IT News

Willkommen auf der Seite mit Neuigkeiten und Informationen des aktuellen Monates rund um die Thematik der IT, IT-Sicherheit und meinem eigenen kleinen Webprojekt.

Hier finden Sie eine kleine Auswahl an externen Feeds wieder mit denen sich nicht nur Administratoren aus den Welten von Microsoft® und Linux® beschäftigen sollten, zudem spezifisch zu Ubuntu und Kubuntu.

Ebenfalls haben Sie die Möglichkeit die aktuellen Nachrichten über die Veröffentlichung neuer Artikel
unter HowTo's, ... zu meiner Webseite mittels einem Feedreader zu abonieren im Format RSS 2.0 und im Nachrichtenarchiv in den Listen der News herum zu stöbern.

D.R.G.

November 2017

Keine Nachrichten in diesem Zeitraum vorhanden.

IT-Security | Golem

November 2017

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte. (Github, Ruby)

Weiterlesen …

Zertifikate: Startcom gibt auf

Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit. (TLS, Browser)

Weiterlesen …

Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden

Wie soll die Regierung mit Sicherheitslücken umgehen? An diesem Thema arbeiten die möglichen Koalitionäre eines Jamaika-Bündnisses. (Security, Vorratsdatenspeicherung)

Weiterlesen …

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein. (Sicherheitslücke, Internet)

Weiterlesen …

Privater Schlüssel: DXC veröffentlicht AWS-Key und muss 64.000 US-Dollar zahlen

Private Schlüssel in freier Wildbahn sind ein verbreitetes Problem. Zuletzt traf es das Sicherheitsunternehmen DXC, das den AWS-Schlüssel versehentlich bei Github hochlud - und dann die Rechnung dafür bekam. (AWS, Cloud Computing)

Weiterlesen …

Sicherheitsrisiko: Oneplus-Smartphones kommen mit eingebautem Root-Zugang

Oneplus verkauft offenbar seit Jahren seine Smartphones mit einem vorinstallierten Entwicklertool von Qualcomm, das Zugriff auf zahlreiche Systemressourcen erlaubt. Per ADB ist ein Root-Zugriff auf das jeweilige Gerät möglich. Der Hersteller will die Anwendung herauspatchen. (Oneplus, Smartphone)

Weiterlesen …

Funkverbindungen: US-Behörden wollen Boeing 757 gehackt haben

Nur mit Equipment, das die Sicherheitskontrolle passieren kann, wollen Mitarbeiter der US-Regierung eine Boeing 757 übernommen haben. Der Hack soll bereits vor mehr als einem Jahr stattgefunden haben und wurde über die Funkausrüstung vorgenommen. (Boeing, Internet)

Weiterlesen …

Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone

Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es - doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst. (Security, Nvidia)

Weiterlesen …

Leaking: Shadow Brokers sollen NSA mehr geschadet haben als Snowden

Eine Hackergruppe, die Blogposts in gebrochenem Englisch verfasst und zahlreiche Exploits veröffentlicht, macht der NSA offenbar auch nach einem Jahr noch zahlreiche Probleme. Der Geheimdienst sucht nach wie vor nach den Schuldigen. (Security, Server)

Weiterlesen …

iPhone X: Sicherheitsunternehmen will Face ID ausgetrickst haben

Ein vietnamesisches Sicherheitsunternehmen behauptet, Apples Gesichtsentsperrung Face ID mit Hilfe einer selbst hergestellten Maske ausgetrickst zu haben. Die Maske wurde mit Hilfe eines 3D-Druckers, eines Maskenbildners und mit speziellen Materialien hergestellt und soll 150 US-Dollar gekostet haben. (iPhone X, Apple)

Weiterlesen …

Digitalmedizin: Wenn das Pflaster die Wunde überwacht

Intelligentes Pflaster, Ultraschall "to go" aus dem Google Play Store und die 3D-Datenbrille im OP: Die Digitalisierung hat die Medizin erfasst. Der Arztberuf wird sich durch Apps, Clouds und Roboter verändern. (Medizin, Datenschutz)

Weiterlesen …

Security: Hackern gelingt Vollzugriff auf Intel ME per USB

Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: "Game over!" für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle. (Intel, USB 3.0)

Weiterlesen …

IT-Sicherheit: BSI-Chef hält trotz Infineon-Panne an Gütesiegel fest

Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen. (BSI, Sicherheitslücke)

Weiterlesen …

Kryptowährung: Bitcoins Segwit2x-Update findet keine Mehrheit

Völlig überraschend haben leitende Entwickler das Segwit2x-Update für die Bitcoin-Blockchain abgesagt. Wenige Tage vor der geplanten Umsetzung hat Segwit2x offenbar keine Mehrheit gefunden. (Bitcoin, Studie)

Weiterlesen …

BSI-Lagebericht 2016: De Maizière lehnt Präventivbefugnis für Hackbacks ab

Die künftige Bundesregierung könnte deutschen Behörden die Erlaubnis für Gegenangriffe im Internet erteilen. Doch die potenziellen Koalitionspartner Grüne und FDP könnten sich querstellen. (Provider, Internet)

Weiterlesen …

Fuzzing: Google zerlegt USB-Stack des Linux-Kernels

Mit einem speziellen Fuzzer für Kernel-Systemaufrufe von Google sind extrem viele Fehler im USB-Stack des Linux-Kernels gefunden worden. Viele davon werden als kritische Sicherheitslücken eingestuft, was aber eigentlich für alle Kernel-Fehler gilt. (Linux-Kernel, Sicherheitslücke)

Weiterlesen …

Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht. (TLS, Browser)

Weiterlesen …

Windows 10: Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf

Ein aktueller Prozessor, UEFI 2.4 und am besten ein TPM-Chip: Neue Sicherheitsrichtlinien machen Systeme mit Fall Creators Update laut Microsoft erst sicher. Die 8-GByte-RAM-Regel kann jedoch etwa das eigene Surface Pro teils nicht einhalten. (Windows 10, Microsoft)

Weiterlesen …

Datenweitergabe: Facebook verliert wieder gegen Verbraucherschützer

Im Streit über die Weitergabe von Nutzerdaten an Drittanbieter hat Facebook auch in zweiter Instanz verloren. Möglicherweise muss nun der Bundesgerichtshof entscheiden. (Facebook, Soziales Netz)

Weiterlesen …

Google-Urteil: US-Gericht lehnt weltweite Löschung von Suchergebnissen ab

Dürfen Gerichte die weltweite Löschung von Links durchsetzen? Im Streit zwischen Google und Kanada hat der Suchmaschinenkonzern nun die erforderliche Rückendeckung erhalten. (Google, Datenschutz)

Weiterlesen …

Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen. (Security, Virus)

Weiterlesen …

Saphira: Compiler-Patches verraten neue Qualcomm-CPU

Qualcomm arbeitet offenbar bereits an einem Nachfolger für seinen 48-Kern-ARM-Chip mit Falkor-Kernen. Die neuen CPU-Kerne heißen Saphira. Sie sind wohl für den Servereinsatz gedacht und bieten eine neue Security-Funktion in der Hardware. (Qualcomm, Prozessor)

Weiterlesen …

Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer

Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux-Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen. (Tor-Netzwerk, Sicherheitslücke)

Weiterlesen …

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen. (Security, Verschlüsselung)

Weiterlesen …

Savitech: USB-Audiotreiber installiert Root-Zertifikat

Ein Treiber von Savitech installiert Root-Zerifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen. (Security, Treiber)

