Server-Applikationen

Die Diskussionen zum Standard DNS over HTTPS (DoH) ähneln mittlerweile einer Propagandaschlacht. Häufig basiert die Kritik jedoch auf Unkenntnis und Falschinformationen. Wir stellen richtig.
Von Sebastian Grüner

Die Nominierung Mozillas als "Internetschurke" hat der Provider-Verband des Vereinigten Königreichs nun offiziell zurückgenommen. Die Umsetzungspläne für DoH will der Verband aber weiter "genau hinterfragen".

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusiv-Meldung von Hanno Böck

Wer einen WSUS-Server administriert, sollte heute ab und an die Software überprüfen. Am 8. Juli 2019 schaltet Microsoft eine alte WSUS-Endpunkt-Adresse ab. Zudem lässt sich ab dem 9. Juli Windows 2008 Server SP2 nicht mehr aktualisieren, wenn keine SHA-2-Codesignierung akzeptiert wird.

Der Provider-Verband des Vereinigten Königreichs bezeichnet Mozilla als "Internetschurken", weil der Browser-Anbieter DNS-over-HTTPS als Standard durchsetzen will. Das unterlaufe die Internetsicherheit.

Trotz massiver Proteste vieler Personen und Organisationen hat die für die Verwaltung von Domainnamen zuständige Organisation Icann die Preisschranken für die TLD .org aufgehoben. Das könnte weitreichende Folgen haben.

Viele Millionen Nutzer haben sich den Start des Raspberry Pi 4 auf der Webseite angeschaut. Die wird von einem Cluster aus eben diesen Bastelrechnern betrieben. Die Entwickler von Mythic Beasts bescheinigen eine um 2,5-fach gestiegene Leistung gegenüber dem Vorgängermodell.

Microsoft hat nach langer Verzögerung den Hyper-V Server 2019 freigegeben. Die Auskoppelung aus dem Windows Server 2019 ist kostenlos, beinhaltet aber nur die für eine Virtualisierung notwendigen Komponenten.

Das Unternehmen MariaDB hat mit dem Enterprise Server 10.4 die erste Version seines Datenbankservers speziell für Großkunden veröffentlicht. Der Server soll mehr Sicherheit und zusätzliche Funktionen bieten.

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

Die Skriptsprachen Python, Ruby und Perl sollen in künftigen Versionen aus MacOS verschwinden. Support für Subversion wird ebenso entfernt wie die Unterstützung für 32-Bit-Anwendungen.

Eine Sicherheitslücke im Exim-Mailserver lässt sich auch übers Netz zur Codeausführung ausnutzen, der Angriff dauert aber in der Standardkonfiguration mehrere Tage. Lokal ist er trivial und emöglicht es Nutzern, Root-Rechte zu erlangen.

Microsoft und Oracle verbinden ihre Cloud-Angebote über eine Netzwerkverbindung und gemeinsame Nutzerverwaltung. Das soll Migrationen erleichtern. Oracle-Software läuft auch problemlos in Azure.

Die Entwickler des Exim-Mailservers informieren über eine Sicherheitslücke, Details gibt es aber bisher nicht. Die sollen in einer Woche folgen.

Die Angriffsserie Nansh0u nutzt Hacking-Techniken, die sonst eher bei staatlichen Angreifern zu finden sind. Mit signierter Treibersoftware und einem Kernelrootkit schürfen die Angreifer die Kryptowährung Monero. Betroffen waren 50.000 Windows-Datenbankserver.

Eine TLS-Erweiterung sollte die Nutzung von DANE und DNSSEC im Browser erleichtern und die Validierung beschleunigen. Der Vorschlag wird nun aber offenbar nicht weiter verfolgt.

Im ersten Jahr nach Inkrafttreten der DSGVO haben Nutzer von ihrem Beschwerderecht intensiv Gebrauch gemacht. Die Zahl der gemeldeten Datenpannen ist ebenfalls sehr hoch, vor allem in Deutschland. Auch die Internetbank N26 soll nun ein Bußgeld zahlen.

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

Der US-Webhoster A2 hat seit etlichen Tagen ein Problem: Ransomware verbreitet sich bei Kunden. Diese sind verärgert - über den Vorfall und die fehlende Kommunikation der Entwickler. Betroffen sind anscheinend nur Windows-Server.

Der Code sämtlicher Projekte der Apache Software Foundation wird künftig offiziell auf Github gehostet. Das betrifft rund 350 Projekte mit zusammen mehr als 200 Millionen Zeilen Code.

Mit dem monatlichen Rollup KB4493472 hat Microsoft vor allem in Verbindung mit Virenscannern Probleme unter Windows 7 verursacht. Mittlerweile zeigt Microsoft Lösungswege auf. Sie erfordern jedoch Arbeiten an der Sicherheitssoftware.

Die für die Verwaltung von Domainnamen zuständige Organisation Icann überlegt, die bisherigen Preisschranken aufzuheben. Begonnen werden soll damit für die TLD .org. Die öffentlichen Kommentare dazu sind bisher fast ausschließlich negativ.

Die aktuelle Version 6.5 des Betriebssystems OpenBSD nutzt den neuen Stack-Protector Retguard. Die Entwickler liefern außerdem einen eigenen lokalen DNS-Resolver aus und arbeiten an einer Eigenentwicklung für Rsync, die nun getestet werden kann.

