Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

8.2.2018 - Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.

Geht alles nach Plan, macht Google am 17. April mit Chrome 66 Ernst: Ab dann werden Nutzer gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurden. Chrome beschwert sich dann, dass die Verbindung nicht sicher sei und eventuell Daten von Dritten abgefangen werden könnten. Am 23. Oktober, wenn Chrome 70 erscheinen soll, wird es noch unangenehmer für die Besitzer von Seiten mit Symantec-Zertifikaten: Ab dann stuft Googles Browser alle Verbindungen, die Symantec-Zertifikate nutzen, als nicht vertrauenswürdig ein und warnt noch lauter. Ein Sicherheitstechniker der Firma Airbnb hat sich nun die Mühe gemacht, herauszufinden, wie viele Seiten genau betroffen sind.

Das Skript, das Arkadiy Tetelman gebaut hat um eine Million der (laut Alexa-Ranking) meistbesuchten Seiten im Netz nach Symantec-Zertifikaten zu durchsuchen, lief elf Stunden und fand insgesamt 11.510 Domains, die im April Fehler produzieren werden. Weitere 91.627 Domains werden mit dem Chrome-Update im Oktober Warnmeldungen auslösen. Für Admins, die nachschauen wollen, ob die eigene Seite betroffen ist, hat Tetelman eine Textdatei zur Verfügung gestellt. Unter anderem in der Liste: Das Bundesfinanzministerium, Spiegel Online, die Uni Hildesheim, wetter.de, die Stadt Nottingham und Elon Musks Elektroautohersteller Tesla.

Betroffen sind nicht etwa nur direkt von Symantec ausgestellte Zertifikate. Alle Zertifikate, deren Vertrauenskette auf Symantec zurück geht, wird das Vertrauen entzogen. Das betrifft unter anderem CAs wie GeoTrust, RapidSSL und Thawte. Um auf Nummer Sicher zu gehen sollten Admins die Root-CA ihrer Zertifikate überprüfen.

Google nutzt den Chrome-Browser als Hebel gegen Symantec, da der Zertfikatsaussteller laut Google nachhaltig das Vertrauen in die Zuverlässigkeit seiner Infrastruktur zerstört hat. Google hatte Symantec mehrfach dabei erwischt, unberechtigterweise Zertifikate auf tausende von Domains ausgestellt zu haben. Vor allem hatte Symantec aber auch unberechtigt Zertifikate auf google.com ausgestellt – ein Fauxpas, den Google offensichtlich nicht auf sich sitzen lassen will. Google hatte Symantec danach schrittweise das Vertrauen entzogen.

Quelle: heise.de

OSI feiert 20 Jahre Open Source

3.2.2018 - Am 3. Februar 1998 fiel in einer strategischen Sitzung mit dem Erstellen der Open-Source-Definition der Startschuss für das Label "Open Source". Wenig später erfolgte die Gründung der gemeinnützigen Open Source Initiative (OSI).

Die Open Source Initiative (OSI) wurde 1998 zur Förderung von Open Source und der Zertifizierung entsprechender Lizenzen gegründet. Damit gilt sie seit nunmehr zwanzig Jahren als Hüterin der Open-Source-Lizenzen. Heute gehören der OSI über 60 nichtkommerzielle Organisationen und Projekte an – aber auch viele IT-Größen. So zählt seit Ende September 2017 auch Microsoft neben Unternehmen wie Google, IBM und Hewlett Packard Enterprise zu den Hauptgeldgebern der Initiative.

Simon Phipps, der im vergangenen Herbst wieder die Präsidentschaft der OSI von Allison Randal übernommen hatte, zeigt sich vom Erfolg der vor zwanzig Jahren gestarteten Initiative überzeugt: "Open-Source-Software kommt heute nahezu überall zum Einsatz". Sie bilde nicht nur das Fundament von Internet, World Wide Web und den damit verbundenen Netzwerken, sondern finde sich auch in jedem Computer und Mobilgerät bis hin zum Internet der Dinge.

Um das zwanzigjährige Jubiläum gebührend zu feiern, hat die OSI die "Open Source 20th Anniversary World Tour" gestartet, deren Programm sich über das ganze Jahr verteilt. Darüber hinaus steht mit OpenSource.Net eine neue Plattform zur Verfügung, die der Open-Source-Community den Austausch von praktischer Erfahrung in der Anwendung möglich macht – kombiniert mit einem Mentoren-Programm, das den Einsatz von Open Source in der nächsten Dekade gezielt fördern soll

Quelle: heise.de

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Read more: Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

22.1.2018 - Noch größeres Chaos bei den Sicherheitslücken in Intel-Prozessoren: Weil Updates im manchen Fällen Probleme verursachen, rät Intel von der Installation ab; unter anderem HPE, Ubuntu, Red Hat und VMware ziehen Updates zurück.