Weiterlesen …

Kryptowährung: Bitcoin erreicht erstmals einen Wert von 7.000 US-Dollar

Der Wert der Bitcoin steigt und steigt. Im vergangenen Monat hat die Kryptowährung um 70 Prozent zugelegt - auf einen Wert von mehr als 7.000 US-Dollar. Setzt sich das exponentielle Wachstum fort, könnte sie in diesem Jahr die 7.000-Euro-Marke erreichen. (Bitcoin, AMD)

Weiterlesen …

Server: Yubicos zweites Hardware-Security-Modul kostet 650 Dollar

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port. (Verschlüsselung, Server)

Weiterlesen …

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3. (TLS, Cisco)

Weiterlesen …

Certificate Authority: Comodo gehört jetzt einem Staatstrojanerbesitzer

Es ist schon die zweite Zertifizierungsstelle, die in diesem Jahr verkauft wird: Comodo stößt das Geschäft mit Zertifikaten an eine Investmentgesellschaft ab. Diese hat unter anderem auch Hersteller von Staatstrojanern im Portfolio. (Comodo, OCR)

Weiterlesen …

Crypto-Messenger: Signal-Desktop-Client wechselt von Chrome auf Electron

Der Crypto-Messenger Signal nutzt für seinen Desktop-Client nun Electron als Basis statt Chrome-Apps. Der Client ist damit unabhängig vom Browser nutzbar und eine eigenständige Anwendung. Linux-Nutzer werden vorerst aber nur teilweise bedient. (Security, iPhone)

Weiterlesen …

iOS 11.1 & MacOS High Sierra: Apples Krack-Patches sind nicht mehr Beta

Apple patcht Krack für iOS und MacOS - ältere iPhones gehen aber trotz offizieller Unterstützung für iOS 11 bislang leer aus. In den Betriebssystemen wurden darüber hinaus viele zum Teil kritische Schwachstellen gepatcht. (Apple, Mac OS X)

Weiterlesen …

IT-Security | Heise

November 2017

Amazon Cloud Cam enthält Lücke für smarten Einbruchdiebstahl

Amazon Key öffnet Paketboten und anderen Dienstleistern die Tür zum privaten Smarthome per Cloud-Funktion. Leider lässt sich die zugehörige Überwachungskamera mit einem Trick überlisten.

Weiterlesen …

Neues GitHub-Feature erkennt sicherheitsanfälligen Code

JavaScript- und Ruby-Entwicklern bietet GitHub künftig eine Sicherheitsfunktion, die vor bekannten Schwachstellen in Projektabhängigkeiten warnt. Update-Empfehlungen sind inklusive.

Weiterlesen …

Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker

StartCom will ab Anfang kommenden Jahres keine neuen Zertifikate mehr ausgeben. Angesichts des vorangegangenen Vertrauensentzugs durch die gängigsten Browser überrascht diese Ankündigung allerdings wenig.

Weiterlesen …

Kaspersky-Bericht: Backdoor auf Computer eines NSA-Mitarbeiters entdeckt

In einer weiterführenden Analyse der Vorwürfe, dass Kaspersky NSA-Malware an russische Hacker weitergegeben haben soll, schildert das Unternehmen den Fund einer Backdoor auf dem Computer des NSA-Mitarbeiters - und unterstreicht abermals seine Unschuld.

Weiterlesen …

Zehn Sicherheitslücken in Wiki-Software MediaWiki

Neue MediaWiki-Versionen schützen darauf aufsetzende Wikis unter anderem effektiver vor Brute-Force-Attacken.

Weiterlesen …

Jetzt patchen: Fünf teils kritische Sicherheitslücken in Oracle Tuxedo

Aufgrund kritischer Lücken im Anwendungsserver Tuxedo weicht Oracle von seiner vierteljährlichen Update-Routine ab. Nicht nur Nutzer von PeopleSoft-Produkten sollten ihre Software zügig mit den bereitstehenden Patches absichern.

Weiterlesen …

BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

Weiterlesen …

Hacker lassen Homebrew-Code auf Nintendos Switch laufen

Nintendos Switch ist angeschlagen: Hacker sind in die Spielkonsole vorgedrungen und können mit ihrem Exploit in Verbindung mit einer bestimmten Firmware eigenen Code ausführen. Als vollständig geknackt gilt die Konsole aber noch nicht.

Weiterlesen …

Ciscos Voice Operating System ist empfänglich für Angreifer

Angreifer könnten die Kontrolle über Cisco-Geräte mit Voice Operating System an sich reißen. Sicherheitsupdates schließen diese und weitere Lücken in anderen Produkten.

Weiterlesen …

UEFI-BIOS bekommt ein Sicherheits-Expertenteam

Das UEFI Security Response Team (USRT) unter Führung von Phoenix soll zentraler Ansprechpartner für Sicherheitslücken des BIOS-Nachfolgers sein.

Weiterlesen …

Firefox und Tor Browser: Aktuelle Versionen schließen mehrere Sicherheitslücken

Nutzer von Firefox, Firefox ESR und dem Tor Browser sollten zügig auf die aktuellen Versionen umsteigen. Sie beinhalten Sicherheits-Fixes, die unter anderem vor Datenklau und Codeausführung durch einen Angreifer schützen.

Weiterlesen …

Patchday: Adobe Acrobat und Reader sind das neue Flash

Adobe schließt in seinem Software-Portfolio einen Haufen Sicherheitslücken. Davon gelten viele als kritisch – der Löwenanteil klafft in Acrobat und Reader.

Weiterlesen …

Patchday: Excel-Lücke spaltet Microsoft und Sicherheitsforscher

Im November stellt Microsoft 53 Sicherheitsupdates für Windows & Co. bereit. 20 Lücken gelten als kritisch, zwei Schwachstellen sorgen derzeit für Diskussionen.

Weiterlesen …

Ordinypt: Ein Ransomware-Ausbruch ohne Folgen

Der Erpressungstrojaner Ordinypt hatte augenscheinlich großes Potenzial, in der deutschen IT-Landschaft Schaden anzurichten. Anscheinend wurde er aber nur an einen relativ kleinen Kreis aus Empfängern verteilt.

Weiterlesen …

heise-Angebot: IT-Jobtag am 16. 11. in Berlin: Bewerber treffen Arbeitgeber; Vortragsprogramm zu Jobchancen

Die Tournee der IT-Jobtage schließt dieses Jahr in der Hauptstadt. Bewerber auf Arbeitgeber; zudem gibt es ein Vortragsprogramm unter anderem über Job-Möglichkeiten, richtiges Bewerben und Gehaltsverhandlungen.

Weiterlesen …

Förderpreis IT-Sicherheit: CAST e.V. lädt zu kostenlosen Vorträgen ein

Am 23. November präsentieren zehn Nachwuchs-Talente aus dem Bereich IT-Sicherheit ihre Abschlussarbeiten vor Publikum. Die Veranstaltung ist öffentlich, die Teilnahme kostenlos.

Weiterlesen …

#AVGater: Systemübernahme via Quarantäne-Ordner

Eine neue Angriffstechnik nutzt die Wiederherstellungs-Funktion der Anti-Viren-Quarantäne, um Systeme via Malware zu kapern. Bislang reagierten sechs Software-Hersteller mit Updates.

Weiterlesen …

Ordinypt: Vermeintlicher Erpressungstrojaner-Ausbruch in Deutschland gibt Rätsel auf

Die vor kurzem aufgetauchte Ransomware Ordinypt löscht Dateien, statt sie zu verschlüsseln und hat es mit Fake-PDF-Dateien auf deutsche Personalabteilungen abgesehen. Allerdings gibt es bisher kaum Anzeichen auf Infektionen in freier Wildbahn.

