c't 10/2017
S. 41
News
Hardware

Preiswerte und kleine AM4-Mainboards

Mini-ITX-Boards wie das Biostar Racing X370GTN machen Ryzen-Prozessoren für kompakte PC-Gehäuse tauglich.

Bislang gab es lediglich Mainboards für Ryzen-Prozessoren in den Formaten Micro-ATX und ATX sowie mit den Chipsätzen B350 und X370. Nun folgen die ersten Mini-ITX-Boards und preiswerte Hauptplatinen mit A320-Chipsatz.

Für kompakte Rechner eignen sich das Racing X370GTN and das Racing B350GTN von Biostar. Die beiden AM4-Boards im Mini-ITX-Format (17 cm × 17 cm) unterscheiden sich nur im aufgelöteten Chipsatz, was aber in der Praxis keine Auswirkungen hat. Zur Ausstattung gehören ein PEG-Slot für Grafikkarten, zwei DIMM-Steckplätze, 4 × SATA 6G und 1 × M.2-2280 für SSDs. Peripheriegeräte haben Anschluss an USB 3.1 Gen 2 (Typ A und C), 4 × USB 3.0 und PS/2. Zudem gibt es einen Gigabit-Ethernet-Port. Das Racing X370GTN kostet 145 Euro; für das Racing B350GTN verlangt Biostar 125 Euro.

Zudem bieten die ersten Hersteller AM4-Mainboards mit A320-Chipsatz an. Im Vergleich zum B350 und X370 bietet dieser weniger Leitungen für PCI Express 2.0 sowie USB 3.1 Gen 2; außerdem lass sich Ryzen-Prozessoren darauf nicht übertakten. Zu den günstigen Boards zählen das Asus Prime A320M-K und Biostar A320MD Pro für je 65 Euro. Sie bringen gängige Schnittstellen wie 4 × USB 3.0 und 4 × SATA 6G mit, haben aber lediglich zwei DIMM-Slots und kein USB 3.1 Gen 2. (chh@ct.de)

Shopsystem Magento noch immer anfällig

Eine vor rund fünf Monaten entdeckte und vom Hersteller bestätigte Lücke im Online-Shop-System Magento ist nach wie vor ungepatcht. Der Sicherheitsforscher Bosko Stankovic von DefenseCode hat die Lücke im November 2016 entdeckt und an den Hersteller gemeldet. Der hatte sie daraufhin zwar bestätigt, aber nichts unternommen. Auf abermalige Nachfrage rührte sich Magento gar nicht mehr, daher hat Stankovic ein Advisory veröffentlicht, in dem er die Lücke sowie einen Workaround beschreibt (siehe ct.de/ygvg).

Auf weitere Anfragen von Kaspersky und PCWorld hat Magento inzwischen reagiert und versprochen, die Lücke mit dem nächsten Patch zu schließen. Wann der erscheinen soll, hat der Hersteller allerdings wiederum nicht verraten.

In der Standardkonfiguration ist die Lücke nur für Angreifer offen, die schon Zugriff auf das Shopsystem haben. Kritischer wird es, wenn Admins die Option „Secret Key zu URLs hinzufügen“ abschalten: Das macht Magento für Cross-Site-Request-Forgeries anfällig; der Angreifer muss dann bloß eingeloggte Besucher auf eine präparierte Webseite locken. (ghi@ct.de)

Feuersicheres Server-Gehäuse

Der Server 5 von ioSafe schützt die verbauten Festplatten vor Feuer und Überschwemmungen.

Brandschutz spielt in großen Unternehmen eine Rolle, oft aber nicht in kleinen Firmen: Hier steht der Server nicht im klimatisierten und überwachten Rechenzentrum, sondern meist einfach in einer Ecke. Für solche Anwendungsfälle baut der amerikanische Hersteller ioSafe das Servergehäuse Server 5, das die Daten vor Feuer und Überschwemmung schützen soll. Im Ernstfall beschützt das Gehäuse zumindest die Festplatten eine halbe Stunde lang vor Temperaturen bis zu 840 °C und 36 Stunden bei einer drei Meter hohen Überschwemmung. ioSafe empfiehlt deshalb, für den Notfall ein baugleiches Barebone einsatzbereit zu halten.

Der Server 5 arbeitet mit einem Intel-Xeon-Prozessor D-1520/1521 und 16 bis 128 GByte RAM; das Gehäuse fasst fünf 3,5-Zoll-Festplatten, die über einen RAID-Controller angesteuert werden. Für den Kontakt zum Netz stehen zwei 10-GBit-Ethernet-Ports bereit.

In der Grundkonfiguration ohne Festplatten mit 16 GByte kostet der Server 9500 Euro; für den Maximalausbau mit 128 GByte RAM, 30 TByte Festplattenplatz und Windows Server 2012 werden 18.000 Euro fällig. (ll@ct.de)

Office-Lücke geschlossen

Mit dem Patchday vom 12. April hat Microsoft nicht nur wie üblich diverse Verwundbarkeiten in Windows, Edge & Co. behoben, sondern auch eine kritische Lücke in seinen Office-Produkten geschlossen, die bereits aktiv ausgenutzt wurde. Kurz zuvor tauchten gehäuft Word-Dokumente in Spam-Mails auf, deren bloßes Öffnen bereits Schadcode ausführen konnte.

Laut Sicherheitsforschern von McAfee wurden dabei nicht wie sonst üblich Makros ausgeführt, sondern Fehler in der OLE-Schnittstelle (Object Linking and Embedding) ausgenutzt. Mit ihr lassen sich etwa in Textdokumenten eingebettete Tabellen per Klick in Excel bearbeiten; in diesem Fall wird die Schnittstelle jedoch verwendet, um über ein HTML-Applikationsdokument (.hta) ein Visual-Basic-Skript auszuführen.

Betroffen sind laut Microsoft alle Office-Versionen; Sicherheits-Patches für die zur Zeit unterstützten Versionen (alles ab Office 2007) stehen via Windows Update bereit. Office-Nutzer sollten in den Windows-Update-Einstellungen sicherstellen, dass ihr Windows auf den Bezug von Updates für andere Microsoft-Produkte eingestellt ist. (des@ct.de)

Kommentieren