via CLI samt kopiera och ladda ner QR-koder som PNG i webbgränssnittet.

    AmneziaWG: Förbättrat stöd för AmneziaWG 2.0, inklusive H1–H4-ranges.

    Gränssnitt: Förbättrat mobilgränssnitt och enklare hantering av längre hook-kommandon via textområden.

    Teknisk grund: Uppdaterad till Node.js 24 “Krypton”.

    Passar för: Hemmalabb, småföretag, föreningar och administratörer som vill driva en egen VPN-server med tydligare åtkomstkontroll.




  • När Linux sätter gränser för vad som är en säkerhetsbugg

    När antalet AI-genererade sårbarhetsrapporter ökar vill Linuxprojektet dra en tydligare gräns mellan vanliga buggar och verkliga säkerhetshål. Linus Torvalds har nu slagit ihop ny dokumentation som förklarar när ett fel i Linuxkärnan ska behandlas som en säkerhetsbugg, hur rapporter bör skickas in och varför spekulativa AI-fynd inte får belasta säkerhetsteamet i onödan. Resultatet är en mer praktisk hotmodell för Linux – och ett försök att skilja allvarliga angreppsvägar från brus, teorier och dåligt testade rapporter.

    Linuxkärnan är ett av världens viktigaste mjukvaruprojekt. Den används i allt från mobiltelefoner och servrar till routrar, bilar, molntjänster och superdatorer. Därför är frågan om säkerhetsbuggar i Linux inte bara en teknisk detalj för utvecklare, utan något som i förlängningen påverkar stora delar av det digitala samhället.

    Nu har Linus Torvalds slagit ihop ny dokumentation i Linuxkärnan som tydligare förklarar vad som faktiskt räknas som en säkerhetsbugg, hur sådana buggar bör rapporteras och hur utvecklare ska hantera rapporter som tagits fram med hjälp av AI. Dokumentationen ingår i ändringarna för docs-7.1-fixes och bygger bland annat på arbete av Willy Tarreau, känd från HAProxy och underhåll av stabila Linuxkärnor.

    Alla buggar är inte säkerhetshål

    En central poäng i den nya dokumentationen är att inte alla fel i kärnan ska betraktas som säkerhetshål. Linuxprojektet vill i första hand att vanliga buggar ska hanteras öppet, på publika e-postlistor och i den normala utvecklingsprocessen.

    Det finns en praktisk orsak till detta. När fler utvecklare kan läsa, granska och testa en lösning ökar chansen att felet rättas på ett bra sätt. Om en bugg däremot behandlas bakom stängda dörrar av en liten grupp personer finns större risk att viktiga användningsfall missas eller att lösningen inte blir tillräckligt testad.

    Den privata säkerhetslistan är därför tänkt för särskilt allvarliga fall: buggar som är lätta att utnyttja, påverkar många användare och ger en angripare rättigheter som denne inte borde ha på ett korrekt konfigurerat produktionssystem.

    Med andra ord: ett fel blir inte automatiskt ett säkerhetshål bara för att det kan krascha något eller ser farligt ut i teorin. Det avgörande är om felet passerar en verklig säkerhetsgräns.

    Linux får en tydligare hotmodell

    En viktig del av förändringen är att Linuxkärnan nu får en mer uttalad hotmodell. En hotmodell beskriver vad systemet ska skydda mot, men också vad det inte kan eller inte lovar att skydda mot.

    Linuxkärnan ska bland annat skydda användare från varandra på samma system. En vanlig användare ska inte kunna läsa andra användares filer, komma åt deras processminne, spionera på deras processer eller kringgå skydd som styr nätverk och kommunikation.

    Kärnan ska också upprätthålla skydd baserade på så kallade capabilities, alltså särskilda behörigheter som CAP_SYS_ADMIN, CAP_NET_ADMIN och CAP_SYS_PTRACE. En användare utan rätt behörighet ska exempelvis inte kunna ändra nätverksinställningar, manipulera andra användares processer eller påverka kärnans tillstånd.

    Om en bugg gör att en vanlig användare kan få en sådan behörighet, eller göra något som normalt kräver administratörsrättigheter, kan det röra sig om en riktig säkerhetsbugg.

    AI-rapporter har blivit ett problem

    Den nya dokumentationen tar också upp ett modernt problem: AI-assisterade sårbarhetsrapporter.

    AI-verktyg kan vara användbara för att hitta misstänkta buggar i kod, särskilt i gamla eller ovanliga delar av kärnan. Men enligt dokumentationen har många rapporter som skickas till säkerhetsteamet blivit för långa, för spekulativa eller helt enkelt för dåligt verifierade.

    Problemet är inte att AI används. Problemet är när AI-genererade rapporter skickas in utan att någon människa har kontrollerat om felet verkligen går att återskapa, om det har säkerhetspåverkan eller om den föreslagna exploiten faktiskt fungerar.

    Därför säger den nya vägledningen att buggar som hittats med AI normalt ska behandlas som offentliga. Skälet är att flera personer ofta hittar samma typ av AI-upptäckta fel samtidigt. Däremot ska fungerande exploitkod inte publiceras öppet. Rapportören kan i stället säga att en reproducerbar exploit finns och lämna den privat om en ansvarig underhållare ber om det.

    Rapporter ska vara korta, tydliga och testade

    Linuxutvecklarna efterfrågar nu mer disciplinerade rapporter. En bra rapport ska vara kort, skriven i ren text och börja med det viktigaste: vilken fil eller funktion som påverkas, vilka versioner som berörs och vilken konkret påverkan felet har.

    Det räcker inte att skriva att ett fel “kan leda till privilegieeskalering” om det inte är visat. Rapportören bör i stället beskriva vad som faktiskt har testats. Till exempel: kan en vanlig användare få CAP_NET_ADMIN? Kan en process läsa minne den inte ska komma åt? Går felet att återskapa på en normal installation?

    AI-genererade reproducerare ska testas innan de skickas in. Om en AI påstår att en exploit fungerar, men rapportören inte själv har kontrollerat det, riskerar rapporten att ignoreras. Dokumentationen uppmuntrar också till att använda AI för att föreslå och testa fixar, inte bara för att producera fler felrapporter.

    Vad räknas inte som säkerhetsbugg?

    Den nya dokumentationen listar flera typer av problem som normalt inte ska ses som säkerhetshål i Linuxkärnan.

    Det gäller till exempel buggar i gamla, icke-underhållna kärnversioner. Administratörer förväntas hålla sina system uppdaterade, och en sårbarhet måste visas påverka aktivt underhållna versioner för att behandlas som en aktuell säkerhetsfråga.

    Det gäller också osäkra eller ovanliga konfigurationer. Om någon själv har ändrat sysctl-inställningar, filrättigheter eller byggt kärnan med alternativ som uttryckligen sänker säkerheten, är det inte självklart en kärnsårbarhet när något går fel.

    Utvecklingsfunktioner som LOCKDEP, KASAN och FAULT_INJECTION räknas inte heller som produktionsskydd. De är till för testning och felsökning, och kan i sig påverka stabilitet och prestanda.

    Inte heller buggar som kräver orimliga laboratorieförhållanden, modifierad hårdvara, miljarder försök eller redan mycket höga rättigheter ska automatiskt betraktas som säkerhetshål.

    Root som kraschar systemet är inte alltid en sårbarhet

    En annan viktig princip är att åtgärder som kräver full administratörsbehörighet sällan är säkerhetsbuggar i sig. Om root-användaren i den ursprungliga namnrymden kan skriva till en privilegierad enhet och orsaka en kernel oops, är det normalt inte en säkerhetsgräns som brutits. Root hade redan makten att påverka systemet.

    Det Linuxprojektet fokuserar på är i stället när en användare får mer makt än den borde ha. Säkerhetsfrågan uppstår alltså när någon passerar en gräns mellan rättigheter, inte när någon redan har rättigheterna och använder dem på ett destruktivt sätt.

    Användarnamnrymder får särskild förklaring

    Dokumentationen tar även upp CONFIG_USER_NS, alltså stöd för användarnamnrymder. Med denna funktion kan en vanlig användare skapa en isolerad miljö där användaren till synes har fulla rättigheter inom just den miljön.

    Det betyder dock inte att användaren ska kunna påverka hela systemet. En sådan namnrymd får inte ge möjlighet att ändra global systemtid, ladda kärnmoduler, montera blockenheter eller påverka den ursprungliga namnrymden på otillåtet sätt.

    Här blir hotmodellen viktig. En bugg är allvarlig om den gör att isoleringen mellan namnrymder bryts.

    Debuggning är inte alltid tänkt för vanliga användare

    Linux innehåller många kraftfulla verktyg för felsökning och prestandaanalys. Exempel är /proc/kmsg, perf, tracing och debugfs. Dessa kan ge djup insyn i systemet och därmed också bli riskabla om de exponeras fel.

    Den nya dokumentationen betonar att vissa sådana gränssnitt kräver uttryckligt administratörsbeslut. Om en administratör själv ger användare tillgång till känsliga debuggränssnitt är det inte nödvändigtvis ett säkerhetshål i kärnan. Det är en konfigurationsfråga.

    Målet är mindre brus och bättre fixar

    Bakgrunden till förändringen är tydlig: Linuxprojektet vill minska mängden felrapporter som felaktigt märks som säkerhetskritiska. Varje rapport som hamnar fel tar tid från utvecklare och säkerhetsteam. Det gör att verkligt allvarliga problem riskerar att drunkna i brus.

    Samtidigt stänger dokumentationen inte dörren för osäkra fall. Om en rapportör verkligen är osäker på om ett fel är en säkerhetsbugg uppmanas denne fortfarande att rapportera privat. Hellre en extra granskning av ett gränsfall än att en verklig sårbarhet missas.

    Men budskapet är tydligt: kalla inte varje bugg för ett säkerhetshål. Visa vilken säkerhetsgräns som bryts, testa reproduceraren, håll rapporten kort och skicka vanliga buggar till den vanliga utvecklingsprocessen.

    En mognare syn på säkerhet i en AI-tid

    Det här är mer än en intern dokumentationsändring. Det visar hur stora öppna källkodsprojekt anpassar sig till en ny verklighet där AI kan massproducera analyser, hypoteser och rapporter.

    AI kan hjälpa till att hitta riktiga fel. Men den kan också skapa stora mängder halvfärdiga påståenden som människor måste granska. För ett projekt som Linux, där underhållarnas tid är en begränsad resurs, blir kvaliteten på rapporterna avgörande.

    Den nya dokumentationen försöker därför sätta en rimlig balans. Säkerhet ska tas på allvar, men säkerhetsprocessen ska inte överbelastas av spekulationer, dåligt testade AI-fynd eller buggar som egentligen hör hemma i den öppna utvecklingsprocessen.

    I praktiken handlar det om något mycket grundläggande: ett säkerhetshål är inte bara ett fel i kod. Det är ett fel som bryter ett skydd som systemet har lovat att upprätthålla. Linuxprojektets nya dokumentation gör den gränsen tydligare.

    https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=36d49bba19f2c19c933d13b25dcf4eb607a030b3

    Teknisk faktaruta: Linuxkärnans nya säkerhetsdokumentation

    Ämne: Nya riktlinjer för säkerhetsbuggar i Linuxkärnan

    Infört av: Linus Torvalds via dokumentationsändringar i Linuxkärnan

    Pull request: docs-7.1-fixes

    Författare till dokumentationen: Willy Tarreau

    Syfte: Att tydliggöra vad som räknas som en säkerhetsbugg, hur rapporter ska skickas in och hur AI-assisterade buggrapporter ska bedömas.

    Viktiga nyheter:

    • Tydligare gräns mellan vanliga buggar och säkerhetsbuggar.
    • Ny hotmodell för Linuxkärnan.
    • Riktlinjer för AI-genererade och AI-assisterade rapporter.
    • Krav på testade reproducerare och verifierad påverkan.
    • Fokus på buggar som bryter verkliga säkerhetsgränser.