Weiterlesen …

Hintergrund: Cardiac Scan: Herzbewegung als biometrisches Authentifizierungsmerkmal

Zu Fingerabdrücken, Iris-Scans und Gesichtserkennung als gängige biometrische Identifikationsmerkmale könnte sich bald auch das menschliche Herz gesellen. Denn keines bewegt sich wie das andere.

Weiterlesen …

Sicherheitsupdate: VMware AirWatch Launcher for Android als Sprungbrett für Angreifer

VMware schließt mehrere Sicherheitslücken in AirWatch Launcher und AirWatch Console for Android. Davon gilt keine als kritisch.

Weiterlesen …

iPhone X: Vietnamesische Sicherheitsforscher umgehen Face ID mit Maske

Mit einem Rahmen aus dem 3D-Drucker, einer Silikonnase sowie 2D-Bildern und etwas Make-Up will das Sicherheitsunternehmen Bkav Apples Gesichtserkennungssystem überlistet haben.

Weiterlesen …

Google-Studie: Phishing größte Gefahr für Account-Übernahme

Google hat sich in die Online-Unterwelt begeben, um herauszufinden, wie Passwörter und andere sensitiven Daten gestohlen werden.

Weiterlesen …

Eavesdropper: Entwickler-Schludrigkeit gefährdet hunderte Apps

Android- und iOS-Apps, welche das REST-API von Twilio einsetzen, geben unter Umständen vertrauliche Daten an Angreifer preis. Eine Sicherheitsfirma fand mehr als 680 solcher Apps, die einfach auszulesende Zugangsdaten verwenden und somit verwundbar sind.

Weiterlesen …

heise-Angebot: IT-Jobtag am 16. 11.: Bewerber treffen Arbeitgeber zum ersten Mal in Berlin

Die Tournee der IT-Jobtage schließt dieses Jahr in der Hauptstadt. Kommende Woche treffen dort Bewerber auf Arbeitgeber.

Weiterlesen …

ICOs: Finanzaufsicht warnt vor Crowdfunding mit Kryptogeld

Die Bankenaufsicht Bafin verweist auf "erhebliche Risiken" bei der Beteiligung an Schwarmfinanzierungen mit Kryptowährungstokens in Form von Initial Coin Offerings (ICOs). Dabei handle es sich um "höchst spekulative Investments".

Weiterlesen …

Achtung: Abzocker-Version des Windows Movie Maker ist Nummer Eins bei Google

Eine gefälschte Version des nicht mehr von Microsoft angebotenen Windows Movie Maker verführt Opfer zum Download und bittet sie dann zur Kasse. Die Betrüger-Webseite hat es sogar ganz vorne in die Ergebnisse vieler Suchmaschinen geschafft.

Weiterlesen …

Ordinypt: Erpressungstrojaner bedroht deutsche Firmen

Allem Anschein nach geht in Deutschland ein neuer Trojaner um, der auf Personalabteilungen zielt und Lösegeld erpresst. Der in Delphi verfasste Trojaner lässt Opfern allerdings keine Chance, ihre Daten wiederzubekommen.

Weiterlesen …

heise-Angebot: Webinar zur neuen Datenschutz-Grundverordnung

Am 25. Mai 2018 tritt die neue DSGVO in Kraft, die signifikante Veränderungen des Handlings persönlicher Daten erfordert. Ein Webinar am 14. November klärt die Basics.

Weiterlesen …

heise-Angebot: c't wissen Desinfec't 2017/18 als USB-Stick

Ab sofort gibt es eine rein digitale Version des Sonderhefts zum Sicherheitstool Desinfec't. Dabei finden sich alle Artikel als PDF auf einem USB-Stick. Selbstverständlich startet dieser Stick auch gleich Desinfec't.

Weiterlesen …

Lücke in Symantec Endpoint Protection kann Angreifern höhere Rechte verschaffen

Symantec schließt drei Lücken in Endpoint Protection für Windows.

Weiterlesen …

Forum gehackt: Minecraft.de ruft zum Passwortwechsel auf

Hacker sollen im großen Spiele-Forum Minecraft.de unter anderem den Coinhive-Miner verankert haben. Zudem hätten die Angreifer auf die Datenbank zugreifen können, räumen die Betreiber ein.

Weiterlesen …

Studie: DevOps-Teams gehen häufig leichtfertig mit Zugangsdaten um

In vielen Unternehmen mangelt es den DevOps-Abteilungen an Regeln für den sicheren Umgang mit privilegierten Accounts und Zugangsdaten – vielfach fehlt eine übergreifende Sicherheitsstrategie, wie CyberArks „Advanced Threat Landscape“-Report zeigt.

Weiterlesen …

Hacker dringt weiter in Intels Management Engine vor

Maxim Goryachy von der Beratungsfirma Positive Technologies konnte eine Programmierschnittstelle zu Intels Managemet Engine öffnen, während Google-Experten die Firmware-Alternative NERF entwickeln.

Weiterlesen …

Tausende Cisco-Switches offen im Internet – Angriffe laufen bereits

Über 200.000 Cisco Switches sind übers Internet erreichbar und lassen sich umkonfigurieren oder komplett übernehmen; mehrere tausend davon allein in Deutschland. Die Systeme werden bereits angegriffen, doch der Hersteller sieht keine Schwachstelle.

Weiterlesen …

Forscher demontieren "kaputten" Krypto-Standard P1735 der IEEE

Der Standard P1735 der IEEE soll Chip-Designs vor unbefugten Augen schützen. Stattdessen gibt seine schlecht durchdachte Krypto mitunter alle Geheimnisse preis und ermöglicht den Einbau von Hardware-Trojanern.

Weiterlesen …

BSI: "IT-Sicherheit ist besser geworden, könnte aber noch besser sein"

Die IT-Sicherheit in Deutschland sei auf hohem Niveau, könne aber verbessert werden, heißt es aus Berlin. Ein neues "nationales Verbindungswesen des BSI" soll die Meldepflichten betroffener Unternehmen nach dem IT-Sicherheitsgesetz ergänzen.

Weiterlesen …

Joomla-Sicherheitsupdate: Angreifer könnten 2-Faktor-Authentifizierung umgehen

Die Joomla-Entwickler haben drei Sicherheitslücken in der aktuellen Version 3.8.2 geschlossen.

Weiterlesen …

Qualcomm-Atheros: Android-November-Update schließt kritische WLAN-Treiber-Lücken

Im Linux-Treiber für WLAN-Chipsätze von Qualcomm-Atheros klaffen Sicherheitslücken, über die ein Angreifer das Gerät mit Hilfe von manipulierten WLAN-Paketen knacken kann. Unter anderem sind davon Android-Geräte der Nexus- und Pixel-Reihen betroffen.

Weiterlesen …

Löchrige TLS-Verbindungen: Fortinet stopft acht Jahre alte Project-Mogul-Lücke in FortiOS

Fehler beim Aufbrechen von TLS-Verbindungen bei Fortinet-Geräten erlauben es Angreifern, beliebige Informationen in gesicherte Verbindungen einzuschleusen. Ähnliche Angriffe sind bereits seit acht Jahren bekannt.

Weiterlesen …

FBI verhaftet Studenten, der Noten mittels Keylogger manipulierte

Dem mutmaßlichen Täter droht wegen zwei Strafbeständen jeweils eine Höchststrafe von zehn Jahren Gefängnis. Er hatte in 21 Monaten mehr als 90 Mal seine eigenen Noten geändert, bevor er aufgeflogen war.

Weiterlesen …

Eine Million Android-Nutzer laden falschen WhatsApp-Messenger aus Google Play

Google hat nicht aufgepasst und Betrüger haben eine Fake-Version von WhatsApp in den offiziellen App Store gebracht. Bei dem Fake handelt es sich um eine Werbe-Spam-App.

Weiterlesen …

Anime-Portal Crunchyroll verteilte kurzzeitig Malware

Angreifer attackierten die Crunchyroll-Webseite über Umwege und verteilten so als Mediaplayer getarnte Malware.

Weiterlesen …

Presseagentur will neue Belege für umfangreiche russische Hacker-Aktivitäten haben

Weit über die in diesen Tagen diskutierte Stimmungsmache zur vergangenen US-Wahl hinaus sollen Datenspione und Manipulateure mit enger Verbindung zur russischen Regierung international aktiv gewesen sein.

Weiterlesen …

Katastrophenschutz: Nina warnt vor Unwettern

Heftige Unwetter mit Sturzfluten können verheerende Folgen haben. Oft suchen sie Orte in Deutschland heim, wo man das vorher nicht kannte. Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe verteilt Warnungen über die App Nina.

Weiterlesen …

CERT Rheinland-Pfalz: Mehr als 20 Millionen "sicherheitsrelevante Ereignisse" pro Tag

In Rheinland-Pfalz laufen unter anderem die bundesweiten Informationssysteme der Polizei (Extrapol) zusammen. Seit 2012 hat sich die Zahl der schweren Computerangriffe mehr als verfünffacht.

Weiterlesen …

TorMoil: Lücke im Tor-Browser kann Nutzer enttarnen

Mac- und Linux-Versionen des Tor-Browsers enthalten eine Schwachstelle, die unter bestimmten Umständen die echte IP-Adresse des Nutzers verrät. Ein vorläufiger Hotfix steht zum Download bereit, löst das Problem aber nicht komplett.

Weiterlesen …

Malwarebytes stellt Adware-Killer Junkware Removal Tool ein

Malwarebytes stoppt die Entwicklung des Junkware Removal Tool zugunsten des AdwCleaner aus gleichem Hause.

Weiterlesen …

Mobile Pwn2Own: Hacker knacken Samsung S8 mittels beachtlicher Sicherheitslücken-Combo

Auf dem Mobile-Pwn2Own-Wettbewerb haben Hacker zwei Tage lang mobile Geräte von Apple, Huawei und Samsung erfolgreich attackiert. Der Veranstalter schüttete dafür in der Summe 515.000 US-Dollar aus.

Weiterlesen …

Sicherheitsupdates: Cisco schützt unter anderem Firewalls vor feindlicher Übernahme

Der Netzwerkausrüster Cisco schließt mehrere Sicherheitslücken in zum Beispiel der Aironet-Serie, Firepower-Reihe und im WebEx Meetings Server.

Weiterlesen …

heise-Angebot: IT-Jobtag am 9. 11. in Hannover: IT-Jobs entdecken und in die c't-Labors schauen

Im November können sich Bewerber und Arbeitgeber wieder in Hannover im Heise-Verlagsgebäude über Arbeitsplätze in der ITK-Branche austauschen - und sich einen Eindruck davon verschaffen, wie etwa in den c't-Labors getestet wird.

Weiterlesen …

Sicherheitsforscher: Populäre iPhone-Apps schützen Login-Daten unzureichend

Über die Hälfte der am häufigsten heruntergeladenen iPhone- und iPad-Apps weisen einer Analyse zufolge Schwachstellen auf, die das Abgreifen von Zugangsdaten ermöglichen.

Weiterlesen …

Zertifikatsgigant Comodo verkauft seine TLS-Sparte

Comodo will künftig keine TLS-Zertifikate mehr ausstellen und hat diesen Bereich für eine bislang unbekannte Summe verkauft. Comodo ist weltweit der größte Aussteller von TLS-Zertifikaten.

Weiterlesen …

heise-Angebot: heisec-Webinar: TLS für Admins

Am kommenden Dienstag fasst heisec-Chefredakteur Jürgen Schmidt zusammen, was Admins derzeit über TLS wissen sollten: von CAA über HPKP bis hin zu TLS 1.3. Das alles kompakt in einer Stunde, ohne Marketing und mit ausreichend Zeit für Fragen.

Weiterlesen …

Pwn2own Tokyo - Hacker demonstrieren Millionen-Hacks für iPhone 7 und Samsung S8

In Tokio nehmen sich Hacker derzeit Smartphones wie das Huawei Mate 9 Pro, iPhone 7 und Samsung S8 vor – und das oft mit Erfolg. Schon nach dem ersten Tag haben sie iOS 11.1 erfolgreich attackiert.

Weiterlesen …

Krypto-Messenger Signal veröffentlicht neuen Desktop-Client

Bislang gab es vom Krypto-Messenger Signal nur eine Chrome-App, die die Nutzung am Computer ermöglichte. Nun ist ein neuer Client für Windows, macOS und Linux erschienen, der keinen Browser mehr benötigt.

Weiterlesen …

Jetzt patchen! SQL-Injection-Lücke bedroht WordPress

Die abgesicherte WordPress-Version 4.8.3 ist erschienen. Nutzer sollten diese zügig installieren, da Angreifer Webseiten via SQL-Injection-Attacke übernehmen könnten.

Weiterlesen …

macOS 10.12 und 10.11: KRACK-Lücke gestopft, Loch im Schlüsselbund bleibt

Apple hat ein Sicherheitsupdate für Sierra und El Capitan veröffentlicht, in dem ein vieldiskutiertes WLAN-Problem behoben wurde. Ein anderer schwerwiegender Fehler wurde hingegen offenbar nicht angegangen.

Weiterlesen …

Abwehr von staatlichen Hackern: Kanada schützt sich besser

2% der fremden Staaten zugeordneten Angriffe auf IT-Systeme der kanadischen Regierung waren 2015 erfolgreich. Zwei Jahre davor waren es noch dreimal so viele gewesen.

Weiterlesen …

IT-Security | Microsoft®

November 2017

4053440 - Securely opening Microsoft Office documents that contain Dynamic Data Exchange (DDE) fields - Version: 1.0

Revision Note:
V1.0 (November 8, 2017): Advisory published.

Summary:
Microsoft is releasing this security advisory to provide information regarding security settings for Microsoft Office applications. This advisory provides guidance on what users can do to ensure that these applications are properly secured when processing Dynamic Data Exchange (DDE) fields.

Weiterlesen …

IT-Security | "The Hacker News"

November 2017

Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts

Security researchers have discovered a new, sophisticated form of malware based on the notorious Zeus banking Trojan that steals more than just bank account details. Dubbed Terdot, the banking Trojan has been around since mid-2016 and was initially designed to operate as a proxy to conduct man-in-the-middle (MitM) attacks, steal browsing information such as stored credit card information

Weiterlesen …

Kaspersky: NSA Worker's Computer Was Already Infected With Malware

Refuting allegations that its anti-virus product helped Russian spies steal classified files from an NSA employee's laptop, Kaspersky Lab has released more findings that suggest the computer in question may have been infected with malware. Moscow-based cyber security firm Kaspersky Lab on Thursday published the results of its own internal investigation claiming the NSA worker who took

Weiterlesen …

Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs

The OnePlus Saga Continues… Just a day after the revelation of the hidden Android rooting backdoor pre-installed on most OnePlus smartphones, a security researcher just found another secret app that records tons of information about your phone. Dubbed OnePlusLogKit, the second pre-installed has been discovered by the same Twitter user who goes by the pseudonym "Elliot Alderson" and

Weiterlesen …

Bluetooth Hack Affects 20 Million Amazon Echo and Google Home Devices

Remember BlueBorne? A series of recently disclosed critical Bluetooth flaws that affect billions of Android, iOS, Windows and Linux devices have now been discovered in millions of AI-based voice-activated personal assistants, including Google Home and Amazon Echo. As estimated during the discovery of this devastating threat, several IoT and smart devices whose operating systems are often

Weiterlesen …

17-Year-Old MS Office Flaw Lets Hackers Install Malware Without User Interaction

You should be extra careful when opening files in MS Office. When the world is still dealing with the threat of 'unpatched' Microsoft Office's built-in DDE feature, researchers have uncovered a serious issue with another Office component that could allow attackers to remotely install malware on targeted computers. The vulnerability is a memory-corruption issue that resides in all versions of

Weiterlesen …

Cisco Training Courses: Prepare for CCNA, CCNP Networking Certifications

As governments and enterprises migrate toward controller-based architectures, the role of a core network engineer are evolving and more important than ever. There is a growing number of jobs in Networking, but if you lack behind, you need to pass some certification exams to enter into this industry and get a significant boost in your IT career. If you are looking forward to making career

Weiterlesen …

Forever 21 Warns Shoppers of Payment Card Breach at Some Stores

Another day, another data breach. This time a fast-fashion retailer has fallen victim to payment card breach. American clothes retailer Forever 21 announced on Tuesday that the company had suffered a security breach that allowed unknown hackers to gain unauthorized access to data from payment cards used at a number of its retail locations. The Los Angeles based company, which operates over

Weiterlesen …

Patch Tuesday: Microsoft Releases Update to Fix 53 Vulnerabilities

It's Patch Tuesday—time to update your Windows devices. Microsoft has released a large batch of security updates as part of its November Patch Tuesday in order to fix a total of 53 new security vulnerabilities in various Windows products, 19 of which rated as critical, 31 important and 3 moderate. The vulnerabilities impact the Windows OS, Microsoft Office, Microsoft Edge, Internet Explorer,

Weiterlesen …

Firefox 57 "Quantum" Released – 2x Faster Web Browser

It is time to give Firefox another chance. The Mozilla Foundation today announced the release of its much awaited Firefox 57, aka Quantum web browser for Windows, Mac, and Linux, which claims to defeat Google's Chrome. It is fast. Really fast. Firefox 57 is based on an entirely revamped design and overhauled core that includes a brand new next-generation CSS engine written in Mozilla’s Rust

Weiterlesen …

Google Begins Removing Play Store Apps Misusing Android Accessibility Services

Due to rise in malware and adware abusing Android accessibility services, Google has finally decided to take strict steps against the apps on its app platform that misuse this feature. Google has emailed Android app developers informing them that within 30 days, they must show how accessibility code used in their apps is helping disabled users or their apps will be removed from its Play Store

Weiterlesen …

OnePlus Left A Backdoor That Allows Root Access Without Unlocking Bootloader

Another terrible news for OnePlus users. Just over a month after OnePlus was caught collecting personally identifiable information on its users, the Chinese smartphone company has been found leaving a backdoor on almost all OnePlus handsets. A Twitter user, who goes by the name "Elliot Anderson" (named after Mr. Robot's main character), discovered a backdoor (an exploit) in all OnePlus

Weiterlesen …

Apple iPhone X's Face ID Hacked (Unlocked) Using 3D-Printed Mask

Just a week after Apple released its brand new iPhone X on November 3, a team of hackers has claimed to successfully hack Apple's Face ID facial recognition technology with a mask that costs less than $150. Yes, Apple's "ultra-secure" Face ID security for the iPhone X is not as secure as the company claimed during its launch event in September this year. "Apple engineering teams have even

Weiterlesen …

Vault 8: WikiLeaks Releases Source Code For Hive - CIA's Malware Control System

Almost two months after releasing details of 23 different secret CIA hacking tool projects under Vault 7 series, Wikileaks today announced a new Vault 8 series that will reveal source codes and information about the backend infrastructure developed by the CIA hackers. Not just announcement, but the whistleblower organisation has also published its first batch of Vault 8 leak, releasing source

Weiterlesen …

Russian 'Fancy Bear' Hackers Using (Unpatched) Microsoft Office DDE Exploit

Cybercriminals, including state-sponsored hackers, have started actively exploiting a newly discovered Microsoft Office vulnerability that Microsoft does not consider as a security issue and has already denied to patch it. Last month, we reported how hackers could leverage a built-in feature of Microsoft Office feature, called Dynamic Data Exchange (DDE), to perform code execution on the

Weiterlesen …

Hacker Distributes Backdoored IoT Vulnerability Scanning Script to Hack Script Kiddies

Nothing is free in this world. If you are searching for free hacking tools on the Internet, then beware—most freely available tools, claiming to be the swiss army knife for hackers, are nothing but a scam. For example, Cobian RAT and a Facebook hacking tool that we previously reported on The Hacker News actually could hack, but of the one who uses them and not the one you desire to hack.

Weiterlesen …

Oh, Crap! Someone Accidentally Triggered A Flaw That Locked Up $280 Million In Ethereum

Horrible news for some Ethereum users. About $300 million worth of Ether—the cryptocurrency unit that has become one of the most popular and increasingly valuable cryptocurrencies—from dozens of Ethereum wallets was permanently locked up today. Smart contract coding startup Parity Technologies, which is behind the popular Ethereum Parity Wallet, announced earlier today that its "multisignature"

Weiterlesen …

Built-in Keylogger Found in MantisTek GK2 Keyboards—Sends Data to China

"The right keyboard can make all the difference between a victory and a defeat in a video game battlefield." If you are a gamer, you can relate to the above quote. But what if your winning weapon betrays you? The popular 104-key Mantistek GK2 Mechanical Gaming Keyboard that costs around €49.66 has allegedly been caught silently recording everything you type on your keyboard and sending them

Weiterlesen …

Newly Uncovered 'SowBug' Cyber-Espionage Group Stealing Diplomatic Secrets Since 2015

A previously unknown hacking and cyber-espionage group that has been in operation since at least 2015 have conducted a series of highly targeted attacks against a host of government organizations in South America and Southeast Asia to steal their sensitive data. Codenamed Sowbug, the hacking group has been exposed by Symantec security researchers, who spotted the group conducting clandestine

Weiterlesen …

IEEE P1735 Encryption Is Broken—Flaws Allow Intellectual Property Theft

Researchers have uncovered several major weaknesses in the implementation of the Institute of Electrical and Electronics Engineers (IEEE) P1735 cryptography standard that can be exploited to unlock, modify or steal encrypted system-on-chip blueprints. The IEEE P1735 scheme was designed to encrypt electronic-design intellectual property (IP) in the hardware and software so that chip designers

Weiterlesen …

Learn Ethereum Development – Build Decentralized Blockchain Apps

As of today — 1 Bitcoin = $7300 USD (Approx 471,000 INR) At the beginning of this year, 1 Bitcoin was approximately equal to $1000, and now it has surged to a new height, marking its market capitalization at over $124 billion. Is it really too late to invest in Bitcoin or other cryptocurrencies like Ethereum? For those wondering if they have missed the money-making boat, the answer is—NO,

Weiterlesen …

The Rise of Super-Stealthy Digitally Signed Malware—Thanks to the Dark Web

Guess what's more expensive than counterfeit United States passports, stolen credit cards and even guns on the dark web? It's digital code signing certificates. A recent study conducted by the Cyber Security Research Institute (CSRI) this week revealed that stolen digital code-signing certificates are readily available for anyone to purchase on the dark web for up to $1,200. As you may know

Weiterlesen …

Warning: Critical Tor Browser Vulnerability Leaks Users’ Real IP Address—Update Now

If you follow us on Twitter, you must be aware that since yesterday we have been warning Mac and Linux users of the Tor anonymity browser about a critical vulnerability that could leak their real IP addresses to potential attackers when they visit certain types of web pages. Discovered by Italian security researcher Filippo Cavallarin, the vulnerability resides in FireFox that eventually also

Weiterlesen …

Fake WhatsApp On Google Play Store Downloaded By Over 1 Million Android Users

Cybercriminals are known to take advantage of everything that's popular among people in order to spread malware, and Google's official Play Store has always proved no less than an excellent place for hackers to get their job done. Yesterday some users spotted a fake version of the most popular WhatsApp messaging app for Android on the official Google Play Store that has already tricked more

Weiterlesen …

The Tor Project to Beef Up Privacy with Next-Generation of Onion Services

The Tor Project has made some significant changes to its infrastructure by improving the way the 'onion' network protects its users' privacy and security. Since the beginning, the largest free online anonymity network has been helping users browse the web anonymously, and its onion service provides a network within which encrypted websites can be run anonymously. However, the infrastructure

Weiterlesen …

US Identifies 6 Russian Government Officials Involved In DNC Hack

The United States Department of Justice has reportedly gathered enough evidence to charge at least six Russian government officials for allegedly playing a role in hacking DNC systems and leaking information during the 2016 presidential race. Earlier this year, US intelligence agencies concluded that the Russian government was behind the hack and expose of the Democratic National Committee (

Weiterlesen …

'LeakTheAnalyst' Hacker Who Claimed to Have Hacked FireEye Arrested

Remember the hacker who claimed to have breached FireEye late July this year? That alleged hacker has been arrested and taken into custody Thursday by international law enforcement, FireEye CEO Kevin Mandia informed the media. Late July, the hacker, whose name has not yet been disclosed, managed to hack the personal online accounts of a ‎Senior Threat Intelligence Analyst at Mandiant—a

Weiterlesen …

The Hacker News Celebrates 7th Anniversary — Big Thanks

The Hacker News (THN), the widely-read cybersecurity news source for hackers and technologists, is celebrating its 7th Anniversary today. This is a huge milestone for THN and our team, but this day really belongs to you—our readers. Without you, we would not be here, and we appreciate you for reading, commenting, and sharing our content every day. 7-years ago today we started this website

Weiterlesen …

D-Link MEA Site Caught Running Cryptocurrency Mining Script—Or Was It Hacked?

Last month the popular torrent website The Pirate Bay caused some uproar by adding a Javascript-based cryptocurrency miner to its site with no opt-out option, utilizing visitors' CPU power to mine Monero coins in an attempt to gain an extra source of revenue. Now D-Link has been caught doing the same, although there's high chance that its website has been hacked. D-Link's official website

Weiterlesen …

Microsoft Engineer Installs Google Chrome Mid-Presentation After Edge Kept Crashing

Ever since the launch of Windows 10, Microsoft has been heavily pushing its Edge browser, claiming it to be the best web browser over its competitors like Mozilla Firefox, Opera and Google Chrome in terms of speed and battery performance. However, Microsoft must admit that most users make use of Edge or Internet Explorer only to download Chrome, which is by far the world's most popular

Weiterlesen …

IT-Security | Ubuntu

November 2017

USN-3477-1: Firefox vulnerabilities

Ubuntu Security Notice USN-3477-1

16th November, 2017

firefox vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Firefox could be made to crash or run programs as your login if it opened a malicious website.

Software description

  • firefox - Mozilla Open Source web browser

Weiterlesen …

USN-3482-1: ipsec-tools vulnerability

Ubuntu Security Notice USN-3482-1

16th November, 2017

ipsec-tools vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

ipsec-tools could be made to crash if it received specially crafted network traffic.

Software description

  • ipsec-tools - IPsec tools for Linux

Weiterlesen …

USN-3481-1: WebKitGTK+ vulnerabilities

Ubuntu Security Notice USN-3481-1

16th November, 2017

webkit2gtk vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

Several security issues were fixed in WebKitGTK+.

Software description

  • webkit2gtk - Web content engine library for GTK+

Weiterlesen …

USN-3480-1: Apport vulnerabilities

Ubuntu Security Notice USN-3480-1

15th November, 2017

apport vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Apport could be tricked into creating files as an administrator, resulting in denial of service or privilege escalation.

Software description

  • apport - automatically generate crash reports for debugging

Weiterlesen …

USN-3478-2: Perl vulnerability

Ubuntu Security Notice USN-3478-2

13th November, 2017

perl vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

Perl could be made to crash if it received specially crafted input.

Software description

  • perl - Practical Extraction and Report Language

Weiterlesen …

USN-3479-1: PostgreSQL vulnerabilities

Ubuntu Security Notice USN-3479-1

14th November, 2017

postgresql-9.3, postgresql-9.5, postgresql-9.6 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in PostgreSQL.

Software description

  • postgresql-9.3 - Object-relational SQL database
  • postgresql-9.5 - Object-relational SQL database
  • postgresql-9.6 - Object-relational SQL database

Weiterlesen …

USN-3276-3: shadow vulnerability

Ubuntu Security Notice USN-3276-3

14th November, 2017

shadow vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

su could be made to crash or stop programs as an administrator.

Software description

  • shadow - system login tools

Weiterlesen …

USN-3476-1: postgresql-common vulnerabilities

Ubuntu Security Notice USN-3476-1

9th November, 2017

postgresql-common vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

postgresql-common could be made to overwrite files as the administrator.

Software description

  • postgresql-common - PostgreSQL database-cluster manager

Weiterlesen …

USN-3478-1: Perl vulnerabilities

Ubuntu Security Notice USN-3478-1

13th November, 2017

perl vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Perl could be made to crash if it received specially crafted input.

Software description

  • perl - Practical Extraction and Report Language

Weiterlesen …

USN-3474-1: Liblouis vulnerability

Ubuntu Security Notice USN-3474-1

6th November, 2017

liblouis vulnerability

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 14.04 LTS

Summary

Liblouis could be made to crash or run programs as your login if it opened a specially crafted file.

Software description

  • liblouis - Braille translation library - utilities

Weiterlesen …

USN-3475-1: OpenSSL vulnerabilities

Ubuntu Security Notice USN-3475-1

6th November, 2017

openssl vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in OpenSSL.

Software description

  • openssl - Secure Socket Layer (SSL) cryptographic library and tools

Weiterlesen …

USN-3346-3: Bind vulnerabilities

Ubuntu Security Notice USN-3346-3

8th November, 2017

bind9 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

Bind could be made to serve incorrect information or expose sensitive information over the network.

Software description

  • bind9 - Internet Domain Name Server

Weiterlesen …

USN-3473-1: OpenJDK 8 vulnerabilities

Ubuntu Security Notice USN-3473-1

8th November, 2017

openjdk-8 vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS

Summary

Several security issues were fixed in OpenJDK 8.

Software description

  • openjdk-8 - Open Source Java implementation

Weiterlesen …

USN-3426-2: Samba vulnerabilities

Ubuntu Security Notice USN-3426-2

2nd November, 2017

samba vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

Several security issues were fixed in XXX-APP-XXX.

Software description

  • samba - SMB/CIFS file, print, and login server for Unix

Weiterlesen …

USN-3472-1: LibreOffice vulnerabilities

Ubuntu Security Notice USN-3472-1

2nd November, 2017

libreoffice vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 14.04 LTS

Summary

LibreOffice could be made to crash or run programs as your login if it opened a specially crafted file.

