Die EU-Kommission will für ihr Fossa-Projekt herausfinden, wie die Entwickler von Open-Source-Software besser unterstützt werden können, um die Sicherheit der Programme zu erhöhen. Klären soll das unter anderem eine Umfrage.
Der Chief Technology Officer von Nokia hat in einem Interview die Sicherheit des Konkurrenten Huawei kritisiert. Davon hat sich Nokia öffentlich distanziert, was sehr ungewöhnlich ist.
Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden.
Nach etwas mehr als zwei Jahren Einsatz kehrt Alpine Linux von LibreSSL zurück zu OpenSSL, um die Pflege zu vereinfachen. Hinzu kommen ein neuer Kernel und die Unterstützung für ARMv7.
Nachdem die ersten Tests offenbar erfolgreich verlaufen sind, hat die EU ihr Bug-Bounty-Programm für Open-Source-Software für das Jahr 2019 erweitert. Insgesamt stehen dafür rund 900.000 Euro für 15 Projekte bereit.
Das freie Multimedia-Framework und Codec-Sammlung FFmpeg unterstützt in der aktuellen Version 4.0 Nvidias proprietäres Decoding-API Nvdec. Die Software unterstützt außerdem den freien Codec AV1 und verzichtet auf den Support für Windows XP.
Deepsec Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.
Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.
Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.
Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.
Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.
58Kommentare/Von Sebastian Neef,Tim Philipp Schäfers
Der geplante Lizenzwechsel von OpenSSL kommt langsam voran. Das Projekt kündigt auch erste Konsequenzen für Code an, dessen Urheber dem Wechsel nicht zustimmen. Der Code wird entfernt und künftig reimplementiert.
Wie nach einem schwerwiegenden IT-Sicherheitsvorfall üblich sollen die Probleme rund um Wanna Cry politisch bekämpft werden. In den USA soll dafür der Umgang der Geheimdienste mit Sicherheitslücken neu geregelt werden, andere Politiker fodern: Lasst Unternehmen hacken!
Ohne große vorherige öffentliche Diskussion soll OpenSSL künftig die Apache-Lizenz 2.0 nutzen. Vor allem die OpenBSD-Community kritisiert die Lizenz und das konkrete Vorgehen, das die Community spaltet und den Eindruck erweckt, als sei alles schon beschlossen.
Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.
Wie Heartbleed, nur in klein und nur bei Produkten von F5: Die Ticketbleed-Schwachstelle ermöglicht einem Angreifer, SSL-Session-IDs auszulesen. Es gibt einen Patch und einen einfachen Workaround.
Die Belastung der Maintainer des Linux-Kernels wächst ständig. Das ist zwar nicht neu, den Ausführungen von Entwickler Wolfram Sang auf der Linuxcon 2016 zufolge wird das Problem aber in Teilen immer gravierender, was schwerwiegende Folgen haben könnte.
Auch bei den Hackern der NSA geht mal was schief. Das FBI bestätigte im Rahmen seiner Ermittlungen zu den Shadow Brokers, dass der Angriffscode für Router wohl versehentlich im Netz gelandet ist.
OpenSSL veröffentlicht die neue Version 1.1.0. Neu hinzugekommen sind die Algorithmen ChaCha20 und X25519 sowie Unterstützung für Certificate Transparency. Vor allem aber ist das Release eine große Aufräumaktion.
Der Shadow-Brokers-Datensatz liefert möglicherweise Informationen darüber, wie die NSA in der Lage war, VPN-Verbindungen abzuhören. Die Schwachstelle hat Ähnlichkeiten mit Heartbleed.
In dem Programm Secure Open Source (SOS) stellt Mozilla zunächst 500.000 US-Dollar bereit, um die Sicherheit von Open-Source-Software zu verbessern. Anders als bei der Linux Foundation soll das Geld explizit für Audits und einen sauberen Umgang mit Sicherheitslücken genutzt werden.
Update Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.
Wenn sich jemand mit Anonymität im Netz auskennt, dann doch sicher Drogenhändler im Darknet - könnte man meinen. Doch in ihrem Leitfaden zur Anonymität stellen die Betreiber eines Marktplatzes gewagte Theorien auf und vergessen eine ganze Menge.
Die Webseite des Bundesministeriums für Verkehr und digitale Infrastruktur war für eine seit fast zwei Jahren geschlossene, kritische Sicherheitslücke anfällig. Das kompromittierte Zertifikat wird weiterhin verwendet.
IMHO Die Entdecker der Badlock-Sicherheitslücke wollten Spannung aufbauen - und machen den gleichen Fehler wie viele IT-Security-Firmen. Die Inszenierung von Sicherheitslücken nervt zunehmend.
