Home » Archive

Artikel mit Tag: Heartbleed

[14 May 2020 | Comments Off on 91 % kommerzieller Anwendungen mit veraltetem Open Source Code (Bericht) | Autor: Jürgen (jdo) ]
91 % kommerzieller Anwendungen mit veraltetem Open Source Code (Bericht)

Das ist eine interessante Untersuchung von Synposys. Sie nennt sich 2020 Open Source Security and Risk Analysis und der Bericht öffnet einem schon ein bisschen die Augen. Die Experten von Synopsys habe für den Bericht mehr als 1250 kommerzielle Codebases unter die Lupe genommen. Verantwortlich für die Audits war das Team Black Duck Audit Services. Fast alle benutzen Open Source Die erste Erkenntnis aus dem Bericht ist, dass fast alle Codebases  99 %  mindestens eine Open-Source-Komponente verwenden. Insgesamt macht Open […]

[25 Oct 2016 | 2 Kommentare | Autor: Jürgen (jdo) ]
Dirty COW erklärt – wie schlimm ist die Security-Lücke für Linux , Android oder Dein System?

Bei linux.com gibt es eine sehr gute, ausführliche und vor allen Dingen verständliche Erläuterung zum Thema Dirty COW. Dort wird Dir erklärt, was Dirty COW macht, wie schlimm die Security-Lücke ist und wie Du Dich dagegen wehren kannst. Beziehungsweise wird Dir klar, ob es Dich überhaupt betrifft oder nicht. Warum eigentlich Dirty COW? Es handelt sich hierbei um ein Wortspiel, das sich von Copy on Write ableitet. Eigentlich wird die Security-Lücke recht langweilig als CVE-2016-5195 bezeichnet. Mir hätte der Zusatz gefallen: Die zarteste Versuchung, seit es […]

[21 Jan 2016 | 3 Kommentare | Autor: Jürgen (jdo) ]
CVE-2016-0728 – Security-Lücke im Linux-Kernel heißer gekocht als gegessen

Millionen von Servern und Android-Geräten betroffen! Security-Lücke im Linux-Kernel! Alles Scheiße! CVE-2016-0728 leitet den Weltuntergang ein! So geisterte es die letzten Tag durch das Internet und alle sind in Panik ausgebrochen. Das Problem ist CVE-2016-0728 oder die Security-Lücke im Linux-Kernel, mit der sich ein Angreifer durch Rechteausweitung root-Rechte verschaffen könnte. Alle Kernel-Varianten seit 3.8 sind betroffen. Ich bin gester mit Absicht nicht auf den Zug aufgesprungen, weil ich mir in aller Ruhe erst einmal sämtliche Quellen und Berichte durchlesen wollte. Genauer gesagt geht […]

[20 Nov 2015 | 2 Kommentare | Autor: Jürgen (jdo) ]
Nmap 7 (Network Mapper) ist erschienen – Security Scanner reloaded

Kurz nach der Ausgabe des Security-Tools Wireshark 2.0.0 hat mit Nmap 7 ein weiteres prominentes Open-Source-Programm in diesem Genre das Licht der Welt in einer neuen Version erblickt. Ungefähr 3,5 Jahre haben die Entwickler an Nmap 7 gearbeitet und es sind zirka 3200 Code Commits eingeflossen. Nmap feierte im September 2015 seinen 18. Geburtstag. Die Neuerungen in Nmap 7 Die Entwickler haben in der offiziellen Ankündigung die sieben Top-Verbesserungen von Nmap 7 beschrieben. Die NSE (Nmap Scripting Engine) wurde massiv […]

[29 Jan 2015 | 4 Kommentare | Autor: Jürgen (jdo) ]
Linux-Security-Lücke: Muss man sich vor GHOST fürchten? Nein, muss man nicht …

GHOST (CVE-2015-0235) nennt sich eine Security-Lücke, die in bestimmten Versionen von glibc (ab Version 2.2) auftritt. Die Security-Lücke wurde eigentlich schon mit einem Fix vom 21. Mai 2013 entschärft. Das liegt zwischen der Veröffentlichung von glibc-2.17 und glibc-2.18. Dieser Fix wurde allerdings nicht als relevant für die Security eingestuft und deswegen blieb GHOST unbekannt. Viele neuere Linux-Distributionen verwenden bereit eine glibgc-Version, die nicht von GHOST betroffen ist. Qualys hat GHOST bei einem Code-Audit gefunden. Was ist dann das Problem mit […]