Software description

  • libreoffice - Office productivity suite

Weiterlesen …

USN-3470-2: Linux kernel (Trusty HWE) vulnerabilities

Ubuntu Security Notice USN-3470-2

31st October, 2017

linux-lts-trusty vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 12.04 LTS

Summary

Several security issues were fixed in the Linux kernel.

Software description

  • linux-lts-trusty - Linux hardware enablement kernel from Trusty for Precise ESM

Weiterlesen …

USN-3471-1: Quagga vulnerabilities

Ubuntu Security Notice USN-3471-1

31st October, 2017

quagga vulnerabilities

A security issue affects these releases of Ubuntu and its derivatives:

  • Ubuntu 17.10
  • Ubuntu 17.04
  • Ubuntu 16.04 LTS
  • Ubuntu 14.04 LTS

Summary

Several security issues were fixed in Quagga.

Software description

  • quagga - BGP/OSPF/RIP routing daemon

Weiterlesen …

Linux® | Kubuntu

November 2017

Kubuntu Most Wanted

Kubuntu Cafe Live, is our new community show. This new format show is styled using a magazine format. We created lots of space for community involvement, breaking the show into multiple segments, and we want to get you involved. We are looking for Presenters, Trainers, Writers and Hosts. Are you...

Weiterlesen …

Latte Dock v0.7.2 arrives in KDE and Kubuntu backports PPA

Latte Dock, the very popular doc/panel app for Plasma Desktop, has released its new bugfix version 0.7.2. This is also the first stable release since Latte Dock became an official KDE project at the end of August.     Version 0.7.1 was added to our backports PPA in a previous...

Weiterlesen …

Plasma 5.11.3 bugfix release now in backports PPA for Artful Aardvark 17.10

The 3rd bugfix update (5.11.3) of the Plasma 5.11 series is now available for users of Kubuntu Artful Aardvark 17.10 to install via our Backports PPA. This update also includes an update for Krita to 3.3.2.1. To update, add the following repository to your software sources list: ppa:kubuntu-ppa/backports or if...

Weiterlesen …

Plasma 5.8.8 LTS and Krita 3.3.2.1 now in Xenial Backports PPA

The 8th bugfix update (5.8.8) of the Plasma 5.8 LTS series is now available for users of Kubuntu Xenial Xerus 16.04 to install via our Backports PPA. This update also includes an update for Krita to 3.3.2.1. To update, add the following repository to your software sources list: ppa:kubuntu-ppa/backports or...

Weiterlesen …

Join us for Kubuntu Cafe live tonight! – 4th November – 9pm-11pm UTC

Join us for our /dev/random format online community ‘unconference’. Hosted by our very own ‘Kubuntu Musketeers’ @Sick_Rimmit @Ovidiuflorin @AhoneyBun 9 pm- 11 pm UTC. This open format show provides a huge variety including. Discussion, Tech Guests, Tutorials, Reviews, Projects, Hacks, User guidance, Quests, Contests. The agenda is built on the...

Weiterlesen …

Linux® | Ubuntu

November 2017

Edging Closer – ODS Sydney

Despite the fact that OpenStack’s mission statement has not fundamentally changed since the inception of the project in 2010, we have found many different interpretations of the technology through the years. One of them was that OpenStack would be an all-inclusive anything-as-a-service, in a striking parallel to the many different definitions the “cloud” assumed at […]

Weiterlesen …

Security Team Weekly Summary: November 16, 2017

  The Security Team weekly reports are intended to be very short summaries of the Security Team’s weekly activities. If you would like to reach the Security Team, you can find us at the #ubuntu-hardened channel on FreeNode. Alternatively, you can mail the Ubuntu Hardened mailing list at: ubuntu-hardened@lists.ubuntu.com During the last week, the Ubuntu Security team: Triaged 149 […]

Weiterlesen …

Orchestrating architectural installations and live shows with snaps

Dutch manufacturer Visual Productions BV, provides multi-platform software and solid-state hardware lighting control technology for namely the architectural, retail, venue and entertainment lighting industries. Originating from an engineering background, Visual Productions combines creative thinking with the talent of listening to market demands in order to develop innovative products. Visual Productions mainly work with commercial businesses […]

Weiterlesen …

How to turn your website into a desktop app

Turning your website into a desktop integrated app is a relatively simple thing to do, but distributing it as such and making it noticeable in app stores is another story. This tutorial will show you how to leverage Electron and snaps to create a desktop web app from scratch and release it on a multi-million […]

Weiterlesen …

Codetree Collect Info

We recently landed a feature in Codetree that I’m pretty excited about. Codetree is a tool for collecting code from various locations and assembling it in a specific directory structure. It can be used in a standalone fashion, but is also tightly integrated with Mojo, which we use to deploy and manage Juju models. To […]

Weiterlesen …

Ubuntu Server Development Summary – 14 Nov 2017

The purpose of this communication is to provide a status update and highlights for any interesting subjects from the Ubuntu Server Team. If you would like to reach the server team, you can find us at the #ubuntu-server channel on Freenode. Alternatively, you can sign up and use the Ubuntu Server Team mailing list. Spotlight: […]

Weiterlesen …

New Dell Precision Machines Available With Ubuntu Pre-Installed

We are excited to announce the availability of 5 new Dell Precision computers that come pre-installed with Ubuntu. These are systems developed by and for developers, and are available in form factors ranging from sleek ultrabooks to powerful workstations. Here’s a quick runthrough of the latest offerings! Dell Precision 5720 Certification Details More Info   […]

Weiterlesen …

LXD Weekly Status #23

Introduction The main focus this past week has been on merging a pretty large refactoring branch on top of LXD. This moves a lot of code around to make it more testable and easier to plug in a new database implementation in preparation for some clustering features. We’ve done a few minor improvements like adding […]

Weiterlesen …

How to deploy one or more Kubernetes clusters to a single box

This article originally appeared at Rye Terrell’s blog In a recent collaboration between the Linux Foundation and Canonical, we designed an architecture for the CKA exam. In order to keep the exam as affordable as possible, we needed to optimize our resource utilization — ideally, by running multiple Kubernetes clusters on a single VM. This is how we […]

Weiterlesen …

Ubuntu Desktop Weekly, Nov 3rd & 10th: Bionic daily images available

  The big news this week is the availability of Bionic daily ISOs. As always, we’re beavering away on the desktop: GNOME We’ve started a conversation on the GNOME mailing list to talk about locking down extensions which are part of a “mode” (a set of compulsory extensions and other settings). Ubuntu ships a mode […]

Weiterlesen …

Security Team Weekly Summary: November 9, 2017

The Security Team weekly reports are intended to be very short summaries of the Security Team’s weekly activities. If you would like to reach the Security Team, you can find us at the #ubuntu-hardened channel on FreeNode. Alternatively, you can mail the Ubuntu Hardened mailing list at: ubuntu-hardened@lists.ubuntu.com During the last week, the Ubuntu Security team: Triaged 201 public […]

Weiterlesen …

Kernel Team Summary: November 7, 2017

October 24 through November 06 Development (18.04) Every 6 months the Ubuntu Kernel Team is tasked to pick the kernel to be used in the next release. This is a difficult thing to do because we don’t definitively know what will be going into the upstream kernel over the next 6 months nor the quality […]

Weiterlesen …

Discovering snaps with .NET and Microsoft

.NET Core, run by the .NET Foundation and Microsoft,  is a free, cross-platform platform that supports building and running the next generation of web services, microservices and apps. By its very nature, it is an open source platform which supports cross-platform development. Lee Coward and Rakesh Singh at Microsoft are working on the project and […]