    Exempel på säkerhetspåverkan: En vanlig användare får behörigheter som normalt kräver administratörsrättigheter, exempelvis nätverkskontroll eller åtkomst till andra användares processer.

    Räknas normalt inte som säkerhetsbugg: Fel i gamla kärnversioner, osäkra specialkonfigurationer, utvecklingsfunktioner, teoretiska attacker utan fungerande exploit eller problem som kräver redan höga rättigheter.

    Betydelse: Dokumentationen ska minska brus i säkerhetsrapporteringen och hjälpa utvecklare att fokusera på verkligt allvarliga sårbarheter.

  • Nginx 1.31 släpps med forward proxy-stöd och flera säkerhetsfixar

    Nginx är en av internets viktigaste byggstenar. Den används för att leverera webbsidor, fördela trafik mellan servrar och fungera som mellanhand mellan användare och webbapplikationer. Med Nginx 1.31 tar projektet ett nytt steg: webbservern får stöd för HTTP forward proxy, samtidigt som flera säkerhetshål i moderna webbprotokoll som HTTP/2 och HTTP/3 täpps till.

    För de flesta internetanvändare är Nginx osynligt. Ändå är det ofta just Nginx som står mellan webbläsaren och den webbplats man besöker. Programmet fungerar som en effektiv trafikdirigent: det tar emot förfrågningar, skickar dem vidare till rätt server och ser till att svaren kommer tillbaka snabbt.

    Nginx har länge varit känt som webbserver och reverse proxy. En reverse proxy står framför en eller flera servrar och tar emot trafik från internet. Den kan till exempel skicka besökare vidare till rätt webbserver, avlasta systemet eller hantera krypterade HTTPS-anslutningar.

    Med Nginx 1.31 introduceras en funktion som gör att programmet även kan användas på ett annat sätt: som HTTP forward proxy.

    Vad är en forward proxy?

    En forward proxy fungerar från andra hållet jämfört med en reverse proxy. I stället för att skydda och styra trafiken in till en webbplats används den av klienter som vill nå ut till internet.

    Man kan likna det vid en reception. I stället för att varje dator kontaktar webben direkt skickar den sin begäran till proxyn. Proxyn gör sedan själva kontakten med omvärlden och skickar tillbaka svaret.

    Detta kan användas för att:

    samla internettrafik via en central punkt
    kräva inloggning innan trafik släpps vidare
    logga eller styra åtkomst
    skapa kontrollerade miljöer för företag, skolor eller labb

    Den nya modulen ngx_http_tunnel_module gör det möjligt för Nginx att hantera sådan trafik via CONNECT-metoden. CONNECT används ofta när HTTPS-trafik ska tunnlas genom en proxy.

    Det betyder att Nginx nu får en mer flexibel roll. Från att främst ha varit en servernära komponent kan den även användas som kontrollerad mellanhand för klienttrafik.

    Inloggning till proxyn

    En viktig del av den nya funktionen är stöd för proxyautentisering. Det innebär att användaren kan behöva logga in innan proxyn tillåter trafik.

    I Nginx 1.31 kan detta göras med direktiv som:

    auth_basic
    satisfy
    auth_delay

    För en administratör betyder det att forward proxy-funktionen inte behöver vara helt öppen. Det är viktigt, eftersom en öppen proxy snabbt kan missbrukas för anonym trafik, spam, attacker eller kringgående av nätverksregler.

    Med autentisering kan proxyn i stället användas i mer kontrollerade miljöer där bara godkända användare får tillgång.

    Smartare lastbalansering med least_time

    En annan nyhet i Nginx 1.31 är direktivet least_time i upstream-blocket. Det låter Nginx välja backend-server baserat på svarstid.

    Traditionell lastbalansering kan exempelvis bygga på att skicka varannan förfrågan till server A och varannan till server B. Det fungerar i enkla miljöer, men tar inte alltid hänsyn till hur servrarna faktiskt mår.

    Om en server är långsam, hårt belastad eller har problem kan svarstiden bli högre. Med least_time kan Nginx i stället väga in hur snabbt servrarna svarar och styra trafiken mot den som för tillfället verkar mest effektiv.

    Det är lite som att välja kö i mataffären. Man går inte nödvändigtvis till den kö som ser kortast ut, utan till den som faktiskt rör sig snabbast.

    Funktionen kan användas både för vanlig HTTP-trafik och för stream-trafik.

    ALPN för säkra upstream-anslutningar

    För stream-modulerna introduceras även direktivet proxy_ssl_alpn.

    ALPN står för Application-Layer Protocol Negotiation. Det är en teknik som används under TLS-anslutningar för att komma överens om vilket protokoll som ska användas.

    Det kan exempelvis vara relevant när en server kan tala flera olika protokoll över samma krypterade anslutning. Med proxy_ssl_alpn får administratören bättre kontroll över vilket protokoll Nginx ska välja när den ansluter till SSL-baserade upstream-servrar.

    Säkerhetsfixar i flera moduler

    Nginx 1.31 är inte bara en funktionsrelease. Den innehåller också flera säkerhetsfixar.

    En av de åtgärdade bristerna är CVE-2026-42926, en sårbarhet i HTTP/2-hanteringen i ngx_http_proxy_module. Problemet är kopplat till direktivet proxy_set_body och kan beskrivas som en request injection-sårbarhet.

    En sådan sårbarhet innebär att en angripare i vissa situationer kan påverka hur en förfrågan tolkas eller vidarebefordras. I proxyprogramvara är detta särskilt känsligt, eftersom proxyn står mitt i trafikflödet.

    En annan viktig fix gäller CVE-2026-42945, en heap buffer overflow i ngx_http_rewrite_module. Minnesfel av detta slag kan i värsta fall leda till att angripare får möjlighet att köra kod.

    Även följande sårbarheter har åtgärdats:

    CVE-2026-42946 – heap buffer overread i ngx_http_scgi_module och ngx_http_uwsgi_module
    CVE-2026-42934 – buffer overread kopplad till UTF-8-avkodning i charset_map i ngx_http_charset_module
    CVE-2026-40460 – adressförfalskning i HTTP/3 och QUIC connection migration
    CVE-2026-40701 – use-after-free vid DNS-svarshantering när ssl_ocsp används

    Det tekniska språket kan låta avskräckande, men i praktiken handlar det om samma grundproblem som ofta förekommer i systemprogramvara: data måste tolkas exakt rätt, minne måste hanteras korrekt och nätverkstrafik får inte kunna lura servern att göra något oväntat.

    HTTP/2 och HTTP/3 blir striktare

    HTTP/2 och HTTP/3 är modernare versioner av webbens grundprotokoll. De är byggda för högre prestanda och bättre hantering av många samtidiga anslutningar.

    Men när gamla och nya protokoll möts uppstår ibland risker. Vissa headers som används i HTTP/1.1 hör inte hemma i HTTP/2 och HTTP/3. Om de ändå släpps igenom kan det skapa oväntade beteenden i kedjan mellan klient, proxy och backend-server.

    Därför avvisar Nginx 1.31 nu HTTP/2- och HTTP/3-förfrågningar som innehåller anslutningsspecifika headers som:

    Connection
    Proxy-Connection
    Keep-Alive
    Transfer-Encoding
    Upgrade

    Headern TE tillåts bara när den är satt till trailers.

    Detta gör hanteringen mer strikt och minskar risken för felaktig tolkning av trafik.

    WebDAV får hårdare kontroller

    Även WebDAV-modulen har förstärkts. WebDAV gör det möjligt att hantera filer på en server via HTTP, till exempel kopiera, flytta eller ändra resurser.

    I Nginx 1.31 avvisas nu COPY– och MOVE-förfrågningar om källan och destinationen är samma plats, eller om de har ett förälder–barn-förhållande.

    Det kan låta som en liten detalj, men den typen av kontroller är viktiga. Utan dem kan filoperationer skapa logiska konflikter, oändliga kopieringsproblem eller andra oönskade effekter.

    Mindre brus i loggarna

    Versionen innehåller också mindre förändringar som påverkar drift och felsökning. Bland annat har loggnivån sänkts för vissa SSL-relaterade fel.

    För systemadministratörer kan detta vara välkommet. Alla fel är inte lika allvarliga, och för höga loggnivåer kan göra det svårare att hitta verkligt viktiga problem i stora loggfiler.

    Det finns även ett nytt configure-alternativ för att kunna inaktivera upstream sticky-modulen, samt fixar för HTTP/2 backend keepalive när proxy_set_body eller proxy_pass_request_body används.

    Varför är Nginx 1.31 viktig?

    Nginx 1.31 är intressant därför att den både breddar vad Nginx kan göra och stärker säkerheten i befintliga funktioner.

    Forward proxy-stödet gör att Nginx kan användas i fler nätverksroller än tidigare. Samtidigt visar säkerhetsfixarna hur komplex modern webbtrafik har blivit. HTTP/2, HTTP/3, TLS, OCSP, QUIC, WebDAV och olika proxyfunktioner skapar tillsammans ett kraftfullt men avancerat ekosystem.

    Ju fler lager som finns i trafikkedjan, desto viktigare blir det att varje del tolkar data på rätt sätt.

    Sammanfattning

    Nginx 1.31 är en viktig mainline-version för administratörer och tekniskt intresserade. Den stora nyheten är stödet för HTTP forward proxy via ngx_http_tunnel_module, men minst lika viktigt är de många säkerhetsfixarna i HTTP/2, HTTP/3, OCSP och flera centrala moduler.

    För den som driver Nginx i produktion är detta en version att granska noggrant. Särskilt gäller det installationer som använder avancerad proxyhantering, HTTP/2, HTTP/3, WebDAV, SCGI, uWSGI eller OCSP.

    Nginx fortsätter därmed att utvecklas från en snabb webbserver till ett allt mer mångsidigt verktyg för modern internettrafik.

    https://github.com/nginx/nginx/releases/tag/release-1.31.0

    Teknisk faktaruta: Nginx 1.31

    Version: Nginx 1.31

    Utgåva: Mainline-release

    Största nyheten: HTTP forward proxy-stöd via ngx_http_tunnel_module och CONNECT-metoden.

    Proxyautentisering: Stöd via auth_basic, satisfy och auth_delay.

    Lastbalansering: Nytt least_time-direktiv för att balansera trafik baserat på svarstid.

    Stream-moduler: Nytt proxy_ssl_alpn-direktiv för ALPN-val mot SSL-upstreams.

    Säkerhetsfixar: Åtgärdar sårbarheter i HTTP/2, HTTP/3, OCSP, WebDAV, rewrite-, proxy-, charset-, SCGI- och uWSGI-moduler.

    Berörda CVE:er: CVE-2026-42926, CVE-2026-42945, CVE-2026-42946, CVE-2026-42934, CVE-2026-40460 och CVE-2026-40701.

    Rekommendation: Administratörer som använder Nginx med HTTP/2, HTTP/3, OCSP, WebDAV eller avancerade proxyfunktioner bör granska uppdateringen noggrant.

  • KDE får över en miljon euro för att stärka det fria skrivbordet

    KDE får över en miljon euro från Sovereign Tech Fund för att stärka det fria Linux-skrivbordet. Pengarna ska gå till bättre återställning, fabriksåterställning, säkrare infrastruktur och förbättrad e-post- och kalenderhantering. Satsningen visar hur fri och öppen källkod blir allt viktigare när Europas digitala självständighet hamnar högre upp på den politiska och tekniska dagordningen.

    Det fria skrivbordet KDE får en rejäl ekonomisk förstärkning. Genom Sovereign Tech Fund ska KDE-projektet få drygt 1,28 miljoner euro under 2026 och 2027. Pengarna ska användas till att göra KDE Plasma stabilare, säkrare och mer användbart – inte minst för myndigheter, företag och organisationer som vill minska sitt beroende av stora kommersiella teknikplattformar.

