Apache

Um die TLS-Verschlüsselung im Apache-Server abzusichern, soll das künftig mit Rust umgesetzt werden. Finanziert wird dies von Google.

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

Der Code sämtlicher Projekte der Apache Software Foundation wird künftig offiziell auf Github gehostet. Das betrifft rund 350 Projekte mit zusammen mehr als 200 Millionen Zeilen Code.

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis

Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos.

Entgegen der aktuellen Berichterstattung ändert Redis Labs die Lizenz seiner Datenbanksoftware nicht um. Dies sei missverstanden worden. Die Änderungen beziehen sich demnach nur auf einige spezielle Module wie Redisearch, Redis Graph oder Re-Json.

Neue JSON-Syntax und eine verbesserte Verschlüsselung von vornherein: MySQL bringt eine ganze Reihe von Neuerungen, unter anderem auch schnellere Performance von InnoDB und weitere Abfrage-Statements.

Netflix stellt seine Eigenentwicklung Titus als quelloffene Software zur Verfügung. Sie basiert auf Amazon EC2 und soll anderen Entwicklerteams helfen, ihre eigene Container-Software zu entwickeln. Ganz uneigennützig ist das aber nicht.

Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.
Von Hanno Böck

Für seine Cloud- und Enterprise-Dienste verstärkt Microsoft weiter sein Open-Source-Engagement, wie das Unternehmen auf der Entwicklerkonferenz Connect bekannt gab. Das betrifft vor allem Datenbanktechnik, aber auch eine Kooperation mit Github.

Der Standarddienst zum Drucken unter Unix, Cups, gehört seit Jahren zu Apple. Cups steht künftig aber nicht mehr unter der Copyleft-Lizenz GPL, sondern unter der freizügigen Apache-Lizenz. Apple räumt damit vor allem seine eigenen Ausnahmen auf.

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.
Von Hanno Böck

Die Entwicklung der Java Enterprise Edition will Oracle an eine Open-Source-Community abgeben. Kandidaten könnten die Apache oder Eclipse Foundation sein. Gerüchte über einen Rückzug aus der Technik gibt es schon länger, Oracle will zunächst aber an Java EE festhalten.

Der Suchmaschinenbetreiber Ask.com gibt mehr Informationen preis, als er eigentlich sollte: Auf einer Apache-Statusseite lassen sich zahlreiche Suchanfragen von Nutzern verfolgen. Seit einem Monat hat das Unternehmen nicht auf die Fehlermeldung reagiert.
Von Hauke Gierow

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

Nach der Übernahme von Sun will sich Oracle künftig auch von der Java-IDE Netbeans trennen und diese der Apache Software Foundation übertragen. Das Projekt verliert damit auch zwingend das Copyleft-Prinzip für seinen Code.

Dennis Hamilton hat eine Diskussion die Zukunft der freien Officesuite angestoßen. Für den Vorsitzenden des Apache Openoffice Project Management Committee (PMC) gehört dazu auch ein mögliches Aus für das Projekt.

Wer einen Tor-Hidden-Service mit Apache betreibt, sollte seine Konfiguration überprüfen - denn die Standardeinstellung gibt teilweise Nutzerdaten preis. Die Lösung ist einfach umzusetzen.

Das könnte für Google teuer werden: Der Oberste Gerichtshof der Vereinigten Staaten hat bestätigt, dass Oracle ein Copyright auf seine Java-APIs zusteht. Jetzt wird vor dem Bezirksgericht weiterverhandelt.

Im Rechtsstreit um die Java-APIs unterstützen führende Beamte der US-Justiz die Position von Oracle, das von einem strengen Urheberschutz ausgeht. Der Android-Hersteller Google hofft weiter auf eine Verhandlung vor dem Obersten Gerichtshof der USA, um diese Position anzufechten.

Das in C++ geschriebene Framework Proxygen von Facebook unterstützt HTTP/1 und SPDY, HTTP/2 soll folgen. Einen Ersatz für Apache oder Nginx bietet der Open-Source-Code trotz Server aber nicht.

Was ist der aktuelle Stand der Forschung und Technik für Hauptspeicherdatenbanken? Wie lassen sich disruptive Eigenschaften für Anwendungen im "Immunsystem" des Unternehmens ausnutzen und wann ist der Einsatz dieser Technologie im Unternehmen wirtschaftlich sinnvoll?
Von Alexander Löser

Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.

Das bisher von Google gepflegte Apache-Modul für das SPDY-Protokoll ist nun offizieller Teil des Webservers. Das Modul soll Kernbestandteil der Version 2.4 und kommender Veröffentlichungen werden.