Weiterlesen …

Ubuntu Server Development Summary – 07 Nov 2017

Hello Ubuntu Server! The purpose of this communication is to provide a status update and highlights for any interesting subjects from the Ubuntu Server Team. If you would like to reach the server team, you can find us at the #ubuntu-server channel on Freenode. Alternatively, you can sign up and use the Ubuntu Server Team […]

Weiterlesen …

Top snaps in October: IntelliJ IDEA, MuseScore and more

Hot on the heels of the Ubuntu 17.10 release, the snap store has seen some great additions for musicians with MuseScore, for developers with IntelliJ IDEA, and many more! Let’s have a look at our october selection: 1. MuseScore MuseScore MuseScore is the world’s leading free and open-source software for writing music, with a user-friendly […]

Weiterlesen …

LXD Weekly Status #22

Introduction Another pretty quiet week for LXD as we keep working on a number of larger features that aren’t ready to land yet. Now that the Ubuntu 18.04 development release is open for contributions, we’re pushing LXD 2.19, LXC 2.1.1 and LXCFS 2.0.8 there which will then trickle down to our various PPAs, stable Ubuntu […]

Weiterlesen …

Ubuntu Foundations Development Summary: November 2, 2017

This newsletter is to provide a status update from the Ubuntu Foundations Team. There will also be highlights provided for any interesting subjects the team may be working on. If you would like to reach the Foundations team, you can find us at the #ubuntu-devel channel on freenode. Highlights Artful Aardvark, 17.10, has released. Check […]

Weiterlesen …

Security Team Weekly Summary: November 2, 2017

The Security Team weekly reports are intended to be very short summaries of the Security Team’s weekly activities. If you would like to reach the Security Team, you can find us at the #ubuntu-hardened channel on FreeNode. Alternatively, you can mail the Ubuntu Hardened mailing list at: ubuntu-hardened@lists.ubuntu.com During the last week, the Ubuntu Security team: Triaged 268 public […]

Weiterlesen …

PT Biznet Gio Nusantara Launches NEO Cloud with Canonical BootStack

PT Biznet Gio Nusantara Launches NEO Cloud – a Leading Cloud Computing Platform for App Developers – running on Ubuntu OpenStack on Canonical’s BootStack managed cloud.  NEO Cloud is built on OpenStack technology, the first cloud computing service in Indonesia providing Multiple Availability Zones and Multiple Regions. NEO Cloud will be a more reliable and secure […]

Weiterlesen …

Launching Fingbox: from idea to distribution in under a year

If you’re using a network security and scanning tool at home then there is a strong chance you have adopted Fing – the free network scanner for iOS and Android with over 25 million downloads. Following the success of their app, the founders of Fing decided to launch their first hardware product called Fingbox. Less […]

Weiterlesen …

Heptio Contour on the Canonical Distribution of Kubernetes

I read the Hacker News post Heptio Contour and I thought “Cool! A project from our friends at Heptio, lets see what they got for us”. I wont lie to you, at first I was a bit disappointed because there was no special mention for Canonical Distribution of Kubernetes (CDK) but I understand, I am asking too much :). Let me cover this gap here.

Deploy CDK

To deploy CDK on Ubuntu you need to just do a:

> sudo snap install conjure-up --classic
> conjure-up kubernetes-core

Using ‘kubernetes-core’ will give you a minimal k8s cluster — perfect for our use case. For a larger, more robust cluster, try ‘canonical-kubernetes.’

Deploy Contour and Demo App

CDK already comes with an ingress solution so you need to disable it and deploy Contour. Here we also deploy the demo kuard application:

> juju config kubernetes-worker ingress=false
> kubectl --kubeconfig=/home/jackal/.kube/config apply -f http://j.hept.io/contour-deployment-norbac
> kubectl --kubeconfig=/home/jackal/.kube/config apply -f http://j.hept.io/contour-kuard-example

Get Your App

The Contour service will be on a port that (depending on the cloud you are targeting) might be closed, so you need to open it before accessing kuard:

> kubectl --kubeconfig=/home/jackal/.kube/config get service -n heptio-contour contour -o wide 
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE SELECTOR
contour LoadBalancer 10.152.183.201 80:31226/TCP 2m app=contour
juju run --application kubernetes-worker open-port 31226

And here it is running on AWS:

Instead of opening the ports to the outside world you could set the right DNS entries. However, this is specific to the cloud you are deploying to.

As the Contour README says “On AWS, create a CNAME record that maps the host in your Ingress object to the ELB address.”
“If you have an IP address instead (on GCE, for example), create an A record.”
For a localhost deployment your ports should not be blocked and you can fake a DNS entry by editing /etc/hosts.

Thank you Heptio. Keep it up!

Resources

Weiterlesen …

Canonical joins GNOME Foundation Advisory Board

As you’re no doubt aware, the default Ubuntu desktop is now running GNOME Shell following the 17.10 release and so we naturally have a great deal of interest in the plans and direction of the GNOME project.  The best way for us to get more involved in the future of GNOME is to become a […]

Weiterlesen …

Microsoft® | TechNet

November 2017

Microsoft Tech Summit 2018: Technisches Fachwissen für IT-Experten

Infrastrukturexperten, IT-Professionals und Administratoren befinden sich derzeit in spannenden Zeiten: Ob Cloud-Infrastrukturen, IT-Sicherheit, Enterprise Mobility oder aktuelle Technologien wie Microsoft Azure oder Microsoft 365 – derzeit eröffnen sich viele interessante Möglichkeiten. Für einen umfassenden Rundumblick zu diesen Themen, Fachwissen aus erster Hand und einen interessanten Ausblick in die nahe Zukunft, veranstaltet Microsoft eine kostenfreie Fachkonferenz: Microsoft Tech...

Weiterlesen …

Kalenderwoche 45 im Rückblick: Zehn interessante Links für IT-Experten

Was hat sich in der vergangenen Woche für IT-Professionals getan? Gab es wichtige Ankündigungen oder neue Wissensressourcen? Unser Team vom TechNet Blog Deutschland hat zehn interessante Links für Sie zusammengestellt. Viel Spaß beim Stöbern! Azure App Service und Azure Functions auf Azure Stack verfügbar (engl.) Erste Preview im System Center Semi-annual Channel (engl.) Cloud-Plattform-Ankündigungen vom 8. November...

Weiterlesen …

PornHub-Netzwerk verbreitet Ad-Fraud-Malware

Der Security-Anbieter proofpoint beschreibt in einem Blog-Beitrag eine neue Malvertising-Attacke, die durch Fake-Meldungen zu verfügbaren Browser-Updates die Anwender zum Download von Ad-Fraud-Software zu bewegen versucht. Die entsprechenden Fenster poppten auf den Seiten des PornHub-Netzwerks auf, für die Verbreitung wurde das Werbenetzwerk von TrafficJunky genutzt. Beide Anbieter sortierten die infizierten Anzeigen sofort nach Bekanntwerden des Angriffs...

Weiterlesen …

Kalenderwoche 44 im Rückblick: Zehn interessante Links für IT-Experten

Was hat sich in der vergangenen Woche für IT-Professionals getan? Gab es wichtige Ankündigungen oder neue Wissensressourcen? Unser Team vom TechNet Blog Deutschland hat zehn interessante Links für Sie zusammengestellt. Viel Spaß beim Stöbern! System Center Configuration Manager: Unterstützung für Kryptographie (engl.) Mit Sysmon und Azure Security Center In-Memory-Attacken erkennen (engl.) Preview: Azure Security Center bietet...

Weiterlesen …

Automatisch generiert