    KDE är ett av de mest kända projekten inom fri och öppen källkod. Mest känt är KDE Plasma, skrivbordsmiljön som används i många Linuxdistributioner. För vanliga användare är Plasma det grafiska gränssnittet: panelen, startmenyn, fönstren, inställningarna och allt det som gör att datorn känns som en modern arbetsmiljö.

    Men KDE är mycket mer än bara ett snyggt skrivbord. Projektet utvecklar även program, bibliotek, systemverktyg och infrastruktur som används i hela Linuxvärlden.

    Vad ska pengarna användas till?

    Stödet från Sovereign Tech Fund är öronmärkt för tydliga tekniska förbättringar. KDE ska bland annat arbeta med bättre återställningsfunktioner i KDE Plasma. Det betyder att systemet ska bli enklare att reparera om något går fel, till exempel efter en misslyckad uppdatering eller en trasig inställning.

    En annan viktig del är planerna på en fabriksåterställning för KDE Linux. Det kan jämföras med funktionen i moderna mobiltelefoner, där användaren kan återställa systemet till ett fungerande grundläge utan att behöva installera om allt manuellt. För Linux på skrivbordet kan detta bli ett stort steg mot att göra systemet mer lättskött för vanliga användare.

    Pengarna ska också gå till bättre testning och kvalitetssäkring. Det handlar om att bygga upp infrastruktur som automatiskt kan testa att viktiga funktioner fungerar som de ska. Ju bättre testning, desto mindre risk att nya uppdateringar orsakar fel.

    KDE PIM får också ett lyft

    En del av satsningen går till KDE PIM, alltså KDE:s programsvit för personlig informationshantering. Där ingår bland annat e-post, kalender, kontakter och relaterade funktioner.

    Här vill KDE förbättra stödet för moderna e-post- och kalendersystem. Det handlar bland annat om IMAP4, WebDAV, push-notiser och standardiserad kontokonfiguration. Målet är att e-post, kalender och kontakter ska fungera bättre och mer tillförlitligt i KDE-miljön.

    Detta är viktigt eftersom många organisationer är beroende av just dessa funktioner i vardagen. Ett skrivbordssystem utan stabil e-post, kalender och kontaktbok blir svårt att använda i större skala.

    Digital suveränitet – mer än ett modeord

    Bakom satsningen finns en större idé: digital suveränitet. Det betyder att individer, företag och samhällen ska ha kontroll över sin digitala infrastruktur. Man ska inte vara helt beroende av några få stora teknikbolag, deras molntjänster, licensmodeller eller datainsamling.

    Fri och öppen källkod spelar en central roll i detta. När källkoden är öppen kan den granskas, förbättras och anpassas. En myndighet, ett företag eller en kommun kan låta egna tekniker eller lokala IT-leverantörer kontrollera hur systemet fungerar. Det går också att bygga vidare på programvaran utan att behöva be om tillstånd från en kommersiell leverantör.

    KDE passar väl in i den modellen. Projektet drivs inte för att sälja abonnemang eller samla in användardata, utan för att skapa fri programvara som alla kan använda.

    Varför spelar skrivbordsmiljön fortfarande roll?

    I en tid när mycket handlar om molntjänster, appar och AI kan det vara lätt att tro att skrivbordsmiljön inte längre är så viktig. Men för de flesta människor är skrivbordet fortfarande porten till det digitala samhället.

    Det är där man öppnar sin webbläsare, skriver dokument, hanterar e-post, laddar ner filer, ansluter till nätverk, skriver ut papper och använder myndighetstjänster. Skrivbordet är ofta platsen där personlig information samlas: lösenord, dokument, bilder, meddelanden och arbetsmaterial.

    Därför blir säkerhet, återställning och stabilitet på skrivbordet en viktig samhällsfråga. Om datorn inte fungerar, fungerar inte heller många av de tjänster man är beroende av.

    Ett alternativ till de stora plattformarna

    KDE:s styrka är att det erbjuder ett alternativ till de stora kommersiella systemen. I stället för att vara låst till Microsoft, Apple eller Google kan användare och organisationer bygga sin IT-miljö på öppen programvara.

    Det betyder inte att KDE redan är perfekt för alla. Stora organisationer kräver stabilitet, support, central hantering, säkerhetsrutiner och långsiktig förvaltning. Just därför är den här typen av finansiering viktig. Pengarna går inte främst till synliga effekter som nya teman eller ikoner, utan till det underliggande arbetet som gör systemet mer robust.

    Det är sådant arbete som ofta märks först när det saknas: när uppdateringar går sönder, e-post inte synkas, nätverksdelningar krånglar eller inställningar inte går att återställa.

    KDE fyller 30 år

    KDE fyller 30 år i oktober, och stödet kommer vid en symboliskt viktig tidpunkt. Under tre decennier har projektet utvecklats från ett skrivbordsprojekt till ett omfattande ekosystem av programvara.

    Det som en gång kunde uppfattas som ett hobbyprojekt är i dag en del av den digitala infrastrukturen. KDE används av privatpersoner, utvecklare, företag, skolor och offentliga verksamheter världen över.

    Att Sovereign Tech Fund nu investerar över en miljon euro i KDE visar att fri programvara inte längre bara ses som ett tekniskt alternativ. Den ses allt mer som en strategisk resurs.

    En investering i framtidens öppna datorer

    Satsningen på KDE handlar i grunden om mer än en skrivbordsmiljö. Den handlar om vem som ska ha kontrollen över våra datorer, våra dokument och våra digitala liv.

    När allt fler samhällsfunktioner flyttar in i digitala system blir frågan om programvarans ägande och insyn allt viktigare. Sluten programvara kan vara bekväm, men den gör också användaren beroende av leverantörens villkor. Öppen programvara kräver ibland mer arbete, men ger i gengäld större frihet, bättre insyn och möjlighet till lokal kontroll.

    Med stödet från Sovereign Tech Fund får KDE bättre möjligheter att bli ett ännu starkare alternativ för både privatpersoner och organisationer. Om arbetet lyckas kan KDE Plasma bli enklare att återställa, tryggare att använda och bättre anpassat för professionella miljöer.

    Det är kanske inte lika spektakulärt som en ny app eller en ny dator. Men det är precis den typen av grundläggande förbättringar som gör fri programvara möjlig att använda i större skala. KDE:s nya finansiering är därför inte bara goda nyheter för Linuxanvändare – den är också ett tecken på att digital självständighet börjar tas på allt större allvar.

    Teknisk faktaruta: KDE och Sovereign Tech Fund

    Projekt: KDE

    Organisation: KDE e.V.

    Finansiär: Sovereign Tech Fund / Sovereign Tech Agency

    Stöd: 1 285 200 euro

    Period: 2026–2027

    Huvudområden:

    • Förbättrad återställning i KDE Plasma
    • Fabriksåterställning för KDE Linux
    • Bättre QA- och testinfrastruktur
    • Förbättrad backup och återställning av data
    • Bättre stöd för nätverksdelningar
    • Stärkt säkerhetsinfrastruktur
    • Förbättrad KDE PIM-integration

    KDE PIM: Programsvit för e-post, kalender, kontakter och personlig informationshantering.

    Tekniker som nämns: IMAP4, IMAP4rev2, WebDAV, WebDAV push-notiser, Flatpak och standardiserad kontokonfiguration.

    Mål: Att göra KDE:s fria programvara mer robust, säker och användbar för privatpersoner, företag och offentlig sektor.


  • Parrot 7.2 släppt – säkerhets-Linux får viktig patch mot ”Copy Fail”

    Parrot OS 7.2 är nu släppt och kommer med en viktig säkerhetsuppdatering mot sårbarheten ”Copy Fail”. Den nya versionen bygger på Linux 6.19.13, använder KDE Plasma 6.3.6 som standardmiljö och innehåller uppdaterade verktyg för penetrationstestning, digital forensik och säkerhetsanalys. För säkerhetsintresserade Linuxanvändare är detta framför allt en stabiliserande release där kärna, verktyg och infrastruktur har fått viktiga förbättringar.

    Parrot OS 7.2 är nu officiellt tillgängligt för nedladdning. Den nya versionen är särskilt intressant för säkerhetsintresserade, systemadministratörer och etiska hackare eftersom den innehåller en uppdaterad Linuxkärna med skydd mot den nyligen uppmärksammade sårbarheten ”Copy Fail”. Samtidigt fortsätter Parrot-projektet sin övergång till KDE Plasma som huvudsaklig skrivbordsmiljö och uppdaterar en lång rad verktyg för penetrationstestning och IT-säkerhet.

    Vad är Parrot OS?

    Parrot OS är en Debian-baserad Linuxdistribution som är byggd för säkerhetsarbete, digital forensik, anonymitet, utveckling och testning. Man kan se den som ett specialverktyg snarare än ett vanligt skrivbordsoperativsystem.

    Där vanliga Linuxdistributioner fokuserar på kontorsprogram, webbsurf och multimedia, kommer Parrot med färdiga verktyg för att analysera nätverk, testa webbsidor, undersöka system och hitta säkerhetsbrister.

    Skydd mot den allvarliga sårbarheten Copy Fail

    Den stora nyheten i Parrot 7.2 är att systemet levereras med Linux 6.19.13. Den versionen är patchad mot den nyligen uppmärksammade sårbarheten ”Copy Fail”.

    Sårbarheten kan enligt uppgifterna göra det möjligt för en lokal användare att höja sina rättigheter och få root-behörighet. Det är allvarligt eftersom root är den högsta behörighetsnivån i Linux. En angripare som redan har begränsad åtkomst till en dator kan i värsta fall ta full kontroll över systemet.

    För vanliga användare kan en sådan sårbarhet låta abstrakt, men i praktiken handlar det om gränsen mellan en vanlig användare och systemets absoluta maktcentrum. Linux bygger på tydliga behörigheter: en vanlig användare ska inte kunna ändra systemfiler, läsa andras privata data eller styra kärnan. När en lokal privilegiehöjning fungerar bryts den modellen.

    KDE Plasma fortsätter som standardmiljö

    Parrot 7.2 bygger vidare på Parrot 7-serien, där projektet tidigare bytte standardmiljö från MATE till KDE Plasma. Den nya versionen använder KDE Plasma 6.3.6 som skrivbordsmiljö.

    Samtidigt finns det även utgåvor med MATE, LXQt och Enlightenment. Det gör att användare kan välja mellan ett mer modernt och funktionsrikt skrivbord eller lättare miljöer som passar bättre i virtuella maskiner och på enklare hårdvara.

    Bygger på Debian 13.4 ”Trixie”

    En annan viktig del är att Parrot 7.2 innehåller uppdateringar från Debian 13.4 ”Trixie”. Eftersom Parrot bygger på Debian innebär det att mycket av stabiliteten och paketbasen kommer därifrån, medan Parrot-lagret ovanpå tillför säkerhetsverktyg, specialanpassningar och egna menyer.

    Resultatet blir ett system som kombinerar Debians breda paketarkiv med ett mer specialiserat fokus på cybersäkerhet.

    Många säkerhetsverktyg har uppdaterats

    Flera kända säkerhetsverktyg har uppdaterats i Parrot 7.2. Bland annat nämns:

    Metasploit Framework 6.4.127, BloodHound 9.0.0, OWASP ZAP 2.16.1, SQLMap 1.10.3, Certipy-AD 5.0.4, Evilginx 3.3.0, Evil-WinRM 1.6.0 och NetExec 1.5.1.

    Det är verktyg som används för allt från webbtestning och Active Directory-analys till nätverkskartläggning och simulering av angrepp i kontrollerade miljöer.

