Drei Fragen und Antworten: Bei Open Source mit anpacken, nicht nur spendenFirmen sollten sich nicht auf ihren Spenden an Open-Source-Communities ausruhen, fordert Josep Prat: Sie wissen oft gar nicht, wie abhängig sie von ihnen sind.
UEFI-BIOS mit bekannt unsicherem Code gespicktIn einem BIOS-Update fanden Experten mehrere OpenSSL-Versionen, teils mit uralten Sicherheitslücken. Das wirft ein Schlaglicht auf Risiken von PC-Firmware.
heise+ Geburtstags-Angebot Jetzt heise+ mit über 60% Rabatt testen und alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine lesen. 3 Monate für nur 5€ mtl. - nur für kurze Zeit!
AlertUpdateOpenSSL: Update zum Schließen der kritischen Sicherheitslücke verfügbarDas Update zum Schließen der kritischen Sicherheitslücke in OpenSSL, die das Projekt vergangene Woche angekündigt hat, steht jetzt bereit.
AlertJetzt aktualisieren! Codeschmuggel durch Lücke in OpenSSL möglichAngreifer könnten unter Umständen eigenen Code auf verwundbaren Servern mit OpenSSL ausführen. Aktualisierte Softwareversionen schließen die Lücken.
AlertDrittherstellermodule reißen kritische Sicherheitslücken in HP Teradici PCoIPPC over IP, eine Art Remote-Desktop-Protokoll, von HP Teradici läuft auf 15 Millionen Rechnern. Komponenten von Drittherstellern haben kritische Schwachstellen.
AlertSicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährdenAngreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.
OpenSSL 3.0 ist da, neue Lizenz inklusiveDie Kryptobibliothek OpenSSL ist jetzt in Version 3.0.0 erschienen. Sie ist nicht vollständig abwärtskompatibel und steht unter einer neuen Lizenz.
AlertWarten auf OpenSSL-Patch: Qnap und Synology wollen NAS absichernDie Hersteller von Netzwerkspeichern Qnap und Synology untersuchen derzeit, in welchem Umfang ihre Geräte von OpenSSL-Lücken betroffen sind.
AlertOpenSSL: Schwachstellen-Fix beugt möglicher Datenmanipulation vor Die frisch erschienene Version 1.1.1l der freien Software OpenSSL beseitigt zwei Schwachstellen, von denen eine ein als hoch bewertetes Sicherheitsrisiko birgt.
AlertSicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfälligAngreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.
AlertIBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-VersionEntwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.
AlertOpenSSL behebt SpeicherfehlerEin Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.
AddTrust: Probleme durch abgelaufenes Root-ZertifkatEin planmäßig abgelaufenes Root-Zertifikat verursacht seit dem 30. Mai Ärger, weil es einige Clients per Zertifikatskette weiterhin erreichen.
AlertOpenSSL: Neue Version 1.1.1g schließt Denial-of-Service-LückeDie aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.
Rückblick: Die größten Hacks der vergangenen 10 JahreVon Stuxnet über Heartbleed bis zum Yahoo-Hack: Das haben Hacker von 2010 bis 2019 "geleistet".
OpenSSL 1.1.1: Kryptobibliothek besteht SicherheitsauditMit TLS 1.3-Unterstützung und überarbeitetem Zufallszahlengenerator punktete die aktuelle OpenSSL-Version im OSTIF-Audit.
Kryptobibliothek OpenSSL bekommt einen Patch-DienstagDie OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.
OpenSSL wechselt die Lizenz und verärgert BeteiligteDie Kryptobibliothek OpenSSL soll eine moderne Open-Source-Lizenz erhalten und bittet die Entwickler um Zustimmung. Die fühlen sich jedoch überrumpelt und sehen in dem Wechsel nicht nur Vorteile.
AlertOpenSSL bekommt "moderate" SicherheitsupdatesDie Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.
Heartbleed: OpenSSL hört nicht auf zu blutenEine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.
Timing-Attacke gegen OpenSSL&CoEin lokaler Benutzer kann die Ausführungszeit für ECDSA-Signaturen messen und damit den geheimen Schlüssel ermitteln.
OpenSSL stellt Sicherheitsupdate in AussichtDas OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.