Oracle will über eine Milliarde US-Dollar von Google wegen der Nutzung von Java-APIs und kam dem mit einem Urteil jetzt näher. Java-Technik ist ein integraler Bestandteil von Googles Smartphone-Betriebssystem Android.

Schnellere SQL-Abfragen mit Apache Hive, eine verbesserte Mapreduce-Abfrage mit Tez und eine lange geforderte Suche sind die Komponenten, mit denen Hortonworks Hadoop weiterhin als Vorreiter im Bereich Big Data behaupten will. Die Investition Intels in Cloudera schürt die Angst vor einer Fragmentierung.

Seit drei Jahren steht der von Sourceforge eingesetzte Code als Allura bereit. Die Software hat eine lebendige Community und wird deshalb nun Top-Level-Projekt der Apache Software Foundation.

Strato bietet seinen Kunden Perfect Forward Secrecy für E-Mail und Hosting. Doch das Verfahren ist noch nicht auf den eigenen Seiten implementiert.

Der Linux-Distributor Red Hat und Hadoop-Betreuer Hortonworks gehen eine strategische Partnerschaft ein, um große Teile des Big-Data-Frameworks in Red Hats Produkte zu integrieren.

Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.

Die Apache-Foundation möchte ihre Standard-C++-Bibliothek in den Attic verschieben. Damit wird die Entwicklung der Software offiziell beendet.

Version 2.0 des Apache-Webservers erhält keine weiteren Updates und auch keine Sicherheitspatches mehr. Anwender sollen sobald wie möglich auf Version 2.2 oder 2.4 aktualisieren.

Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.

In den vergangenen Wochen sind immer mehr Webseiten zu Schadsoftwareverteilern umgebaut worden. Es trifft Webseiten sowie Installationen von Apache, Nginx und Lighttpd. Das Internet Storm Center fragt sich schon: "Gibt es noch Webseiten, die nicht kompromittiert sind?"

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Immer mehr Entwickler verzichten auf die GPL zugunsten freizügigerer Open-Source-Lizenzen. Die GPL gilt als zu restriktiv, wenn es zur Zusammenarbeit mit kommerziellen und proprietären Lösungen kommen soll.

Wäre damals bekannt gewesen, dass Java keinen Copyrightschutz erhalten hätte, hätte Sun niemals so viel Zeit und Geld in die Entwicklung der Programmiersprache gesteckt. Das schreibt Scott McNealy an das Gericht, vor dem der Berufungsprozess zwischen Oracle und Google verhandelt wird.

Der Rechtsstreit zwischen Oracle und Google um Java eskaliert. Der Berufung von Oracle wollen sich nun Microsoft, EMC und Netapp anschließen. Als noch nicht direkt Betroffene berufen sie sich dabei auf eine Besonderheit des US-Rechtssystems.

Zahlreiche Websites, darunter auch sehr große, geben jedem Einblick in den Status ihrer Apache-Server, bei wenigen tauchen dort auch Passwörter von Nutzern auf.

Google soll 1,1 Millionen US-Dollar von Oracle für seine Ausgaben im Prozess um Java-Patente erhalten. Das hat der Richter William Alsup entschieden. Oracles Einwand, das Urteil sei richtungsweisend, ließ Alsup nicht gelten.

Mit der Veröffentlichung von Apache Openoffice.org 3.4.1 sind erste Anpassungen für Windows 8 umgesetzt worden. Außerdem unterstützt die freie Bürosuite fünf neue Sprachen.

Mit Drill soll die Abfrage und Analyse riesiger Datenmengen beschleunigt werden. Drill soll ein Incubator-Projekt der ASF werden und basiert auf dem Konzept des Google-Werkzeugs Dremel, welches das Unternehmen intern einsetzt.

Dass Twitter Open-Source-Software benutzt und selbst entwickelt, ist kein Geheimnis. Wie viel quelloffene Technik der Nachrichtendienst einsetzt und wo, hat der Leiter der Open-Source-Abteilung Chris Aniszczyk jetzt verraten.

Die soeben freigegebene Version 3.2 des Apache Traffic Servers bringt eine vollständige Unterstützung für IPv6 mit. Ferner wurde die SSL-Unterstützung ausgeweitet.

Die Apache Software Foundation hat die fertige Version von Openoffice 3.4 veröffentlicht. Es ist die erste Hauptversion der Office-Suite, seit Oracle den Sourcecode an die Apache Software Foundation übergeben hat.

Mit TomEE 1.0 stellt die Apache Software Foundation einen Anwendungsserver bereit, der auf Apache Tomcat basiert und nach Java EE 6 zertifiziert ist.

Im Verfahren zwischen Oracle und Google um die Java-basierten Dalvik-Engine will Richter Alsup eine Entscheidung über mögliche Copyright-Verletzungen nicht den Geschworenen überlassen, sondern selbst fällen.