Das Zend Framework, eine Sammlung professioneller PHP-Pakete zur Entwicklung von Web-Anwendungen, geht in die Obhut der Linux Foundation über. Das Konsortium will das Zend Framework dann als Open-Source-Projekt Laminas weiterführen, noch fehlen aber zahlungswillige Unterstützer.

Google öffnet seine Cloud-Infrastruktur weiter. Es soll künftig möglich sein, Active Directory oder Microsoft SQL Server darauf laufen zu lassen. Damit tritt das Unternehmen in direkte Konkurrenz zu Microsofts eigenen Azure-Diensten.

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Die Nutzer von Cloudflare sollen eine zuverlässige VPN-Technik bekommen. Deshalb baut der Anbieter sein VPN mit dem Namen Warp in seine DNS-App ein. Grundlage der Technik ist das freie Wireguard-Protokoll.

Nach mehreren Jahren Arbeit soll die noch kommende Version 8 der Sprache PHP eine JIT-Engine erhalten. Das bringe zwar Vorteile und sei wichtig für die Zukunft, im Vergleich zur Konkurrenz sei die Technik aber "extrem einfach", heißt es in dem verabschiedeten Vorschlag.

Mit einem völlig neuen Produkt will Apple vom Digitalpakt Schule und dem Brexit profitieren. Doch die neue Programmierplattform iCodes könnte die Nutzer des Apple Pie in eine zweifelhafte Abhängigkeit von dem US-Konzern bringen.
Von Friedhelm Greis

Der für den Firefox-Browser zuständige Technikchef Eric Rescorla erklärt noch einmal zusammenfassend die Pläne zur Nutzung von DNS über HTTPS (DoH). Demnach soll die Technik definitiv mit einigen Startpartnern ausgerollt werden, wann, ist jedoch noch nicht klar.

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Das unverschlüsselte Speichern von Passwörtern gilt als grober Verstoß gegen den Datenschutz. Bei Facebook sollen bis zu 600 Millionen Nutzer davon betroffen gewesen sein.

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Valves eigenes Netzwerk leitet Spieletraffic an Gameserver sowie zu den Spielern und schützt beide Enden vor DoS-Angriffen. Das Unternehmen verspricht auch bessere Latenzzeiten. Mit Steamworks 1.44 können Entwickler diese Infrastruktur nutzen.

Damien George und sein Team von Micropython bauen den Mikrocontroller Pyboard D. Dieser ist als IoT-Bausatz angelegt, der sich leicht erweitern lassen soll - etwa um LED-Matrizen und Sensoren.

Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

Mit den Amazon Web Services bereichere sich das Unternehmen an Open-Source-Software, ohne viel zurückzugeben, sagen einige Kritiker. Das Unternehmen sieht sich selbst eher als "stillen Beitragenden" und bemüht sich um größeres Engagement.

Der Hauptentwickler und Sponsor der gleichnamigen Datenbank MariaDB hat auf seiner Anwender- und Entwicklerkonferenz einen Enterprise Server angekündigt. Der soll Open Source sein und besseres Auditing, schnellere Backups und größere Zuverlässigkeit bieten.

Windows Server IoT 2019 ist eine neue Variante des Server-Betriebssystems von Microsoft. Es soll für Edge-Geräte sinnvoll sein, unterscheidet sich abseits der Lizenzierung aber kaum von der Standardvariante. Das gibt selbst Microsoft zu.

Die Entwickler von Drupal erläutern ihre künftige Releasestrategie und kündigen das Supportende für Drupal 7 an. Da Major-Updates bei Drupal oft umständlich sind nutzen viele Webseiten noch diese alte Version.

In einer Diskussion um die Server-CPU-Plattformen von ARM äußert sich Linux-Erfinder Linus Torvalds sehr pessimistisch über die Zukunft der Prozessoren. Der Plattform fehle schlicht ein gutes Nutzungsszenario für Entwickler.

Nutzer, die noch ein älteres Windows 7 oder Windows Server 2008 verwenden, müssen in den kommenden Monaten ein Update für SHA-2 installieren, sonst gibt es ab dem Sommer gar keine Aktualisierungen mehr für die Systeme.

Der KI-Chef von Facebook möchte die aktuelle Herangehensweise an Deep-Learning-Probleme gern völlig neu denken. Dazu gehört eine Programmiersprache, die effizienter ist als Python, ebenso wie neue Hardware, die nicht nur Matrizen multipliziert.

Rechnungen erstellen oder Verträge verteilen: Die Google Docs API kann die Erstellung solcher Dokumente automatisieren oder verschiedene Parameter innerhalb einer Tabelle ändern. Das System unterstützt diverse Programmiersprachen wie Java, Python und Ruby.

Mit der eigenen freien virtuellen Maschine HHVM für PHP hat Facebook die Sprache deutlich beschleunigt. Die aktuelle Version 4.0 von HHVM unterstützt wie angekündigt jedoch kein PHP mehr, sondern nur noch die eigene Sprache Hack.

Einige Windows-10-Nutzer meldeten Probleme mit dem Updaten ihres Betriebssystems. Microsoft nennt jetzt auch den Grund dafür: eine fehlerhafte DNS-Konfiguration eines Drittanbieters führte zu Ausfällen - und ist wohl auch der Grund für die vergangenen Probleme mit Azure-Datenbanken.

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier