Drei Fragen und Antworten: Bei Open Source mit anpacken, nicht nur spendenFirmen sollten sich nicht auf ihren Spenden an Open-Source-Communities ausruhen, fordert Josep Prat: Sie wissen oft gar nicht, wie abhängig sie von ihnen sind.
UEFI-BIOS mit bekannt unsicherem Code gespicktIn einem BIOS-Update fanden Experten mehrere OpenSSL-Versionen, teils mit uralten Sicherheitslücken. Das wirft ein Schlaglicht auf Risiken von PC-Firmware.
heise+ Geburtstags-Angebot Jetzt heise+ mit über 60% Rabatt testen und alle heise+ Beiträge inklusive der Inhalte aller Heise-Magazine lesen. 3 Monate für nur 5€ mtl. - nur für kurze Zeit!
AlertUpdateOpenSSL: Update zum Schließen der kritischen Sicherheitslücke verfügbarDas Update zum Schließen der kritischen Sicherheitslücke in OpenSSL, die das Projekt vergangene Woche angekündigt hat, steht jetzt bereit.
Microsoft liefert Updates gegen SSL-/TLS-Probleme durch Windows-UpdatesDie aktuellen Windows-Updates für Windows 10, 11 und Server könnten Probleme bei SSL- und TLS-Verschlüsselung verursachen. Teils helfen weitere Patches dagegen.
AlertJetzt aktualisieren! Codeschmuggel durch Lücke in OpenSSL möglichAngreifer könnten unter Umständen eigenen Code auf verwundbaren Servern mit OpenSSL ausführen. Aktualisierte Softwareversionen schließen die Lücken.
OpenBSD 7.1 im Test: Unix-Distribution läuft stabil auf Apple M1-SystemenDie Portierung von OpenBSD 7.1 auf Apples moderne ARM-Hardware ist nahezu abgeschlossen, Hilfe kam vom Asahi-Linux-Projekt. Das bietet OpenBSD.
AlertDrittherstellermodule reißen kritische Sicherheitslücken in HP Teradici PCoIPPC over IP, eine Art Remote-Desktop-Protokoll, von HP Teradici läuft auf 15 Millionen Rechnern. Komponenten von Drittherstellern haben kritische Schwachstellen.
AlertSicherheitslücke: Präparierte TLS-Zertifikate können OpenSSL-Systeme gefährdenAngreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.
Donnerstag: Intel gewinnt in Bilanz und vor Gericht, EU gegen DesinformationIntel mit Jahresumsatzrekord & Sieg vor EU-Gericht + EU-Forderung nach Fakenews-Sanktionen + Linux-Sicherheitslücke in Polkit + Rückzug von Domain-Zertifikaten
Let's Encrypt zieht bestimmte Zertifikate nach Prüfungsfehler vorzeitig zurückAb Freitag wird Let's Encrypt Zertifikate zurückziehen, deren Domaininhaberschaften bis zum 26. Januar 2022 mit einer bestimmten Challenge verifiziert wurden.
OpenSSL 3.0 ist da, neue Lizenz inklusiveDie Kryptobibliothek OpenSSL ist jetzt in Version 3.0.0 erschienen. Sie ist nicht vollständig abwärtskompatibel und steht unter einer neuen Lizenz.
AlertWarten auf OpenSSL-Patch: Qnap und Synology wollen NAS absichernDie Hersteller von Netzwerkspeichern Qnap und Synology untersuchen derzeit, in welchem Umfang ihre Geräte von OpenSSL-Lücken betroffen sind.
AlertOpenSSL: Schwachstellen-Fix beugt möglicher Datenmanipulation vor Die frisch erschienene Version 1.1.1l der freien Software OpenSSL beseitigt zwei Schwachstellen, von denen eine ein als hoch bewertetes Sicherheitsrisiko birgt.
AlertSicherheitsupdate: Lücke in OpenSSL macht Server für DoS-Attacken anfälligAngreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.
AlertIBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-VersionEntwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.
QuoVadis: HTTPS-Fehler wegen gesperrtem ZertifikatEin nicht ausreichend kommunizierter Zertifikatswechsel führt offenbar zu Problemen.
NSA spricht sich für starke Verschlüsselung im Web aus und gibt TippsKommen auf Webservern veraltetet Verschlüsselungsprotokolle zum Einsatz, könnten Angreifer beispielsweise Bank-Daten mitschneiden. Das will die NSA verhindern.
Let's Encrypt: Zertifikats-Lösung für alte Android-Versionen vorgestelltUm alte Android-Versionen auch nach dem 21. September 2021 zu bedienen, setzt der Aussteller kostenloser X.509-Zertifikate nun doch weiterhin auf IdenTrust.
AlertOpenSSL behebt SpeicherfehlerEin Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.
UpdateLet's-Encrypt-Zertifikate: Keine umfassende Lösung für alte Android-GeräteAb Anfang 2021 werden SSL/TLS-Zertifikate des Ausstellers Let‘s Encrypt in Konflikt mit älteren Android-Versionen geraten. Gute Lösungen gibt es noch nicht.
Studie: Mangelhafter Datenschutz bei vielen Firmen-WebseitenBei einer Analyse von 2500 Webauftritten mittelständischer Firmen hatten 36 Prozent kein funktionierendes SSL-Zertifikat, 13 Prozent keine Datenschutzerklärung.
Chrome, Firefox, Safari: Verkürzte Laufzeit für SSL/TLS-ZertifikateAb September dürfen neu ausgestellte Zertifikate nur noch eine Gültigkeit von maximal 13 Monaten haben. Sonst markieren die Browser die Websites als unsicher.