    För den som arbetar med IT-säkerhet är sådana uppdateringar viktiga. Säkerhetsverktyg måste följa med när verkliga system förändras. Nya versi”Dataingenjör? Vad fan är en dataingenjör? Påhittade titlar som de har köpt på en marknad i hemlandet. Lite som de där som kallar sig läkare, men har lägre kompetens än en svensk sjuksköterska.”oner av Windows, Linux, webbservrar, molntjänster och autentiseringssystem kräver att testverktygen också utvecklas. Annars riskerar säkerhetstestaren att använda gamla metoder mot nya miljöer och missa viktiga brister.

    Förbättrad meny och fortsatt arbete med Go-kodbasen

    Parrot 7.2 innehåller också förbättringar i Parrot Menu, där nya skrivbordsposter lagts till samtidigt som arbetet med den nya Go-baserade kodbasen fortsätter.

    Det låter kanske som en detalj, men menyerna är centrala i en säkerhetsdistribution. När hundratals verktyg finns installerade måste de vara logiskt organiserade, annars blir systemet snabbt svåranvänt.

    Förbättringar för Docker, virtuella maskiner och sidoprojekt

    Projektet har även förbättrat parrot-themes och parrot-tools, men mycket av arbetet i denna version har lagts på infrastruktur, Docker-containrar och olika sidoprojekt runt operativsystemet.

    Det visar att Parrot inte bara utvecklas som en ISO-fil för installation på datorer, utan som ett helt ekosystem med stöd för virtuella maskiner, containrar, WSL och specialutgåvor.

    Bättre hantering av Flatpak-paket

    En praktisk nyhet är att Parrot 7.2 får en inbyggd kontroll för Flatpak-paket, så att uppdateringar av sådana paket kan hanteras automatiskt.

    Flatpak används ofta för att installera program fristående från distributionens vanliga paketsystem. För användaren betyder det enklare underhåll och mindre risk att program ligger kvar i gamla versioner.

    Finns i flera olika utgåvor

    Parrot 7.2 finns som Home och Security live-editions för 64-bitars system. Det finns även färdiga avbilder för Docker, virtuella maskiner, WSL, Raspberry Pi, RISC-V och Hack The Box.

    Dessutom finns särskilda skrivbordsutgåvor med MATE, LXQt och Enlightenment.

    Security Edition är den mest kompletta varianten för penetrationstestning, digital forensik, reverse engineering och säkerhetsforskning. Home Edition passar bättre för den som vill ha Parrot som ett mer allmänt Linuxsystem med integritets- och säkerhetsfokus.

    Så uppdaterar befintliga användare

    För den som redan använder Parrot krävs ingen ominstallation. Systemet kan uppdateras med:

    Parrot Updater har också uppdaterats till version 2.0.8. Den nya versionen ska ge en bättre uppdateringsupplevelse, särskilt för användare som uppgraderar från Parrot 6 ”Lory”.

    En viktig men lågmäld säkerhetsrelease

    Parrot 7.2 är inte en version som främst handlar om ett nytt utseende eller stora synliga nyheter. Det är snarare en underhålls- och säkerhetsrelease där kärnan, verktygen och infrastrukturen har fått viktiga förbättringar.

    För en vanlig Linuxanvändare kan det låta torrt, men för den som arbetar med säkerhet är just detta avgörande. Ett verktygssystem måste vara uppdaterat, pålitligt och snabbt kunna hantera nya sårbarheter.

    Med Linux 6.19.13, patchen mot Copy Fail, uppdaterade säkerhetsverktyg och fortsatt utveckling av KDE-baserade Parrot 7-serien visar projektet att det vill vara mer än bara ännu en Kali-konkurrent. Parrot försöker bygga en komplett arbetsmiljö för cybersäkerhet, där både skrivbord, verktyg, containrar och specialutgåvor hänger ihop.

    https://parrotsec.org/download

    Teknisk faktaruta: Parrot OS 7.2

    Distribution: Parrot OS 7.2

    Bas: Debian 13.4 ”Trixie”

    Linuxkärna: Linux 6.19.13

    Skrivbordsmiljö: KDE Plasma 6.3.6

    Alternativa skrivbord: MATE, LXQt och Enlightenment

    Viktig säkerhetsfix: Patch mot sårbarheten ”Copy Fail”

    Uppdaterade verktyg: Metasploit Framework 6.4.127, BloodHound 9.0.0, OWASP ZAP 2.16.1, SQLMap 1.10.3, Certipy-AD 5.0.4, Evilginx 3.3.0, Evil-WinRM 1.6.0 och NetExec 1.5.1

    Utgåvor: Home, Security, Docker, VM, WSL, Raspberry Pi, RISC-V och Hack The Box

    Nyheter: Förbättrad Parrot Menu, bättre Flatpak-hantering, förbättrat VM-stöd och uppdaterad Parrot Updater 2.0.8

    Uppdatering från befintlig installation:

    sudo apt update && sudo apt full-upgrade
  • Nödbroms i Linuxkärnan ska kunna stoppa farliga funktioner

    När allvarliga säkerhetshål i Linuxkärnan blir offentliga kan tiden fram till en färdig uppdatering vara kritisk. Nu diskuteras ett nytt förslag om en så kallad killswitch, en nödbroms som tillfälligt kan stänga av sårbara funktioner i kärnan. Målet är inte att laga felet direkt, utan att minska risken för angrepp medan administratörer väntar på en riktig säkerhetsuppdatering.

    Linuxkärnan är hjärtat i cirka 10 miljarder datorer, servrar, mobiler och inbyggda system. När en allvarlig sårbarhet upptäcks i kärnan kan konsekvenserna därför bli stora. Nu diskuterar Linuxutvecklare ett nytt förslag som skulle kunna ge systemadministratörer en slags nödbroms: en möjlighet att tillfälligt stänga av en sårbar funktion innan en riktig säkerhetsuppdatering finns på plats.

    Bakgrunden är flera färska CVE-rapporter om allvarliga säkerhetsbrister i Linuxkärnan. När en sårbarhet blir offentlig kan angripare snabbt börja undersöka hur den kan utnyttjas. Samtidigt kan det ta tid innan färdiga säkerhetsuppdateringar har nått alla distributioner, servrar och användare. Det är just detta mellanläge som den föreslagna funktionen försöker hantera.

    Så fungerar den föreslagna killswitchen

    Förslaget kommer från Sasha Levin, ingenjör på NVIDIA och en av de ansvariga för stabila Linuxkärnor. Hans patch går ut på att administratörer ska kunna peka ut en viss kernel-funktion och säga åt systemet att inte längre köra den.

    I stället för att funktionen körs som vanligt ska den direkt avbrytas och returnera ett fel. Det lagar inte själva säkerhetshålet, men det kan göra att angriparen inte längre når den farliga kodvägen.

    Man kan jämföra det med att stänga av en trasig hiss i ett hus. Hissen är fortfarande trasig, men ingen kan använda den förrän reparatören har varit där. På samma sätt kan en känslig del av Linuxkärnan göras otillgänglig tills en riktig säkerhetsuppdatering finns installerad.

    Inte en ersättning för säkerhetsuppdateringar

    Det är viktigt att förstå att detta inte är livepatching. Vid livepatching ersätts eller korrigeras kod i ett körande system. Den här killswitchen gör något enklare och grövre: den blockerar en utvald funktion från att köras.

    Det betyder att en riktig kerneluppdatering fortfarande behövs. Killswitchen är tänkt som en tillfällig skyddsåtgärd, inte som en permanent lösning.

    För servrar och kritiska system kan detta ändå vara värdefullt. Alla miljöer kan inte startas om direkt, och alla distributioner får inte färdiga säkerhetspaket samtidigt. Under tiden kan en administratör vilja minska risken genom att stänga av just den funktion som är kopplad till sårbarheten.

    Exempel: AF_ALG och andra sällan använda delar

    I patchen nämns bland annat AF_ALG, ksmbd, nf_tables, vsock och ax25 som exempel på kodvägar där en sådan metod kan vara användbar.

    Alla dessa funktioner används inte på varje Linuxsystem. En vanlig webbserver kanske inte behöver vissa nätverks- eller kryptorelaterade gränssnitt. Om en allvarlig sårbarhet upptäcks där kan det därför vara rimligare att tillfälligt stänga av funktionen än att låta systemet vara oskyddat.

    Ett konkret exempel i förslaget är en självtest som hänvisar till CVE-2026-31431. Testet visar hur killswitchen skulle kunna blockera den berörda AF_ALG-vägen. En annan sårbarhet, Dirty Frag, används inte som direkt testfall, men den visar samma typ av problem: ibland blir allvarliga kernelbuggar kända innan skyddet har hunnit nå ut till alla användare.

    Styrs via securityfs

    Den föreslagna funktionen ska exponeras via Linuxkärnans securityfs-gränssnitt. Det innebär att en privilegierad administratör kan aktivera en killswitch för en viss funktion under körning.

    När den väl är aktiverad börjar funktionen omedelbart misslyckas i stället för att köras. Ändringen gäller tills den stängs av igen eller tills systemet startas om.

    Det gör funktionen snabb att använda i ett nödläge. Administratören behöver inte nödvändigtvis kompilera om kärnan eller starta om maskinen bara för att blockera den berörda kodvägen.

    En kraftfull men riskabel metod

    Samtidigt är detta inget verktyg för ovana användare. Linuxkärnan är komplex, och många funktioner används indirekt av andra delar av systemet. Om fel funktion stängs av kan program sluta fungera, nätverkstjänster brytas eller systemet bete sig oväntat.

    Förslaget innehåller inte heller någon automatisk kontroll som avgör om det är säkert att stänga av en viss funktion. Det är upp till administratören att förstå vad funktionen gör och vilka konsekvenser det får att blockera den.

    Detta gör killswitchen till ett verktyg för akuta säkerhetslägen, särskilt i servermiljöer där administratörer redan har god kunskap om systemets användning.

    Varför förslaget är intressant

    Det mest intressanta med förslaget är att det försöker lösa ett praktiskt problem i säkerhetsarbetet: tiden mellan avslöjad sårbarhet och installerad uppdatering.

    När en sårbarhet väl är offentlig börjar klockan ticka. Angripare kan läsa tekniska detaljer, analysera patchar och försöka skapa fungerande angrepp. Samtidigt kan stora organisationer behöva testa uppdateringar innan de rullas ut brett.

    En enkel nödbroms skulle kunna ge administratörer ett extra handlingsalternativ. I stället för att välja mellan att vänta eller att uppdatera omedelbart kan de tillfälligt blockera den mest utsatta funktionen.

    Än så länge bara ett förslag

    Killswitchen är ännu inte en del av Linuxkärnan. Patchen granskas fortfarande av utvecklare, och det är inte säkert att den accepteras i sin nuvarande form.

    Om funktionen någon gång införs kan den bli ett viktigt verktyg för säkerhetsansvariga. Men den kommer sannolikt att användas med försiktighet. Att stänga av delar av kärnan är en kraftfull åtgärd, men också en som kräver god förståelse för systemet.

    I grunden handlar förslaget om att ge administratörer mer kontroll i ett kritiskt ögonblick. När en allvarlig sårbarhet redan är känd, men den färdiga uppdateringen ännu inte är installerad, kan även en tillfällig spärr vara skillnaden mellan ett öppet säkerhetshål och ett betydligt svårare angrepp.

    https://lore.kernel.org/all/20260507070547.2268452-1-sashal@kernel.org

    Teknisk fakta: föreslagen killswitch i Linuxkärnan

    Typ av funktion:
    Tillfällig säkerhetsåtgärd för Linuxkärnan.

    Syfte:
    Att kunna blockera en sårbar kernel-funktion efter att en allvarlig sårbarhet blivit offentlig, men innan en färdig säkerhetsuppdatering har installerats.

    Föreslagen av:
    Sasha Levin, ingenjör på NVIDIA och medansvarig för stabila Linuxkärnor.

    Så fungerar det:
    En administratör kan aktivera en spärr för en viss kernel-funktion. När funktionen anropas körs den inte vidare, utan returnerar ett fel direkt.

