Apache bezeichnet in erster Linie den Apache Webserver, der vor allem unter Linux und Unix zum Einsatz kommt. Zusätzlich ist es der Name der Apache Software Foundation, die nicht nur den Webserver entwickelt. Sie betreut auch verschiedene andere Projekte, wie Harmony, eine freie Java-Implementierung.
Ein Fehler im Apache-Webserver lässt Zugriffe außerhalb des Webroots zu, allerdings sind Standardkonfigurationen wohl nicht verwundbar.
Sonst noch was? Was am 27. September 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Das Projekt Rustls entsteht als sichere Alternative zu OpenSSL. Nun sollen technische Änderungen bei der Verbreitung helfen.
Um die TLS-Verschlüsselung im Apache-Server abzusichern, soll das künftig mit Rust umgesetzt werden. Finanziert wird dies von Google.
Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.
Der Code sämtlicher Projekte der Apache Software Foundation wird künftig offiziell auf Github gehostet. Das betrifft rund 350 Projekte mit zusammen mehr als 200 Millionen Zeilen Code.
Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.
Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.
Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis
Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos.
Entgegen der aktuellen Berichterstattung ändert Redis Labs die Lizenz seiner Datenbanksoftware nicht um. Dies sei missverstanden worden. Die Änderungen beziehen sich demnach nur auf einige spezielle Module wie Redisearch, Redis Graph oder Re-Json.
Neue JSON-Syntax und eine verbesserte Verschlüsselung von vornherein: MySQL bringt eine ganze Reihe von Neuerungen, unter anderem auch schnellere Performance von InnoDB und weitere Abfrage-Statements.
Netflix stellt seine Eigenentwicklung Titus als quelloffene Software zur Verfügung. Sie basiert auf Amazon EC2 und soll anderen Entwicklerteams helfen, ihre eigene Container-Software zu entwickeln. Ganz uneigennützig ist das aber nicht.
Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.
Von Hanno Böck
Für seine Cloud- und Enterprise-Dienste verstärkt Microsoft weiter sein Open-Source-Engagement, wie das Unternehmen auf der Entwicklerkonferenz Connect bekannt gab. Das betrifft vor allem Datenbanktechnik, aber auch eine Kooperation mit Github.
Der Standarddienst zum Drucken unter Unix, Cups, gehört seit Jahren zu Apple. Cups steht künftig aber nicht mehr unter der Copyleft-Lizenz GPL, sondern unter der freizügigen Apache-Lizenz. Apple räumt damit vor allem seine eigenen Ausnahmen auf.
Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.
Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.
Von Hanno Böck
Die Entwicklung der Java Enterprise Edition will Oracle an eine Open-Source-Community abgeben. Kandidaten könnten die Apache oder Eclipse Foundation sein. Gerüchte über einen Rückzug aus der Technik gibt es schon länger, Oracle will zunächst aber an Java EE festhalten.
Der Suchmaschinenbetreiber Ask.com gibt mehr Informationen preis, als er eigentlich sollte: Auf einer Apache-Statusseite lassen sich zahlreiche Suchanfragen von Nutzern verfolgen. Seit einem Monat hat das Unternehmen nicht auf die Fehlermeldung reagiert.
Von Hauke Gierow
Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.
Nach der Übernahme von Sun will sich Oracle künftig auch von der Java-IDE Netbeans trennen und diese der Apache Software Foundation übertragen. Das Projekt verliert damit auch zwingend das Copyleft-Prinzip für seinen Code.
Dennis Hamilton hat eine Diskussion die Zukunft der freien Officesuite angestoßen. Für den Vorsitzenden des Apache Openoffice Project Management Committee (PMC) gehört dazu auch ein mögliches Aus für das Projekt.
Wer einen Tor-Hidden-Service mit Apache betreibt, sollte seine Konfiguration überprüfen - denn die Standardeinstellung gibt teilweise Nutzerdaten preis. Die Lösung ist einfach umzusetzen.