[3 Jul 2014 | Ein Kommentar | Autor: Jürgen (jdo) ]
Microsoft schließt sich der AllSeen Alliance (Linux Foundation) für das Internet der Dinge (IoT) an

Mit Microsoft hat die AllSeen Alliance nun 51 Mitglieder, um das Internet der Dinge (IoT / Internet of Things) weiter zu entwickeln. Die AllSeen Alliance wurde von der Linux Foundation ins Leben gerufen und entwickelt ein Framework als Open-Source, damit die Dinge des Internets auch miteinander kommunizieren können. Zur AllSeen Alliance gehören andere namhafte Firmen. Darunter befinden sich zum Beispiel LG, Panasonic, TP-Link, Cisco, Qualcomm und HTC. Das Chaos um das Internet der Dinge Das Internet der Dinge, auch IoT […]

[16 Apr 2014 | Ein Kommentar | Autor: Jürgen (jdo) ]
Erster Bericht zu TrueCrypt-Audit: Code zwar nicht sauber, aber keine Hintertüren

Woher kommt es, wer hat es geschrieben und ist es sicher? Die Rede ist von der kostenlosen und Open-Source-Verschlüsselungs-Software für Linux, Mac OS X und Windows: TrueCrypt. Die Kryptografie-Software TrueCrypt ist beliebt und wird viel eingesetzt. Allerdings wusste man nicht so richtig, wie sicher TrueCrypt wirklich ist. Der Code wurde nie einem Audit unterzogen und somit war nicht klar, ob es mögliche Backdoors gibt. Das Ganze wollte man durch eine Spenden-Aktion adressieren und es kam ordentlich Geld zusammen. Im Dezember […]

[14 Apr 2014 | Comments Off on Heartbleed Detector: Android-Geräte auf Heartbleed-Bug testen | Autor: Jürgen (jdo) ]
Heartbleed Detector: Android-Geräte auf Heartbleed-Bug testen

Die Security-Firma Lookout hat einen Heartbleed Detector für Android-Geräte zur Verfügung gestellt. Die App ist kostenlos via Google Play erhältlich. Viel Fachwissen braucht man nicht, um Heartbleed Detector zu verwenden. Du installierst die App und startest sie. Danach verklickert Dir die Software, ob etwas im Argen ist. Dann sehen wir mal nach, wie es um OpenSSL für Android auf meinem Tablet Nexus 7 und meinen HTC Desire S steht. Das lungert offensichtlich immer noch OpenSSL 1.0.1e herum. Bekanntlich ist erst […]

[11 Apr 2014 | Comments Off on NSA (National Security Agency) war angeblich seit mindestens zwei Jahren über den Heartbleed Bug im Bilde und hat ihn ausgenutzt | Autor: Jürgen (jdo) ]
NSA (National Security Agency) war angeblich seit mindestens zwei Jahren über den Heartbleed Bug im Bilde und hat ihn ausgenutzt

Security-Experte Bruce Schneier sagte: “Von einer Skala von Eins bis Zehn ist Heartbleed eine Elf.”. Außerdem ist er sich nicht sicher, ob der Fehler mit Absicht oder aus Versehen im OpenSSL-Code gelandet ist. Er glaubt aber, dass letzteres der Fall ist. Um was es beim Heartbleed Bug geht, braucht man nicht mehr weiter zu erklären. Es ist wahrscheinlich der einzige Bug, dem man einen eigene Website spendiert hat und Millionen an Websites (SSL/TLS) sind davon betroffen. Es ist der ultimative […]

[11 Apr 2014 | Comments Off on Drittes Update : LibreOffice 4.2.3 ist verfügbar – mit Fix für Heartbleed Bug | Autor: Jürgen (jdo) ]
Drittes Update : LibreOffice 4.2.3 ist verfügbar – mit Fix für Heartbleed Bug

The Document Foundation (TDF) hat ein drittes Update für den LibreOffice-Zweig 4.2.x zur Verfügung gestellt. LibreOffice 4.2.3 “Fresh” ist laut eigenen Angaben immer noch für so genannten Early Adopter geeignet, die von den viele Innovationen profitieren wollen. Unternehmen und konservative Anwender sollten bei dem etwas ausgereifteren LibreOffice 4.1.5 “Stable” bleiben. Bei Kubuntu 14.04 LTS “Trusty Tahr” Beta ist ebenfalls schon LibreOffice 4.2.3 an Bord – das ist bei Ubuntu 14.04 und anderen Derivaten genau so. Wer Einblicke in die technischen […]