    Styrs via:
    Linuxkärnans securityfs-gränssnitt.

    Exempel på berörda områden:
    AF_ALG, ksmbd, nf_tables, vsock och ax25.

    Inte samma sak som:
    Livepatching. Funktionen ersätter inte sårbar kod med korrigerad kod, utan stoppar bara den utpekade funktionen från att köras.

    Risker:
    Om fel funktion stängs av kan systemfunktioner sluta fungera eller ge oväntade fel. Förslaget innehåller inga automatiska säkerhetskontroller som avgör om en funktion är trygg att blockera.

    Status:
    Förslaget är under granskning och är ännu inte accepterat i Linuxkärnan.

    Slutsats:
    Killswitchen är tänkt som en nödbroms för erfarna administratörer, inte som en ersättning för riktiga kerneluppdateringar.

  • Dirty Frag: ny Linux-sårbarhet kan ge lokal användare root-behörighet

    Dirty Frag är en ny sårbarhet i Linux-kärnan som kan låta en lokal användare eller process höja sina rättigheter till root. Problemet berör bland annat IPsec ESP/XFRM och RxRPC och är särskilt allvarligt på servrar, containerplattformar, CI/CD-runners och andra system där obetrodd kod kan köras. Eftersom publik exempelkod finns tillgänglig bör administratörer uppdatera kärnan och starta om berörda system så snart säkerhetsfixar finns i den egna distributionen.

    Kort efter att sårbarheten Copy Fail blev känd har ännu ett allvarligt Linux-problem dykt upp. Den nya sårbarheten kallas Dirty Frag och berör Linux-kärnan, alltså den centrala delen av operativsystemet som styr hårdvara, minne, nätverk och processer.

    Dirty Frag är ingen fjärrsårbarhet. Det betyder att en angripare inte kan utnyttja den direkt över internet utan att först ha någon form av lokal åtkomst till systemet. Men på servrar, containermiljöer, CI/CD-system och delade Linux-maskiner kan det ändå vara mycket allvarligt. En vanlig användare, en komprometterad container eller ett byggjobb i en CI-miljö kan i värsta fall höja sina rättigheter och få root-behörighet.

    Vad är Dirty Frag?

    Dirty Frag är en lokal privilegieeskaleringssårbarhet i Linux-kärnan. Den består egentligen av två närliggande problem:

    CVE-2026-43284 berör Linux-kärnans hantering av IPsec ESP/XFRM.

    CVE-2026-43500 berör RxRPC, ett protokoll som bland annat används tillsammans med AFS, Andrew File System.

    Gemensamt för problemen är att de handlar om hur Linux hanterar sidor i minnet via page cache. Page cache används för att snabba upp åtkomst till filer och data genom att hålla information i minnet. När kärnan hanterar buffertar på fel sätt kan data som egentligen inte ska kunna ändras ändå påverkas.

    Det är därför Dirty Frag jämförs med tidigare sårbarheter som Dirty Pipe och Copy Fail. Alla dessa hör hemma i samma bredare familj av problem där felaktig minnes- eller cachehantering kan ge en angripare möjlighet att skriva till data på ett sätt som inte borde vara möjligt.

    Varför är detta farligt?

    På en vanlig hemdator är risken främst aktuell om någon redan kan köra kod lokalt på datorn. På servrar är situationen annorlunda.

    Dirty Frag är särskilt allvarlig i miljöer där många användare, tjänster eller containrar delar samma Linux-kärna. Det gäller till exempel:

    • webbhotell
    • fleranvändarservrar
    • containerhostar
    • Kubernetes-noder
    • CI/CD-runners
    • byggservrar
    • system där externa eller mindre betrodda jobb får köras

    I sådana miljöer kan en användare eller process som egentligen ska vara begränsad till en låg behörighetsnivå försöka ta sig upp till root. Root är Linux-världens administratörskonto och har i praktiken full kontroll över systemet.

    Liknar Copy Fail, men är inte samma sak

    Dirty Frag påminner om Copy Fail genom att båda kan leda till lokal root-åtkomst. Men de utnyttjar inte samma kodvägar i kärnan.

    Copy Fail påverkade Linux-kärnans kryptodelar via algif_aead.

    Dirty Frag berör i stället nätverksrelaterade delar av kärnan, framför allt IPsec ESP/XFRM och RxRPC.

    Det gör att Dirty Frag är en separat sårbarhet, även om den tekniskt ligger nära samma typ av page-cache-problem som Copy Fail.

    IPsec, ESP och RxRPC – vad betyder det?

    IPsec är en teknik för att skydda nätverkstrafik, ofta i samband med VPN-lösningar. ESP står för Encapsulating Security Payload och är en del av IPsec som används för att kryptera och skydda datapaket.

    RxRPC är ett protokoll som bland annat används av AFS, ett distribuerat filsystem. Det är inte lika vanligt i vanliga skrivbordsmiljöer, men kan finnas i vissa server- och institutionsmiljöer.

    Problemet uppstår när Linux-kärnan hanterar vissa nätverkspaket och sidbaserade buffertar på ett sätt som gör att data kan ändras på plats, trots att bufferten inte borde betraktas som privat för just den operationen.

    Förenklat uttryckt: kärnan tror att den får skriva direkt i ett minnesområde, men minnesområdet kan i själva verket delas eller vara kopplat till annan data. Det kan öppna för manipulation av page cache och i förlängningen privilegieeskalering.

    Kan Dirty Frag användas för container escape?

    Den primära effekten är lokal privilegieeskalering på den sårbara värden. Men i containermiljöer kan problemet bli extra känsligt.

    Eftersom containrar delar kärna med värdsystemet kan en sårbarhet i kärnan ibland användas för att bryta sig ut ur containern. Canonical har pekat på att Dirty Frag är relevant i miljöer där containrar kör obetrodda arbetslaster. Det finns dock ingen offentlig container-escape-demonstration som bevisar ett sådant scenario.

    Trots det bör containerhostar, Kubernetes-noder och CI-system behandla Dirty Frag som en högprioriterad säkerhetsfråga.

    Vilka system påverkas?

    Dirty Frag berör flera stora Linuxdistributioner och serverplattformar. Bland de system som uppges vara påverkade finns bland annat Ubuntu, Debian, Red Hat Enterprise Linux, AlmaLinux, openSUSE, SUSE och OpenShift.

    Även moderna kärnversioner påverkas, inklusive Linux 7.0 före de korrigerade versionerna. Patchar har börjat dyka upp i nya kärnversioner och i distributionernas egna säkerhetsuppdateringar, men tillgången varierar mellan olika distributioner och versioner.

    För administratörer innebär det att man inte bara ska titta på den generella Linux-kärnans versionsnummer, utan också följa den egna distributionens säkerhetsråd. Distributioner bakportar ofta säkerhetsfixar till äldre kärnor utan att byta till en helt ny huvudversion.

    Så skyddar man sig

    Den rekommenderade lösningen är att installera en uppdaterad kärna från den egna distributionen och sedan starta om systemet. En kärnuppdatering börjar normalt inte skydda systemet fullt ut förrän maskinen faktiskt har startats om med den nya kärnan.

    Tillfälliga skyddsåtgärder kan vara att blockera de berörda modulerna om de inte används:

    Därefter kan initramfs behöva byggas om:

    Om modulerna redan är laddade kan de i vissa fall tas bort med:

    Men detta ska göras med försiktighet. Om systemet använder IPsec, strongSwan, Libreswan, AFS, RxRPC eller liknande funktioner kan blockeringen störa nätverk, VPN-anslutningar eller filsystem.

    Tillfällig åtgärd är inte samma sak som patch

    Att svartlista moduler kan minska attackytan, men det är ingen fullgod ersättning för en riktig säkerhetsuppdatering. Dessutom måste alla berörda delar hanteras. Om bara en av de sårbara komponenterna blockeras kan den andra fortfarande vara exploaterbar.

    Därför bör svartlistning främst ses som en tillfällig åtgärd för system där funktionerna inte används. Den långsiktiga lösningen är alltid att installera en korrigerad kärna.

    Viktigast för systemadministratörer

    Dirty Frag visar ännu en gång varför kärnuppdateringar är kritiska på Linuxsystem. Även om Linux har ett starkt säkerhetsrykte är kärnan mycket komplex, och små fel i minneshantering, nätverkskod eller cachelogik kan få stora konsekvenser.

    För vanliga användare är rådet enkelt: installera säkerhetsuppdateringar när de blir tillgängliga och starta om datorn.

    För administratörer är rådet mer brådskande: kontrollera vilka system som kör sårbara kärnor, prioritera servrar med flera användare eller obetrodda arbetslaster, uppdatera kärnan, starta om och använd tillfälliga mitigeringar där det är lämpligt.

    Dirty Frag är inte en fjärrattack, men i moderna Linuxmiljöer där containrar, automatiserade jobb och delade resurser är vanliga kan en lokal sårbarhet snabbt bli ett allvarligt hot.

    https://nvd.nist.gov/vuln/detail/CVE-2026-43284

    Teknisk faktaruta: Dirty Frag

    Namn: Dirty Frag

    Typ: Lokal privilegieeskalering i Linux-kärnan

    Risk: En lokal användare, container eller process kan i vissa fall höja sina rättigheter till root.

    Berörda områden: IPsec ESP/XFRM och RxRPC

    CVE-nummer: CVE-2026-43284 och CVE-2026-43500

    Påverkan: Servrar, containerhostar, Kubernetes-noder, CI/CD-runners och delade Linuxsystem är särskilt utsatta.

    Inte fjärrkörning: Dirty Frag kräver lokal kodkörning och är inte en direkt fjärrattack över internet.

    Rekommenderad åtgärd: Installera uppdaterad Linux-kärna från den egna distributionen och starta om systemet.

    Tillfällig mitigering: Blockera modulerna esp4, esp6 och rxrpc om de inte används.

    Varning: Att blockera dessa moduler kan påverka IPsec VPN, strongSwan, Libreswan, AFS och andra nätverksfunktioner.

  • Copy Fail: Linux-bugg kan ge vanliga användare root-behörighet

    En ny sårbarhet i Linux-kärnan, kallad Copy Fail, kan göra det möjligt för en vanlig lokal användare att skaffa sig fullständig kontroll över ett system. Felet, som har fått beteckningen CVE-2026-31431, är särskilt allvarligt för servrar, molnmiljöer och plattformar där flera användare eller processer delar samma maskin. En säkerhetsfix finns redan tillgänglig, men administratörer uppmanas att uppdatera och starta om sina system så snart som möjligt.

    En nyupptäckt sårbarhet i Linux-kärnan har fått säkerhetsvärlden att reagera. Felet kallas Copy Fail och har fått beteckningen CVE-2026-31431. Det gör det möjligt för en lokal, obehörig användare att i vissa fall ta full kontroll över ett Linux-system.

    Det handlar alltså inte om ett angrepp som kan göras direkt över internet utan tillgång till datorn. Men om en angripare redan kan köra kod på systemet, till exempel via ett kapat konto, skadlig programvara eller en sårbar applikation, kan felet användas för att höja behörigheten till root.

    Root är den högsta behörighetsnivån i Linux. Den som har root kan i praktiken göra vad som helst: läsa filer, ändra systeminställningar, installera program, skapa nya användare och stänga av säkerhetsfunktioner.

    Fyra byte räcker

    Det som gör Copy Fail särskilt uppseendeväckande är hur litet ingreppet kan vara. Enligt säkerhetsforskarna kan en lokal användare skriva fyra kontrollerade byte till sidcachen, eller page cache, för en fil som användaren kan läsa.

    Page cache är en del av Linux-systemets minne där filer tillfälligt lagras för att systemet ska bli snabbare. I stället för att läsa samma data från hårddisken om och om igen kan Linux hämta den från minnet. Det är normalt en osynlig men viktig prestandafunktion.

