Update für die ArchivistaBox ab sofort verfügbar
Egg, 4. Mai 2026: Seit einigen Tagen ist ein schwerer root-Bug aller aktuellen Linux-Systeme bekannt. Die unter dem Namen copy-faiil bekannte Sicherheitslücke ermöglicht es Angreifer/innen, von einem normalen Konto umgehend umfassende root-Rechte zu erhalten, mit der sämtliche Rechner nach Belieben verändert bzw. zerstört werden können.
Betroffen sind alle Linux-Lösungen, inklusive ArchivistaBox
Bei copy-fail geht es darum, dass ein «normales» lokales Programm sich ohne Passwort als root (Systembenutzer) ausgeben kann. Damit können Systeme unkontrollierbar verändert bzw. auch zerstört werden.
Es könnte zwar argumentiert werden, dass dies bei einer webbasierten Lösung wie der ArchivistaBox jetzt nicht so dramatisch ist, weil ja «nur» über die Web-Oberfläche gearbeitet wird. Will heissen, solange nicht der Web-Server Apache angegriffen wird, gelingt kein Angriff.
Das ist zwar so. Es muss aber auch angeführt werden, dass auf einem Linux-System Tausende von Programmen bzw. Hundertausende von Dateien existieren. Diese alle müssen zeitnah aktualisiert werden. Es reicht folglich, wenn in einer Bibliothek der Angriff verpackt wird. Gemäss heise.de erfolgen auch bereits Angriffe auf Linux-Systeme.
Erschwerend kommt aktuell dazu, dass für den Angriff gerade einmal 700 Zeichen Python-Code notwendig sind. Dieses Verhalten wurde von uns am Freitag (am Tag der Veröffentlichung der Lücke) so getestet und es musste festgestellt werden (wenig überraschend), dass dem auch so ist.
Aus diesem Grunde wurden unsere System am Freitag noch gefixt. Am Samstag wurde der Unterbau unserer Serverfarm gefixt (sorry für den Ausfall zwischen ca. 7 und 10 Uhr).
Alle Kunden sollten dringend updaten
Leider ist es so, dass alle Linux-Systeme weltweit von der root-Lücke betroffen sind. Die ArchivistaBox ist hier weder eine Ausnahme, noch ein Spezialfall. In diesem Sinn müssen die Systeme umgehend aktualisiert werden.
Kunden mit aktuellen Release (ab 2024) können uns eine Mail senden, dann erstellen wir prioritär für sie die entsprechenden ISO-Dateien. Kunden, welche ältere Versionen einsetzen, müssen jetzt auf das aktuelle Release wechseln. Je nach Pflegestand der Lösung ist dieser Schritt mehr oder minder einfach bzw. auch aufwändig(er).
Community-Versionen
Für diejenigen, welche mit einer Community-Version arbeiten, sei gesagt. Die ArchivistaBox AGPLv3 in der Version 2026, hier steht bereits ein Update zur Verfügung, es kann hier bezogen werden:
https://archivista.ch/cms/avmulti26
Diejenigen, welche mit der 2025er-Version arbeiten, sollten umgehend auf die Version 2026 upgraden. Für die Nutzer/innen von AVMultimedia erfolgen nach Kräften so bald als möglich ebenfalls Update. Bitte habt aber auch dafür Verständnis, dass die ArchivistaBox zeitnah(er) mit aktuellen Versionen versorgt wird, dies im Sinne der potenziellen Gefährdung. Wir werden hier zeitnah informieren, sobald die Updates zur Verfügung stehen.