Wie schnell patchen Serverbetreiber die Drown-Sicherheitslücke? Offenbar zu langsam, sagen mehrere Sicherheitsfirmen. Bei Heartbleed lief es deutlich besser.
Zahlreiche SSL-VPNs sichern den Traffic der Nutzer nur unzureichend ab - das behauptet eine Sicherheitsfirma. Viele Anbieter würden nach wie vor SHA-1 oder MD5 verwenden. Außerdem seien rund 10 Prozent der Dienste für Heartbleed anfällig.
Updates sollen Systeme sicherer machen - im Falle der Scada-Systeme der Firma EKI ist das jedoch offenbar gründlich misslungen. Ein Update, das fest codierte SSH-Schlüssel entfernen sollte, macht die Systeme für Shellshock und Heartbleed verwundbar.
Das Sicherheitstool Nmap bringt in Version 7 viele Verbesserungen mit - etwa zahlreiche neue Skripte. Nutzer können nicht nur nach offenen Netzwerkports suchen, sondern Netzwerk und Server auf zahlreiche bekannte Schwachstellen testen.
Um die Sicherheit von Routern ist es schlecht bestellt, wie zahlreiche Berichte über Sicherheitslücken zeigen. Das BSI will jetzt mit einem neuen Prüfkonzept für bessere Router sorgen. Im Detail könnte noch nachgebessert werden.
In einem Interview bestätigt Ubuntu-Mäzen Mark Shuttleworth, dass das neue Paketformat Snappy kein Komplettersatz für die bisher verwendeten Deb-Pakete sein wird. Beide müssten vielmehr koexistieren. Damit verfolgt Canonical einen ähnlichen Ansatz wie Konkurrent Red Hat.
Sicherheitslücken, Hackerangriffe und eine Schaltsekunde: Das vergangene Jahr war für viele Sysadmins wahrlich eine Herausforderung. Und sie werden auch im kommenden Jahr viel Anerkennung und Unterstützung brauchen. Also seid nicht nur am heutigen Sysadmin-Tag lieb zu ihnen!
Er ist angreifbar - und die NSA liest angeblich mit: Die Internet Engineering Taskforce hat den Einsatz des einst beliebtesten Verschlüsselungsalgorithmus RC4 untersagt. Doch Sicherheit lässt sich nicht einfach verordnen.
Die Linux Foundation unterstützt künftig drei weitere Projekte, die sich um die Sicherheit kritischer Softwareprojekte kümmern - darunter eines des Golem-Autors Hanno Böck.
Die offiziellen Abbilder im sogenannten Docker-Hub enthielten in über 30 Prozent aller Fälle schwere Sicherheitslücken, heißt es in einer Studie. Darunter seien auch sehr schwerwiegende, die lange bekannt seien.
Durch Fuzzing-Technik können unter anderem Sicherheitslücken gefunden werden. Mit Libfuzzer stellt das LLVM-Projekt nun eine eigene Bibliothek dazu bereit und nutzt diese auch selbst für den Compiler Clang.
Update Vor einem Jahr machte der Heartbleed-Bug in OpenSSL Schlagzeilen - doch solche Bugs lassen sich mit Hilfe von Fuzzing-Technologien aufspüren. Wir haben das mit den Tools American Fuzzy Lop und Address Sanitizer nachvollzogen und den Heartbleed-Bug neu entdeckt.
Im aktuellen Firefox werden zentralisierte Zertifikatsperren, opportunistische Verschlüsselung für HTTP/2 und weitere TLS-Techniken umgesetzt. Zudem sollen Nutzer besser Feedback geben können sowie die MSE auf Youtube verwenden.
Bundesforschungsministerin Wanka hat von Heartbleed noch nie etwas gehört. Dennoch macht sie sich für eine bessere Forschung zur IT-Sicherheit stark. Auch sehr praxisferne Ansätze wie die Quantenkommunikation sollen gefördert werden.
Ein Artikel über die schwierige Finanzsituation von GnuPG-Entwickler Werner Koch hat zu hohen Spenden für das Projekt geführt. Auch Facebook und der Zahlungsdienstleister Stripe erklärten wenige Stunden später, sie würden die Entwicklung mit je 50.000 US-Dollar pro Jahr unterstützen.
Orwell wird Realität, und viele merken es gar nicht: Zu diesem Schluss kommt eine Studie zur Privatsphäre im Netz. Abhilfe können laut den Experten unter anderem Open-Source-Projekte schaffen.
RWC2015 Akamai verarbeitet eine Billiarde an Verbindungen pro Jahr. Brian Sniffen gibt Einblicke, was das bedeutet - und welche Schwierigkeiten darin bestehen, alte SSL-Implementierungen auszusperren.