    I det här fallet kan angriparen utnyttja ett fel i hur kärnan hanterar kopiering och minne. Genom att påverka innehållet i sidcachen kan angriparen manipulera systemet på ett sätt som i slutänden kan ge root-behörighet.

    Allvarligt för servrar och molnmiljöer

    För vanliga hemanvändare är risken mindre, eftersom angriparen först behöver kunna köra kod lokalt på datorn. Men för miljöer där många användare eller processer delar samma system är hotet betydligt större.

    Särskilt utsatta är:

    • delade Linux-servrar
    • webbhotell och hostingplattformar
    • utvecklingsmiljöer
    • CI/CD-system och byggservrar
    • containerplattformar
    • molnservrar som kör kod från olika kunder eller projekt

    I sådana miljöer kan en till synes begränsad användare eller process bli en väg in till full systemkontroll.

    Offentlig exploit ökar pressen

    Sårbarheten offentliggjordes den 29 april 2026. Enligt uppgifterna finns det redan publik proof-of-concept-kod, alltså demonstrationskod som visar hur felet kan utnyttjas.

    Det gör situationen mer brådskande. När tekniska detaljer och fungerande exempel blir offentliga ökar risken att angripare snabbt bygger egna verktyg för att automatisera attacker.

    Copy Fail har bekräftats på flera stora Linux-distributioner, bland annat:

    • Ubuntu 24.04 LTS
    • Amazon Linux 2023
    • Red Hat Enterprise Linux 10.1
    • SUSE Linux Enterprise Server 16

    Felet ska ha sitt ursprung i en ändring i Linux-kärnan från 2017. Det innebär att den sårbara kodvägen kan ha funnits i många år innan den upptäcktes.

    Uppdatera och starta om

    Den goda nyheten är att en fix redan finns tillgänglig i Linux-kärnan. För administratörer och användare är rådet tydligt: installera de senaste säkerhetsuppdateringarna från den egna Linux-distributionen och starta sedan om systemet så att den nya kärnan faktiskt används.

    Som tillfällig skyddsåtgärd rekommenderar forskarna att den berörda kärnmodulen inaktiveras tills uppdateringar är installerade. För de flesta är dock den säkraste och enklaste vägen att använda distributionens vanliga uppdateringskanaler.

    Därför spelar det här roll

    Copy Fail visar hur sårbarheter i operativsystemets kärna kan få stora konsekvenser även om de inte går att utnyttja direkt på distans. I moderna IT-miljöer är lokal kodkörning ofta bara ett steg i en större attackkedja.

    En angripare som först får begränsad åtkomst kan använda en sådan här sårbarhet för att ta sig hela vägen till administratörsnivå. Därifrån kan intrånget bli betydligt svårare att upptäcka och stoppa.

    För Linux-administratörer är slutsatsen enkel: uppdatera kärnan, starta om systemet och kontrollera att den patchade versionen verkligen körs.

    Teknisk faktaruta

    Copy Fail – CVE-2026-31431

    Typ: Lokal privilegieeskalering i Linux-kärnan

    Påverkan: En lokal, obehörig användare kan i vissa fall få root-behörighet.

    Teknisk detalj: Angriparen kan skriva fyra kontrollerade byte till page cache för en läsbar fil.

    Riskmiljöer: Delade servrar, molnplattformar, CI/CD-system, containerhosts och utvecklingsmiljöer.

    Åtgärd: Installera senaste kerneluppdateringen från distributionens säkerhetskanal och starta om systemet.

    $ sudo apt update && sudo apt full-upgrade
    $ sudo reboot

  • IPFire 2.29 Core Update 201

    IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett ännu starkare alternativ för den som vill bygga ett säkert och flexibelt nätverk.

    IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett ännu starkare alternativ för den som vill bygga ett säkert och flexibelt nätverk.

    Från grindvakt till aktiv hotjägare

    En vanlig brandvägg fungerar ofta som en grindvakt. Den kontrollerar vilken trafik som får passera in och ut ur nätverket. Men IPFires nya DNS-brandvägg går ett steg längre. Den försöker stoppa skadliga webbplatser, nätfiske, reklamdomäner och annat oönskat innehåll innan datorn, mobilen eller servern ens försöker ansluta.

    Det sker genom DNS, alltså systemet som översätter domännamn som example.com till IP-adresser. När en enhet på nätverket frågar efter en domän går frågan via IPFires DNS-proxy. Där jämförs domänen mot IPFire DBL, projektets egen kontinuerligt uppdaterade spärrlista över skadliga eller oönskade domäner.

    Om domänen finns på listan får klienten svaret att domänen inte existerar. Resultatet blir att ingen anslutning görs, inget innehåll hämtas och hotet stoppas mycket tidigt i kedjan.

    Ett alternativ till Pi-hole och gamla URL-filter

    Många nätverksintresserade har länge använt lösningar som Pi-hole för att blockera reklam, spårning och skadliga domäner. Andra har använt traditionella URL-filter i brandväggen. Problemet är att de äldre lösningarna ofta kräver extra konfiguration, ytterligare en maskin eller fungerar sämre i dagens webblandskap där nästan all trafik är krypterad.

    IPFires DNS-brandvägg är tänkt att ersätta båda dessa upplägg. Eftersom DNS-trafiken redan passerar brandväggen kan filtreringen ske centralt. Det betyder att telefoner, datorer, surfplattor och IoT-prylar kan skyddas utan att varje enskild enhet måste konfigureras manuellt.

    Uppdaterade spärrlistor varje timme

    En viktig teknisk nyhet är hur spärrlistorna uppdateras. IPFire använder inkrementella DNS-zonöverföringar, så kallad IXFR, för att föra in uppdateringar direkt i DNS-proxyn. Det innebär att listorna kan hållas färska med liten bandbreddsanvändning.

    I praktiken betyder det att nya hot kan blockeras snabbare, samtidigt som systemet inte behöver ladda ner stora listor om och om igen.

    Förbättrat intrångsskydd

    Utöver DNS-brandväggen har IPFire också förbättrat sitt Intrusion Prevention System, IPS. Det är nu möjligt att ange olika mottagare för dagliga, veckovisa och månatliga IDS-rapporter.

    Det kan vara särskilt användbart i organisationer där olika personer ansvarar för olika typer av säkerhetsuppföljning. En tekniker kanske vill se dagliga varningar, medan en chef eller säkerhetsansvarig bara behöver en sammanfattning varje vecka eller månad.

    Modernare grundsystem

    Core Update 201 innehåller också en större uppdatering av byggkedjan, alltså de grundläggande verktyg som används för att bygga hela systemet. IPFire har uppdaterats till bland annat GNU C Library 2.43, GNU binutils 2.46.0, OpenSSL 3.6.1, OpenVPN 2.6.19, BIND 9.20.20, iptables 1.8.12 och Suricata Reporter 0.7.

    Det här låter kanske torrt, men det är viktigt. Moderna systembibliotek och säkerhetskomponenter ger bättre hårdvarustöd, förbättrad säkerhet och en stabilare grund för framtida uppdateringar.

    Mindre attackyta och bättre stabilitet

    IPFire-teamet har också rensat bort Rust-paket som inte längre behövs i distributionen. Färre onödiga komponenter betyder mindre byggarbete och framför allt en mindre attackyta.

    Andra förbättringar gäller bland annat nätverksinstallationen, som nu reserverar mer diskutrymme när systemet startas via nätverk, samt bättre experimentellt stöd för RISC-V-enheter. Web proxy-brandväggsregler skapas dessutom nu med flaggan –wait, vilket minskar risken för kapplöpningsproblem när regler läggs in.

    Add-ons har också uppdaterats

    Flera tilläggspaket har fått nya versioner, bland annat Git, Samba, Postfix, nano, minicom och tshark. Samtidigt har paketet 7zip tagits bort ur tilläggssamlingen eftersom upstream-projektet inte längre underhålls. För en säkerhetsinriktad distribution som IPFire är det en tydlig markering: gammal och övergiven mjukvara hör inte hemma i en brandvägg.

    Varför spelar det här roll?

    DNS-brandväggar är inte en magisk lösning på alla säkerhetsproblem. De stoppar inte allt, och de ersätter inte goda lösenord, uppdaterade system eller sunt säkerhetstänkande. Men de kan blockera många hot mycket tidigt, ofta innan användaren ens märker att något var på väg att hända.

    För småföretag, skolor, hemmalabb och teknikintresserade användare kan IPFire 2.29 Core Update 201 därför bli en särskilt intressant uppdatering. Den flyttar en typ av skydd som tidigare ofta krävde separata lösningar direkt in i brandväggen.

    Tillgänglighet

    IPFire 2.29 Core Update 201 finns nu att ladda ner som ISO- och USB-avbildningar från projektets officiella webbplats. Befintliga IPFire-användare kan installera uppdateringen via Pakfire, precis som vanligt.

    Med DNS-brandväggen tar IPFire ett tydligt steg från traditionell brandvägg till mer aktivt nätverksskydd, och gör det på ett sätt som både avancerade användare och mindre organisationer kan dra nytta av.

    https://www.ipfire.org/downloads/ipfire-2.29-core200

    Teknisk faktaruta: IPFire 2.29 Core Update 201

    Distribution: IPFire

    Version: 2.29 Core Update 201

    Typ: Linuxbaserad brandväggsdistribution

    Största nyhet: Inbyggd DNS-brandvägg

    Skyddar mot: Skadliga domäner, nätfiske, reklam och oönskat innehåll

    Teknik: DNS-frågor kontrolleras mot IPFire DBL innan svar skickas till klienten

    Blockering: Otillåtna domäner returnerar NXDOMAIN, vilket gör att domänen uppfattas som obefintlig

    Uppdatering av listor: Inkrementella DNS-zonöverföringar via IXFR

    IPS-förbättring: Olika mottagare kan anges för dagliga, veckovisa och månatliga IDS-rapporter

    Uppdaterade komponenter: glibc 2.43, GNU binutils 2.46.0, OpenSSL 3.6.1, OpenVPN 2.6.19 och BIND 9.20.20

    Installation: Nya installationer via ISO eller USB-avbildning, befintliga system uppdateras via Pakfire



  • Tails varnar i tid – ny version ska förebygga uppstartsproblem

    En ny version av det integritetsinriktade operativsystemet Tails ska hjälpa användare att undvika framtida uppstartsproblem. Genom att varna för föråldrade säkerhetscertifikat, som slutar gälla 2026, vill utvecklarna förebygga fel innan de uppstår.

    En ny version av det integritetsfokuserade operativsystemet Tails har släppts. Med Tails 7.7 införs en funktion som varnar användare för ett problem som annars riskerar att slå till först när det är för sent – vid datorns uppstart.

    Tails används av personer som vill surfa anonymt och skydda sin kommunikation. Systemet körs ofta från ett USB-minne och all internettrafik leds genom Tor-nätverket, vilket gör det svårt att spåra användaren.

    Den största förändringen i version 7.7 rör så kallade Secure Boot-certifikat. Dessa används av datorer för att kontrollera att endast betrodd programvara startas. Många datorer använder fortfarande certifikat som utfärdades 2011, men dessa kommer att upphöra att gälla i juni 2026.

    Microsoft började redan 2023 ersätta de gamla certifikaten, men långt ifrån alla system har uppdaterats. När certifikaten löper ut kan det leda till att datorer inte längre kan starta operativsystem som Tails.

    För att förebygga detta inför Tails nu en varningsfunktion som meddelar användaren om äldre certifikat fortfarande används. Tanken är att problemet ska kunna åtgärdas i god tid innan det orsakar driftstörningar.

    Utöver denna förändring innehåller uppdateringen även nya versioner av centrala program. Tor Browser uppdateras till version 15.0.10 och e-postklienten Thunderbird till version 140.9.1. Båda är viktiga komponenter för säker kommunikation och anonym surfning.

    Även säkerheten i systemet har förstärkts. Bland annat har åtkomsten till systemkatalogen /root begränsats så att endast administratören kan läsa innehållet.

