AlertJetzt aktualisieren! Codeschmuggel durch Lücke in OpenSSL möglichAngreifer könnten unter Umständen eigenen Code auf verwundbaren Servern mit OpenSSL ausführen. Aktualisierte Softwareversionen schließen die Lücken.
OpenBSD 7.1 im Test: Unix-Distribution läuft stabil auf Apple M1-SystemenDie Portierung von OpenBSD 7.1 auf Apples moderne ARM-Hardware ist nahezu abgeschlossen, Hilfe kam vom Asahi-Linux-Projekt. Das bietet OpenBSD.
AlertSicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährdenAngreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.
Donnerstag: Intel gewinnt in Bilanz und vor Gericht, EU gegen DesinformationIntel mit Jahresumsatzrekord & Sieg vor EU-Gericht + EU-Forderung nach Fakenews-Sanktionen + Linux-Sicherheitslücke in Polkit + Rückzug von Domain-Zertifikaten
Let's Encrypt zieht bestimmte Zertifikate nach Prüfungsfehler vorzeitig zurückAb Freitag wird Let's Encrypt Zertifikate zurückziehen, deren Domaininhaberschaften bis zum 26. Januar 2022 mit einer bestimmten Challenge verifiziert wurden.
OpenSSL 3.0 ist da, neue Lizenz inklusiveDie Kryptobibliothek OpenSSL ist jetzt in Version 3.0.0 erschienen. Sie ist nicht vollständig abwärtskompatibel und steht unter einer neuen Lizenz.
AlertWarten auf OpenSSL-Patch: Qnap und Synology wollen NAS absichernDie Hersteller von Netzwerkspeichern Qnap und Synology untersuchen derzeit, in welchem Umfang ihre Geräte von OpenSSL-Lücken betroffen sind.
AlertOpenSSL: Schwachstellen-Fix beugt möglicher Datenmanipulation vor Die frisch erschienene Version 1.1.1l der freien Software OpenSSL beseitigt zwei Schwachstellen, von denen eine ein als hoch bewertetes Sicherheitsrisiko birgt.
AlertSicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfälligAngreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.
AlertIBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-VersionEntwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.
QuoVadis: HTTPS-Fehler wegen gesperrtem ZertifikatEin nicht ausreichend kommunizierter Zertifikatswechsel führt offenbar zu Problemen.
NSA spricht sich für starke Verschlüsselung im Web aus und gibt TippsKommen auf Webservern veraltetet Verschlüsselungsprotokolle zum Einsatz, könnten Angreifer beispielsweise Bank-Daten mitschneiden. Das will die NSA verhindern.
Let's Encrypt: Zertifikats-Lösung für alte Android-Versionen vorgestelltUm alte Android-Versionen auch nach dem 21. September 2021 zu bedienen, setzt der Aussteller kostenloser X.509-Zertifikate nun doch weiterhin auf IdenTrust.
AlertOpenSSL behebt SpeicherfehlerEin Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.
UpdateLet's-Encrypt-Zertifikate: Keine umfassende Lösung für alte Android-GeräteAb Anfang 2021 werden SSL/TLS-Zertifikate des Ausstellers Let‘s Encrypt in Konflikt mit älteren Android-Versionen geraten. Gute Lösungen gibt es noch nicht.
Studie: Mangelhafter Datenschutz bei vielen Firmen-WebseitenBei einer Analyse von 2500 Webauftritten mittelständischer Firmen hatten 36 Prozent kein funktionierendes SSL-Zertifikat, 13 Prozent keine Datenschutzerklärung.
Chrome, Firefox, Safari: Verkürzte Laufzeit für SSL/TLS-ZertifikateAb September dürfen neu ausgestellte Zertifikate nur noch eine Gültigkeit von maximal 13 Monaten haben. Sonst markieren die Browser die Websites als unsicher.
AddTrust: Probleme durch abgelaufenes Root-ZertifkatEin planmäßig abgelaufenes Root-Zertifikat verursacht seit dem 30. Mai Ärger, weil es einige Clients per Zertifikatskette weiterhin erreichen.
AlertOpenSSL: Neue Version 1.1.1g schließt Denial-of-Service-LückeDie aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.
Erfolgsgeschichte: Let's Encrypt stellt einmilliardstes Zertifikat ausSeit 2015 stellt die CA Let's Encrypt kostenlose SSL/TLS-Zertifikate aus und hat ehemalige Konkurrenten, sofern noch existent, weit hinter sich gelassen.
Verkürzte Laufzeit für SSL/TLS-Zertifikate: Apple prescht offenbar vorAuf Apple-Geräten werden Webseiten demnächst als unsicher markiert, wenn ihr Zertifikat länger als 13 Monate gültig ist.
Rückblick: Die größten Hacks der vergangenen 10 JahreVon Stuxnet über Heartbleed bis zum Yahoo-Hack: Das haben Hacker von 2010 bis 2019 "geleistet".