Das könnte für Google teuer werden: Der Oberste Gerichtshof der Vereinigten Staaten hat bestätigt, dass Oracle ein Copyright auf seine Java-APIs zusteht. Jetzt wird vor dem Bezirksgericht weiterverhandelt.
Im Rechtsstreit um die Java-APIs unterstützen führende Beamte der US-Justiz die Position von Oracle, das von einem strengen Urheberschutz ausgeht. Der Android-Hersteller Google hofft weiter auf eine Verhandlung vor dem Obersten Gerichtshof der USA, um diese Position anzufechten.
Das in C++ geschriebene Framework Proxygen von Facebook unterstützt HTTP/1 und SPDY, HTTP/2 soll folgen. Einen Ersatz für Apache oder Nginx bietet der Open-Source-Code trotz Server aber nicht.
Was ist der aktuelle Stand der Forschung und Technik für Hauptspeicherdatenbanken? Wie lassen sich disruptive Eigenschaften für Anwendungen im "Immunsystem" des Unternehmens ausnutzen und wann ist der Einsatz dieser Technologie im Unternehmen wirtschaftlich sinnvoll?
Von Alexander Löser
Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.
Das bisher von Google gepflegte Apache-Modul für das SPDY-Protokoll ist nun offizieller Teil des Webservers. Das Modul soll Kernbestandteil der Version 2.4 und kommender Veröffentlichungen werden.
Oracle will über eine Milliarde US-Dollar von Google wegen der Nutzung von Java-APIs und kam dem mit einem Urteil jetzt näher. Java-Technik ist ein integraler Bestandteil von Googles Smartphone-Betriebssystem Android.
Schnellere SQL-Abfragen mit Apache Hive, eine verbesserte Mapreduce-Abfrage mit Tez und eine lange geforderte Suche sind die Komponenten, mit denen Hortonworks Hadoop weiterhin als Vorreiter im Bereich Big Data behaupten will. Die Investition Intels in Cloudera schürt die Angst vor einer Fragmentierung.
Seit drei Jahren steht der von Sourceforge eingesetzte Code als Allura bereit. Die Software hat eine lebendige Community und wird deshalb nun Top-Level-Projekt der Apache Software Foundation.
Strato bietet seinen Kunden Perfect Forward Secrecy für E-Mail und Hosting. Doch das Verfahren ist noch nicht auf den eigenen Seiten implementiert.
Der Linux-Distributor Red Hat und Hadoop-Betreuer Hortonworks gehen eine strategische Partnerschaft ein, um große Teile des Big-Data-Frameworks in Red Hats Produkte zu integrieren.
Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.
Die Apache-Foundation möchte ihre Standard-C++-Bibliothek in den Attic verschieben. Damit wird die Entwicklung der Software offiziell beendet.
Version 2.0 des Apache-Webservers erhält keine weiteren Updates und auch keine Sicherheitspatches mehr. Anwender sollen sobald wie möglich auf Version 2.2 oder 2.4 aktualisieren.
Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.
In den vergangenen Wochen sind immer mehr Webseiten zu Schadsoftwareverteilern umgebaut worden. Es trifft Webseiten sowie Installationen von Apache, Nginx und Lighttpd. Das Internet Storm Center fragt sich schon: "Gibt es noch Webseiten, die nicht kompromittiert sind?"
Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.
Immer mehr Entwickler verzichten auf die GPL zugunsten freizügigerer Open-Source-Lizenzen. Die GPL gilt als zu restriktiv, wenn es zur Zusammenarbeit mit kommerziellen und proprietären Lösungen kommen soll.
Wäre damals bekannt gewesen, dass Java keinen Copyrightschutz erhalten hätte, hätte Sun niemals so viel Zeit und Geld in die Entwicklung der Programmiersprache gesteckt. Das schreibt Scott McNealy an das Gericht, vor dem der Berufungsprozess zwischen Oracle und Google verhandelt wird.