    För befintliga användare är uppdateringen relativt enkel. De som kör Tails 7.0 eller senare kan uppgradera automatiskt utan att förlora data som sparats i så kallad Persistent Storage. Om uppgraderingen misslyckas rekommenderas en manuell installation.

    Samtidigt uppmanas nya användare att vara uppmärksamma vid installation. Att installera Tails på ett USB-minne raderar all befintlig lagrad data på enheten.

    Med den nya varningsfunktionen försöker Tails göra ett annars osynligt tekniskt problem mer konkret. I stället för att användare först märker av felet när datorn slutar fungera, får de nu en chans att agera i förväg. Det är en förändring som kan få stor betydelse, särskilt för dem som är beroende av ett fungerande och säkert system.

    https://tails.net/

    Teknisk fakta: Tails 7.7

    Version: Tails 7.7

    Fokus: Integritet, anonymitet och säker uppstart

    Ny funktion: Varnar för äldre Secure Boot-certifikat

    Riskdatum: Juni 2026

    Tor Browser: 15.0.10

    Thunderbird: 140.9.1

    Säkerhetsändring: /root kan endast läsas av root-användaren

  • OpenSSL 4.0 är här – säkrare kryptering för ett internet i förändring

    OpenSSL 4.0 är här med starkare integritet, modernare kryptografi och skärpta säkerhetskontroller. Den nya versionen av ett av internets viktigaste säkerhetsbibliotek tar sikte på både dagens hot och morgondagens utmaningar – från bättre skydd av användares trafik till förberedelser för en post-kvantvärld.

    OpenSSL 4.0 har nu släppts, och det är en stor uppdatering av ett av världens viktigaste programbibliotek för säker kommunikation på nätet. Även om namnet kanske främst är bekant för systemadministratörer och utvecklare, påverkar OpenSSL i praktiken allt från webbplatser och appar till servrar och molntjänster. När biblioteket uppdateras får det därför betydelse långt utanför programmerarnas värld.

    Den nya versionen innehåller flera tekniska förbättringar, men också en tydlig signal om vart internets säkerhet är på väg: mot starkare integritet, bättre verifiering och förberedelser för framtidens kryptografi.

    Vad är OpenSSL?

    OpenSSL är ett öppet och fritt programbibliotek som används för att skapa säkra anslutningar över nätverk. Det ligger bakom mycket av den kryptering som skyddar information när vi surfar på webben, loggar in på tjänster, skickar data mellan servrar eller använder appar som behöver säker kommunikation.

    Kort sagt är OpenSSL en av de byggstenar som gör att internet kan fungera på ett säkert sätt.

    En viktig nyhet: Encrypted Client Hello

    En av de mest uppmärksammade nyheterna i OpenSSL 4.0 är stöd för Encrypted Client Hello, ofta förkortat ECH. Det är en teknik som stärker användarnas integritet i samband med att en säker anslutning upprättas.

    Normalt avslöjar de allra första stegen i en krypterad anslutning viss information om vilken webbplats en användare försöker nå, även innan den fullständiga krypteringen har kommit på plats. Med ECH krypteras även denna inledande del av kommunikationen bättre, vilket gör det svårare för utomstående att se vilken tjänst användaren kontaktar.

    Det här är en viktig utveckling i en tid då integritet på nätet blivit en allt större fråga. För vanliga användare märks det kanske inte direkt, men i praktiken kan det göra internet mer privat.

    Förbereder sig för tiden efter dagens kryptografi

    OpenSSL 4.0 visar också att utvecklingen inom säkerhet inte bara handlar om dagens hot, utan också om morgondagens. Bland nyheterna finns stöd för nya algoritmer och hybridlösningar som kopplar samman klassisk kryptografi med post-kvantteknik.

    Det handlar om att stegvis förbereda system för en framtid där kvantdatorer på sikt kan hota vissa av dagens krypteringsmetoder. Genom att införa stöd för fler moderna nyckelutbytesmetoder och algoritmer bygger OpenSSL en bro mellan nuvarande standarder och framtidens säkerhetskrav.

    Det är inte något som vanliga användare kommer att behöva tänka på i vardagen, men för företag, myndigheter och utvecklare är det ett tydligt tecken på att säkerhetsvärlden redan planerar för nästa stora tekniksprång.

    Striktare kontroll av certifikat

    En annan viktig förbättring i OpenSSL 4.0 är att verifieringen av certifikat har skärpts. Certifikat används för att bekräfta att en webbplats eller tjänst verkligen är den den utger sig för att vara. Om sådana kontroller är för svaga finns risk att felaktiga eller manipulerade certifikat slinker igenom.

    I den nya versionen införs bland annat bättre kontroller kopplade till AKID-verifiering när strikta verifieringslägen används, samt en utökad process för att kontrollera spärrlistor över återkallade certifikat, så kallade CRL:er.

    Detta är kanske inte den mest spektakulära nyheten vid första anblick, men det är en typisk förbättring som stärker säkerheten där det verkligen räknas: i detaljerna.

    Bättre stöd för moderna standarder

    OpenSSL 4.0 lägger också till stöd för flera nya kryptografiska funktioner och standarder. Bland dessa finns stöd för olika nyckelderiveringsfunktioner, nya signaturalgoritmer och förbättringar i TLS 1.2, bland annat förhandlad FFDHE-nyckelutväxling enligt etablerade standarder.

    Det kan låta mycket tekniskt, men poängen är enkel: OpenSSL blir bättre på att hantera modern säker kommunikation i många olika miljöer, från webbservrar till specialiserade nätverksprotokoll.

    Dessutom får Windows-användare större flexibilitet genom stöd för både statisk och dynamisk koppling till Visual C-runtime, vilket kan underlätta distribution och kompatibilitet.

    Städar bort gammal teknik

    En stor versionsuppdatering handlar inte bara om att lägga till nytt, utan också om att ta bort sådant som blivit föråldrat eller osäkert. OpenSSL 4.0 gör därför en ganska omfattande utrensning.

    Bland annat har stödet för SSLv2 Client Hello och SSLv3 tagits bort. Det är gamla protokoll som länge varit kända som otillräckliga ur säkerhetssynpunkt. Även stöd för engines har tagits bort, liksom flera äldre och numera föråldrade funktioner och verktyg.

    Det här är viktigt, eftersom gamla kompatibilitetslager ofta lever kvar längre än de borde. Genom att rensa bort dem minskar risken för att osäkra lösningar används av misstag.

    Färre genvägar, mer robust kod

    Utvecklarna bakom OpenSSL har också gjort flera förändringar som förbättrar bibliotekets interna struktur. Vissa datatyper har gjorts helt opaka, vilket betyder att deras interna uppbyggnad inte längre är direkt åtkomlig för utvecklare. Det kan uppfattas som besvärligt för äldre programkod, men är i längden en fördel eftersom det gör biblioteket lättare att underhålla och säkrare att utveckla vidare på.

    Många API-funktioner har också justerats, bland annat med fler const-kvalificeringar, vilket hjälper utvecklare att skriva tydligare och mindre felbenägen kod.

    Sådana förändringar märks sällan utåt, men de spelar stor roll för stabilitet och kvalitet i stora programvaruprojekt.

    Inte alltid bäst att installera själv

    Även om den nya versionen går att ladda ner direkt från projektets GitHub-sida rekommenderas många användare att i stället installera OpenSSL via sin Linux-distributions stabila paketkällor. Skälet är enkelt: distributionernas pakethantering ser till att rätt version passar ihop med övriga delar av systemet och att säkerhetsuppdateringar hanteras på ett kontrollerat sätt.

    För den som driver servrar eller utvecklar säkerhetskritiska system kan det ändå vara viktigt att läsa release notes noggrant, eftersom övergången till 4.0 också innebär att vissa äldre funktioner försvinner eller ändrar beteende.

    Ett steg mot framtidens säkra internet

    OpenSSL 4.0 är mer än bara en vanlig uppdatering. Det är en modernisering av en central komponent i internets säkerhetsinfrastruktur. Med bättre integritet genom ECH, skarpare certifikatkontroller, stöd för nya kryptografiska standarder och en tydlig utrensning av gammal teknik visar projektet att det tar både dagens och framtidens hot på allvar.

    För de flesta internetanvändare kommer förändringarna att ske i bakgrunden. Men just där, i det osynliga lagret av kryptering och verifiering, avgörs ofta hur säkert vårt digitala samhälle faktiskt är.

    https://github.com/openssl/openssl/releases/tag/openssl-4.0.0

    > TEKNISK FAKTARUTA / OPENSSL 4.0
    Bibliotek: OpenSSL
    Version: 4.0
    Fokus: Kryptering, certifikat, TLS, framtidssäker säkerhet
    Ny integritetsfunktion: Encrypted Client Hello (ECH)
    Nya algoritmer: ML-DSA-MU, cSHAKE, SM2/SM3
    Post-kvantstöd: Hybridlösningar med ML-KEM
    Skärpta kontroller: AKID-verifiering och utökad CRL-validering
    Utfasat: SSLv3, SSLv2 Client Hello, engines
    Rekommendation: Installera via distributionens stabila paketkällor

    Andra nyheter om OpenSSL

  • Linux 7.0 är här – men den stora nyheten är inte siffran

    Linux 7.0 är här – men bakom det nya versionsnumret döljer sig ingen dramatisk omvälvning. I stället handlar det om en rad genomtänkta förbättringar som gör operativsystemet säkrare, snabbare och mer framtidssäkrat. Med stabilt stöd för Rust, nya säkerhetslösningar och smartare hantering av resurser fortsätter Linux att utvecklas i små men viktiga steg.

    När Linux 7.0 nu har släppts är det lätt att tro att vi står inför ett dramatiskt teknikskifte. Men versionshoppet från 6.19 till 7.0 är framför allt en praktisk omnumrering, inte en revolution. Linus Torvalds beskriver releasen som stabil och relativt odramatisk, med fokus på många små förbättringar snarare än stora förändringar.

    Det betyder dock inte att uppdateringen är ointressant. Tvärtom visar Linux 7.0 hur modern systemutveckling fungerar: genom kontinuerliga förbättringar som tillsammans gör systemet snabbare, säkrare och mer flexibelt.

    Rust blir en etablerad del av kärnan

    En av de mest uppmärksammade nyheterna är att programmeringsspråket Rust inte längre betraktas som experimentellt i Linuxkärnan.

    Det innebär inte att C försvinner, men det markerar att Rust nu är ett accepterat verktyg för utvecklare. Fördelen är att Rust är designat för att undvika många vanliga minnesfel redan innan programmet körs. På sikt kan det leda till färre buggar och säkrare system.

    Säkerhet i fokus – redo för framtidens hot

    Linux 7.0 tar också steg mot framtidens cybersäkerhet. Stöd för post-kvantkryptografi införs genom ML-DSA-signaturer, samtidigt som äldre och osäkrare metoder som SHA-1 tas bort.

    Det visar hur kärnan utvecklas i takt med nya hot – även sådana som ännu inte är fullt verklighet, som attacker från framtida kvantdatorer.

    Bättre kontroll och isolering i systemet

    Ett annat viktigt område är förbättrad kontroll i systemet. Den snabba I/O-mekanismen io_uring får bättre filtrering, vilket gör det lättare att begränsa vad program får göra i känsliga miljöer.

    Dessutom introduceras nullfs, ett minimalistiskt filsystem som fungerar som en tom startpunkt innan det riktiga systemet laddas. Det gör uppstarten mer flexibel och renare, särskilt i container- och molnmiljöer.

    Prestanda och lagring förbättras

    Linux 7.0 innehåller flera förbättringar inom lagring och minneshantering. Swap-systemet förenklas och blir mer effektivt, och filsystem som XFS får nya funktioner för övervakning och självläkning.

