Lucky 13 - wieder ein OpenSSL Leck
Bei den beiden kritischen Lücken handelt es sich um:
- CVE-2013-0169 Diese unter dem Namen Lucky 13 Lücke bekanntgewordene Schwachstelle wurde nicht komplett behoben - dies wurde jetzt behoben.
- CVE-2016-2107 Gemeinsam mit der nicht ganz behobenen Lucky 13 Lücke macht diese Sicherheitslücke bei Servern, die AES-CDC als Cipher einsetzen einen neuen Angriff möglich.
Behoben sind die Lücken in folgenden Versionen:
- OpenSSL 1.0.1t
- OpenSSL 1.0.2h
- OpenSSL 1.1.0-pre5
Wie üblich wird es einige Tage / Wochen dauern, bis alle Distributionen diese Patches zur Verfügung stellen.
Weitere Informationen und den Download finden Sie hier.
Hack the Pentagon - mindestens 138 Sicherheitslücken entdeckt
Wovon würden Sie ausgehen, wenn jemand sagt: "Schaut mal ob Ihr unsere Seiten hacken könnt"?
Vermutlich war sich das US Verteidigungsministerium recht sicher, dass Ihre Webseiten nicht gehackt werden können. Die Wirklichkeit sieht anders aus - mindestens 138 mal wurden die Seiten erfolgreich gehackt. Angeblich wollte das Pentagon durch diese Aktion mit geringeren Kosten (es wurden ca. 72.000 US$ für die Meldungen bezahlt) gegenüber einer professionellen Securityanalyse argumentiert haben, trotzdem ist es beachtlich, wie unsicher selbst Regierungsseiten sind.
Weitere Informationen finden Sie hier.
Itanium-Streit: Oracle soll 3 Mrd USD an HPE zahlen
1.7.2016 - Für den Computerkonzern Hewlett-Packard (HP) war Oracles Absage an Itanium-Server im Jahr 2011 ein schwerer Schlag. Vor Gericht musste nun geklärt werden, ob Oracle mit der Entscheidung unfair seine eigene Server-Plattform bevorzugt hat.
Geschworene in Kalifornien haben entschieden, dass Oracle an Hewlett-Packard Enterprise drei Milliarden US-Dollar in einem seit Jahren andauernden Streit um den Server-Prozessor Itanium zahlen soll. Das berichteten unter anderem der Finanzdienst Bloomberg und das Wall Street Journal aus dem Gericht. Die Summe entspricht der Forderung von HP. Oracle kündigte demnach umgehend an, in Berufung zu gehen.
Oracle ließ Itanium fallen
Auslöser für das Verfahren war die Entscheidung von Oracle, im Jahr 2011 die Entwicklung von Software für Intels Server-Prozessor Itanium einzustellen. Hewlett-Packard argumentierte, das sei eine Vertragsverletzung gewesen, mit der die Erfolgsaussichten der Itanium-Server verschlechtert worden seien – und brachte den Schritt auch mit dem Kauf des Server-Anbieters Sun Microsystems durch Oracle in Verbindung.
Vorwurf des Vertragsbruchs
Der Rückzug von Oracle habe außerdem einer Vereinbarung widersprochen, die im Zusammenhang mit der Abwerbung des ehemalige HP-Chefs Mark Hurd durch Oracle geschlossen wurde. "Oracles Entscheidung vom März 2011, die weitere Software-Entwicklung für die Itanium-Server-Plattform zu stoppen, stellt einen klaren Vertragsbruch dar und hat bei HP und seinen Kunden erheblichen Schaden angerichtet", erklärte John Schultz, Executive Vice President von HP Enterprise.
Geringe Popularität der Itanium-CPU
Oracle wies die Vorwürfe zurück und konterte, der gemeinsam mit Intel entwickelte Itanium-Prozessor sei da bereits wenig populär gewesen. Nach einer Gerichtsentscheidung aus dem Jahr 2012 hatte Oracle bereits die Entwicklung von Software für Itanium wieder aufgenommen. Oracle produziert unter anderem Datenbank-Software, die von vielen großen Unternehmen eingesetzt wird.
Bei der Aufspaltung von Hewlett-Packard im vergangenen Jahr war der Streit mit Oracle vom neuen Unternehmen HP Enterprise übernommen worden, das sich unter anderem auf Server und andere Technik für Rechenzentren spezialisiert. (dpa) / (tiw)
Quelle: heise.de
15TB SSDs halten in Storages Einzug
Mit den neuen 15.3TB SSDs kann man pro Shelf (24 SSDs) somit 360TB Brutto - etwas mehr als 300TB Netto (nach Abzug von Parity und Spare) nutzen. Wer mehr braucht - kein Problem man kann problemlos 10 dieser Shelfs an einen Storage Kontroller anschließen.
Weitere Informationen finden Sie bei NetApp.
Das DROWN Syndrom
11.3.2016 - Viele im Internet erreichbare Server leiden derzeit unter dem DROWN-Syndrom.
Bei DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) handelt es sich um eine Sicherheitslücke in SSL, die es ermöglicht, dass mit TLSv1.2 geschützte Verbindungen auf SSLv2 zurückgestuft werden können. Dieses veraltete Protokoll gilt als unsicher kann leicht geknackt werden.
Die Schwachstelle ist unter den Nummern CVE-2016-0800, CVE-2016-0704 und CVE-2015-0293 beschrieben.
Alle Administratoren sind daher aufgefordert, möglichst umgehend die zur Verfügung stehenden Patches zu installieren.
Über die WebSite https://drownattack.com/ können Sie selber überprüfen, ob Ihre Server durch DROWN gefährdet sind.