Die Probleme mit den Prozessorsicherheitslücken Meltdown und Spectre reißen nicht ab: Intel rät davon ab, die zuvor bereitgestellten CPU-Microcode-Updates einzuspielen, die zum Schließen der Sicherheitslücke Spectre Variante 2 (Branch Target Injection, BTI, CVE-2017-5715) nötig sind. Einige PC-Hersteller haben zuvor bereitgestellte BIOS-Updates mit diesem Microcode-Updates wieder von ihren Webseiten genommen. Auch einige Linux-Distríbutionen ziehen Microcode-Updates zurück.

In der Ubuntu Security Notice USN-3531-2 wird erklärt, wie man auf betroffenen Systemen dazu vorgehen sollte. Auch HPE, VMware und Red Hat haben bereits Updates zurückgezogen.

Damit dürfte sich der Zeitplan zur Bereitstellung von CPU-Microcode-Updates für ältere Prozessoren weiter verzögern. Die meisten Hersteller patchen zuerst ihre jüngsten Produkte und dann Zug-um Zug auch ältere.

Laut Intel-Blog hat man mittlerweile die dort nicht genauer beschriebene Ursache für plötzliche Neustarts nach dem Einspielen der CPU-Microcode-Updates gefunden. Doch erst nach weiteren Tests will man die überarbeiteten Microcode-Updates freigeben. Bis dahin rät Intel davon ab, die bisherigen Updates einzuspielen. Von den am 18. Januar noch erwähnten Skylake-Problemen ist hier nun nicht mehr die Rede.

Quelle: heise.de (Image gefunden bei heise.de)

Spectre-Lücke: Auch Server mit IBM POWER, Fujitsu SPARC und ARMv8 betroffen

11.1.2018 - Nicht nur Intel hat alle Hände voll zu tun: IBM stellt Firmware-Updates für Server mit POWER7+, POWER8 und POWER9 bereit, Fujitsu will einige SPARC-M10- und -M12-Server patchen; zu ARM-SoCs für Server fehlen Infos.            

Die Spectre-Sicherheitslücken CVE-2017-5715 und CVE-2017-5753 betreffen außer Prozessoren mit x86- und einigen ARM-Mikroarchitekturen auch manche IBM-POWER- und Fujitsu-SPARC-CPUs für Server. IBM hatte schon vor einigen Tagen auf kommende Firmware-Updates für Server mit POWER7+, POWER8 und den nagelneuen POWER9 hingewiesen, etwa für das Power System S812L und für andere OpenPOWER-Server.

Power

Zu Mainframes mit Z-Prozessoren gibt es von IBM keine öffentlichen Informationen, sondern nur für Kunden.

Sparc

Fujitsu hat am gestrigen Mittwoch eine lange Liste mit betroffenen Computern veröffentlicht, darunter sind sechs Fujitsu SPARC Server: Fujitsu SPARC M12-1/M12-2/M12-2S sowie M10-1/M10-4/M10-4S. Die ersten drei arbeiten mit SPARC64 XII, letztere mit SPARC64 X+.

Oracle hat bisher anscheinend noch keine Informationen zu SPARC M7 und Spectre veröffentlicht.

Bisher noch keine Hinweise gefunden haben wir auch zum AMD Opteron A1100 mit Cortex-A57; letzterer ist laut ARM von Spectre betroffen.

Cavium ThunderX und APM X-Gene nutzen jeweils selbst entwickelte Kerne, hier ist die Situation unklar. Die Kerne des X-Gene, X-Gene2 und des ThunderX2 beherrschen aber Out-of-Order-Execution. (Hier stand vorher, dass auch ThunderX und APM X-Gene Cortex-A57 nutzen.) /Update

Der neue Qualcomm-Serverprozessor Centriq 2400 enthält hauseigene ARMv8-Kerne namens "Falkor"; ob sie betroffen sind, ist unklar – Qualcomm hat sich bisher erst pauschal geäußert.

Laut ARM ist der neue Cortex-A75 genau wie Intel-Prozessoren von Meltdown betroffen; er wird aber bisher noch in keinem Server-SoC eingesetzt, sondern in ähnlicher Form erst im kommenden Snapdragon 845.

NAS sind von Meltdown und Spectre nur dann direkt betroffen, wenn man Plug-ins installieren kann oder in einer VM oder einem Container andere Software oder Betriebssysteme ausführen kann. Das ist bei NAS mit ARM-SoCs seltener der Fall. Die Marvell-SoCs der Baureihen Armada 7K und 8K enthalten jedenfalls von Spectre betroffene Cortex-A72-Kerne, die Alpine-SoCs der Amazon-Tochter Annapurna Labs Cortex-A15.

In-Order-ARM-Kerne wie Cortex-A7 und Cortex-A53 sind von Meltdown und Spectre nicht betroffen.