    Även andra filsystem förbättras, till exempel med bättre stöd för stora blockstorlekar och modern komprimering. Det handlar om små tekniska steg som tillsammans kan ge märkbara prestandavinster.

    Smartare nätverk och modernare infrastruktur

    På nätverkssidan aktiveras AccECN, en teknik som hjälper datorer att reagera tidigare på trängsel i nätverket. Det kan leda till stabilare och snabbare dataöverföringar.

    Samtidigt fortsätter förbättringar inom virtualisering och molnstöd, vilket gör Linux ännu bättre anpassat för moderna IT-miljöer.

    En evolution – inte en revolution

    Det kanske viktigaste med Linux 7.0 är vad det representerar. Trots det nya versionsnumret handlar det inte om ett stort språng, utan om fortsatt evolution.

    Linux utvecklas steg för steg: säkrare kod, bättre prestanda, renare arkitektur och fler verktyg för framtiden. Det är just denna stabila och metodiska utveckling som gjort Linux till ryggraden i allt från servrar till mobiltelefoner och superdatorer.

    Kort sagt: Linux 7.0 ser kanske stort ut på ytan, men den verkliga styrkan ligger i de många små förbättringarna som driver tekniken framåt.

    https://lore.kernel.org/lkml/CAHk-=wj2WqpPBwpAXo8bj_Hx-NxKMRVTVMUaQis7+Vm6XLRZiw@mail.gmail.com/T/#u

    Teknisk fakta: Linux 7.0

    Version: Linux Kernel 7.0

    Typ av release: Versionsskifte från 6.19, främst en omnumrering

    Viktig nyhet: Rust-stöd är inte längre markerat som experimentellt

    Säkerhet: Stöd för ML-DSA post-kvant-signaturer, SHA-1 för modulsignering borttaget

    Filsystem: Uppdateringar för Btrfs, EROFS, XFS och F2FS

    Nätverk: AccECN aktiverat, CAKE får multiqueue-stöd

    Virtualisering: Förbättringar i KVM och Hyper-V

    Övrigt: NULLFS introduceras, förbättringar i minneshantering och swap

    Andra artiklar om Linux Kernel

Etikett: cybersäkerhet

  • FreeRDP 3.28 har släppts

    FreeRDP gör det möjligt att styra en dator på distans, nästan som om man satt framför den. I version 3.28 ligger fokus på säkrare anslutningar, färre krascher och bättre stöd för flera plattformar. Uppdateringen rättar flera sårbarheter, väcker liv i klienten för iPhone och iPad och förbättrar funktioner i Android, Windows och macOS. FreeRDP är…

  • Parrot OS 7.3 är här – snabbare, smidigare och bättre anpassad för modern hårdvara

    Parrot OS 7.3 är här med fokus på modern hårdvara, bättre prestanda och smidigare användning. Den Debian-baserade säkerhetsdistributionen får optimerade paket för nyare processorer, officiella Vagrant-boxar, uppdaterade säkerhetsverktyg och ett nytt menysystem som gör det enklare att installera verktyg vid behov. Parrot OS 7.3 har nu släppts. Det är en ny version av den Debian-baserade…

  • Kali Linux 2026.2 är här – verktygslådan för IT-säkerhet har blivit vassare

    Kali Linux 2026.2 är här med nya skrivbordsmiljöer, fler säkerhetsverktyg och snabbare virtuella maskiner. Den populära Linuxdistributionen, som används av säkerhetsexperter och etiska hackare, har fått uppdateringar som gör systemet både modernare och mer effektivt – samtidigt som Kali NetHunter fortsätter att växa på mobila enheter. Kali Linux 2026.2 har nu släppts av Offensive Security.…

  • Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    När AI-verktyg gör det lättare att hitta säkerhetsbrister i öppen källkod ökar också trycket på de utvecklare som måste hantera rapporterna. Därför lanserar Linux Foundation initiativet Akrites, som ska samordna rapportering, åtgärder och offentliggörande av allvarliga sårbarheter i viktiga öppna projekt. Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare Öppen källkod är en grundpelare…

  • DirtyClone: ny Linux-sårbarhet kan ge angripare root-behörighet

    Linuxvärlden har drabbats av ännu en allvarlig kärnsårbarhet. Den nya bristen, kallad DirtyClone, är nära besläktad med DirtyFrag och kan i vissa fall låta en lokal angripare få root-behörighet på sårbara system. Även om felet inte kan utnyttjas direkt på distans är risken betydande, särskilt på system med containrar eller unprivileged user namespaces aktiverade. När…

  • Linux-bugg kan ge root-rättigheter och container-utbrytning

    En allvarlig sårbarhet i Linux-kärnans brandväggskod kan låta en vanlig lokal användare få root-rättigheter och i vissa fall bryta sig ut ur en container. Felet, CVE-2026-23111, är redan rättat i Linux-kärnan, men fungerande exploitkod finns nu offentligt dokumenterad. Administratörer bör därför uppdatera kernelpaketen och starta om berörda system snarast. Säkerhetsforskare har publicerat en detaljerad och…

  • HTTP/2 Bomb – ny attack kan få webbservrar att krokna på sekunder

    En ny attack mot HTTP/2, kallad HTTP/2 Bomb, visar hur moderna webbprotokoll kan utnyttjas på oväntade sätt. Genom att missbruka komprimering och flödeskontroll kan en angripare få webbservrar som Nginx, Apache, IIS, Envoy och Pingora att snabbt förbruka stora mängder minne – i vissa fall på bara några sekunder. En ny typ av överbelastningsattack mot…

  • IBM och Red Hat satsar 5 miljarder dollar på säkerhet i öppen källkod

    IBM och Red Hat lanserar Project Lightwell, en satsning på 5 miljarder dollar för att stärka säkerheten i öppen källkod. Genom att kombinera AI-assisterad kodanalys med tusentals ingenjörer vill företagen skapa ett betrott säkerhetslager för företag som är beroende av Linux, Kubernetes, Java, AI-ramverk och andra centrala open source-komponenter. IBM och Red Hat lanserar Project…

  • WireGuard Easy 15.3: enklare och säkrare kontroll över vem som får nå vad i VPN-nätet

    WireGuard Easy 15.3 gör det enklare att driva en egen VPN-server med bättre kontroll över vilka resurser olika klienter får nå. Den stora nyheten är serverbaserad kontroll av Allowed IPs, vilket innebär att åtkomstregler kan genomdrivas på serversidan i stället för att enbart bygga på klientens konfiguration. Uppdateringen innehåller också förbättrad QR-kodshantering, bättre stöd för…

  • När Linux sätter gränser för vad som är en säkerhetsbugg

    När antalet AI-genererade sårbarhetsrapporter ökar vill Linuxprojektet dra en tydligare gräns mellan vanliga buggar och verkliga säkerhetshål. Linus Torvalds har nu slagit ihop ny dokumentation som förklarar när ett fel i Linuxkärnan ska behandlas som en säkerhetsbugg, hur rapporter bör skickas in och varför spekulativa AI-fynd inte får belasta säkerhetsteamet i onödan. Resultatet är en…

  • Nginx 1.31 släpps med forward proxy-stöd och flera säkerhetsfixar

    Nginx är en av internets viktigaste byggstenar. Den används för att leverera webbsidor, fördela trafik mellan servrar och fungera som mellanhand mellan användare och webbapplikationer. Med Nginx 1.31 tar projektet ett nytt steg: webbservern får stöd för HTTP forward proxy, samtidigt som flera säkerhetshål i moderna webbprotokoll som HTTP/2 och HTTP/3 täpps till. För de…

  • KDE får över en miljon euro för att stärka det fria skrivbordet

    KDE får över en miljon euro från Sovereign Tech Fund för att stärka det fria Linux-skrivbordet. Pengarna ska gå till bättre återställning, fabriksåterställning, säkrare infrastruktur och förbättrad e-post- och kalenderhantering. Satsningen visar hur fri och öppen källkod blir allt viktigare när Europas digitala självständighet hamnar högre upp på den politiska och tekniska dagordningen. Det fria…

  • Parrot 7.2 släppt – säkerhets-Linux får viktig patch mot ”Copy Fail”

    Parrot OS 7.2 är nu släppt och kommer med en viktig säkerhetsuppdatering mot sårbarheten ”Copy Fail”. Den nya versionen bygger på Linux 6.19.13, använder KDE Plasma 6.3.6 som standardmiljö och innehåller uppdaterade verktyg för penetrationstestning, digital forensik och säkerhetsanalys. För säkerhetsintresserade Linuxanvändare är detta framför allt en stabiliserande release där kärna, verktyg och infrastruktur har…

  • Nödbroms i Linuxkärnan ska kunna stoppa farliga funktioner

    När allvarliga säkerhetshål i Linuxkärnan blir offentliga kan tiden fram till en färdig uppdatering vara kritisk. Nu diskuteras ett nytt förslag om en så kallad killswitch, en nödbroms som tillfälligt kan stänga av sårbara funktioner i kärnan. Målet är inte att laga felet direkt, utan att minska risken för angrepp medan administratörer väntar på en…

  • Dirty Frag: ny Linux-sårbarhet kan ge lokal användare root-behörighet

    Dirty Frag är en ny sårbarhet i Linux-kärnan som kan låta en lokal användare eller process höja sina rättigheter till root. Problemet berör bland annat IPsec ESP/XFRM och RxRPC och är särskilt allvarligt på servrar, containerplattformar, CI/CD-runners och andra system där obetrodd kod kan köras. Eftersom publik exempelkod finns tillgänglig bör administratörer uppdatera kärnan och…

  • Copy Fail: Linux-bugg kan ge vanliga användare root-behörighet

    En ny sårbarhet i Linux-kärnan, kallad Copy Fail, kan göra det möjligt för en vanlig lokal användare att skaffa sig fullständig kontroll över ett system. Felet, som har fått beteckningen CVE-2026-31431, är särskilt allvarligt för servrar, molnmiljöer och plattformar där flera användare eller processer delar samma maskin. En säkerhetsfix finns redan tillgänglig, men administratörer uppmanas…

  • IPFire 2.29 Core Update 201

    IPFire 2.29 Core Update 201 är här med en av projektets största nyheter hittills: en inbyggd DNS-brandvägg. Den nya funktionen stoppar skadliga domäner, nätfiske, reklam och annat oönskat innehåll redan innan enheterna i nätverket hinner ansluta till dem. Samtidigt förbättras intrångsskyddet, systemets grundkomponenter uppdateras och flera paket får nya versioner, vilket gör IPFire till ett…

  • Tails varnar i tid – ny version ska förebygga uppstartsproblem

    En ny version av det integritetsinriktade operativsystemet Tails ska hjälpa användare att undvika framtida uppstartsproblem. Genom att varna för föråldrade säkerhetscertifikat, som slutar gälla 2026, vill utvecklarna förebygga fel innan de uppstår. En ny version av det integritetsfokuserade operativsystemet Tails har släppts. Med Tails 7.7 införs en funktion som varnar användare för ett problem som…

  • OpenSSL 4.0 är här – säkrare kryptering för ett internet i förändring

    OpenSSL 4.0 är här med starkare integritet, modernare kryptografi och skärpta säkerhetskontroller. Den nya versionen av ett av internets viktigaste säkerhetsbibliotek tar sikte på både dagens hot och morgondagens utmaningar – från bättre skydd av användares trafik till förberedelser för en post-kvantvärld. OpenSSL 4.0 har nu släppts, och det är en stor uppdatering av ett…

  • Linux 7.0 är här – men den stora nyheten är inte siffran

    Linux 7.0 är här – men bakom det nya versionsnumret döljer sig ingen dramatisk omvälvning. I stället handlar det om en rad genomtänkta förbättringar som gör operativsystemet säkrare, snabbare och mer framtidssäkrat. Med stabilt stöd för Rust, nya säkerhetslösningar och smartare hantering av resurser fortsätter Linux att utvecklas i små men viktiga steg. När Linux…