Der Rechtsstreit zwischen Oracle und Google um Java eskaliert. Der Berufung von Oracle wollen sich nun Microsoft, EMC und Netapp anschließen. Als noch nicht direkt Betroffene berufen sie sich dabei auf eine Besonderheit des US-Rechtssystems.
Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.
Google soll 1,1 Millionen US-Dollar von Oracle für seine Ausgaben im Prozess um Java-Patente erhalten. Das hat der Richter William Alsup entschieden. Oracles Einwand, das Urteil sei richtungsweisend, ließ Alsup nicht gelten.
Mit der Veröffentlichung von Apache Openoffice.org 3.4.1 sind erste Anpassungen für Windows 8 umgesetzt worden. Außerdem unterstützt die freie Bürosuite fünf neue Sprachen.
Mit Drill soll die Abfrage und Analyse riesiger Datenmengen beschleunigt werden. Drill soll ein Incubator-Projekt der ASF werden und basiert auf dem Konzept des Google-Werkzeugs Dremel, welches das Unternehmen intern einsetzt.
Dass Twitter Open-Source-Software benutzt und selbst entwickelt, ist kein Geheimnis. Wie viel quelloffene Technik der Nachrichtendienst einsetzt und wo, hat der Leiter der Open-Source-Abteilung Chris Aniszczyk jetzt verraten.
Die soeben freigegebene Version 3.2 des Apache Traffic Servers bringt eine vollständige Unterstützung für IPv6 mit. Ferner wurde die SSL-Unterstützung ausgeweitet.
Mit Hike ist ein plattformübergreifender Instant Messenger in Deutschland veröffentlicht worden, der mit Whatsapp konkurriert. Auch wenn der Dienst einen guten ersten Eindruck hinterlässt, gibt es noch keinen Grund zu wechseln - denn Nachrichten werden bislang unverschlüsselt übertragen.
(Get.hike.in)
Acers neue Tablet-Reihe wird parallel zum Start von Windows 8 am 26. Oktober 2012 erscheinen. Wie bei Microsofts Surface-Tablets wird es auch hier eine um 100 Euro günstigere Variante ohne Dockingstation und Tastatur geben.
(Tablet Win 8)
Er hört zu, plappert, wackelt und verlangt nach Aufmerksamkeit. Wir haben uns Hasbros plüschige Reinkarnation des Spielzeugtiers Furby von außen - und innen - angesehen.
(Furby)
Mit einem Münzeinwurf, einem LCD und einem Thermodrucker wird das Raspberry Pi zu einem Wahrsager. Die Weisheiten stammen dabei aus den diversen Fortune-Datenbanken für Linux.
(Raspberry Pi)
Pentax hat mit der K-30 eine neue digitale Spiegelreflexkamera (DSLR) mit dem gleichen Sensor vorgestellt, der auch in der Evil-Kamera K-01 seinen Dienst verrichtet. Die K-30 ist mit vielen Funktionen der teureren K-5 ausgestattet, nimmt 6 Fotos pro Sekunde auf und filmt in Full-HD.
(Pentax K30)
Kingdoms of Amalur: Reckoning ist als Einführung in eine neue Fantasywelt gedacht, deren nächstes Spiel ein MMO werden soll. Das Solo-Rollenspiel für PC, Xbox 360 und Playstation 3 folgt den Strukturen eines Onlinespiels - vor allem denen von World of Warcraft.
(Kingdoms Of Amalur)
Der Joker und andere Schurken geben keine Ruhe: Nach dem grandiosen Arkham Asylum kämpft Batman in der Fortsetzung Arkham City weiter - und kann sich fast nach Lust und Laune in einer düsteren Sandbox-Gefängnisstadt austoben.
(Batman Arkham City)
E-Mail an news@golem.de
.jpg)
Apache