Samba-Lücke auf Linux-Servern

Nicht etwa in der Client-Software, sondern in der Datei- und Druckserver-Software Samba auf den Linux-Servern erzeugte eine Änderung an der Version 3.5.0 schon vor 7 Jahren! eine Sicherheitslücke (CVE-2017-7494) auf, die es wirklich in sich hat.

Durch diese Lücke können Angreifer aus der Ferne beliebigen Programmcode auf dem Linux-Server ausführen. Unter Ausnutzung der Lücke könnte man sogar einen Wurm wie  WannaCry, der in den letzten zwei Wochen mehr als 200.000 Rechner lahmgelegt hat, programmieren, der sich dann anstatt von Windows-PC zu Windows-PC von Linux-Rechner zu Linux-Rechner  weiterverbreiten könnte. Ein passender Exploit zu diesem Zweck ist schon im Umlauf.

Die meistverbreiteten Linux-Distributionen von DebianRed Hat, Suse und Ubuntu  haben inzwischen schon Sicherheitsupdates für Samba bereitgestellt, die diese Lücke dicht machen. Admins sollten die Updates auch umgehend installieren. Die Sicherheitslücke steckt nicht nur in den Versionen des alten Samba-Zweigs 3.x, sondern auch in der neueren Hauptversion Samba 4.

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

Oracles Java-9-Modulsystem ohne Mehrheit

Der aktuelle Entwicklungsstand des Java Platform Module System (JPMS) hat in der Abstimmung beim Public Review Ballot  keine Mehrheit bekommen. Oracle, das die Entwicklung des für Java 9 geplanten Modulsytems für die Programmierplattform federführend ist, hat jetzt noch einen Monat Zeit, den zuständigen Java Specification Request JSR 376 zu überarbeiten. Dann wird das Expertengremium innerhalb des Java Community Process (JCP) noch einmal über das Modularisierungsprojekt Jigsaw abstimmen.

Sollte Jigsaw wieder nicht die erforderliche Zweidrittelmehrheit bekommen, muss es nach den Regeln des JCP gestoppt werden, was dann auch das Scheitern des Projektes Jigsaw besiegeln würde.

Nur 10 der 23 Stimmberechtigten sprachen sich gestern für den Vorschlag von Oracle aus. Red Hat und IBM kritisierten, dass Jigsaw zwar erfolgreich bei der Modularisierung von Java selbst funktioniert habe, aber in „echten“ Anwendungsszenarien weitgehend ungeprüft sei und viele existierende Java-Anwendungen unter Jigsaw nicht möglich seien oder erhebliche Architekturanpassungen erfordern würden.

CMS Joomla: Update auf Version 3.7

Über 1300 Änderungen und 700 neue Funktionen bringt das Joomla-Projekt in der gerade veröffentlichten Version 3.7 seines gleichnamigen Content-Management-Systems (CMS) als Open Source Software. Viele dieser Änderungen sind nur marginal, andere wiederum aber auch elementarer.

Deutlich mehr eigene Gestaltungsmöglichkeiten und Flexibilität sollen beispielsweise die eigenen Feldern (Custom Fields) bringen. Dazu stehen jetzt 15 unterschiedliche Feldtypen bereit, die der Administrator bereitstellen und die die Nutzer bei der Erstellung von Inhalten ausfüllen können.

Die „Custom Fields“ gestatten eine einheitliche Gestaltung des Layouts, auch wenn mehrere Redakteure die Inhalte zusammen erstellen. Die Felder lassen sich zu Feldgruppen zusammenfassen, die wiederum verschiedenen Kategorien oder Zugriffsebenen zugewiesen werden können.

Bei der Mehrsprachigkeit gibt es auch Verbesserungen. So können mit der neu eingeführten Komponente „Multilingual Associations“ Inhalte jetzt in einem Interface übersetzt werden. Auch die Anlage von neuen Artikeln wurde verbessert, so dass die Redakteure jetzt einen Menüpunkte, Artikel und Kategorien in einem Schritt erstellen können.

Firefox 53 nicht mehr für alte Betriebssysteme

Benutzer mehrerer inzwischen veralteter Betriebssysteme und Plattformen können nicht mehr mit der aktuellen Version 53 des Firefox-Browsers surfen.

Betroffen sind davon Anwender der Windows-Systeme XP und Vista sowie der 32-Bit-Versionen von Mac OS X, die zuletzt mit Version 10.6 alias Snow Leopard erschienen. Details zu dem Ende der Plattform-Unterstützung hat Mozilla auf seinen Support-Seiten veröffentlicht.

Durch den Langzeitsupport von Version 52 kann der Firefox-Browser auf den genannten Systemen wohl noch ungefähr ein Jahr lang genutzt werden, erhält aber dabei keine neuen Funktionen mehr. Komplett eingestellt hat Mozilla die Unterstützung für Linux-Builds des Browsers für Computer mit Prozessoren, die älter sind als Intels Pentium 4 oder AMDs Opteron.

Ganz neu in Firefox 53 ist die Unterstützung eines ausgelagerten GPU-Prozesses. Die Arbeiten daran gehören zum Projekt Quantum, mit dem Mozilla nach eigenen Angaben eine „Webengine der nächsten Generation“ erzeugen möchte und dazu verschiedene Teilbereiche des Browsers überarbeitet.

c’t-Sonderheft 3-2017 Makro-Fotografie

Webdesigner und Grafiker, die viel mit eigenen Fotos arbeiten, und Nutzer von Photoshop könnten die neue Ausgabe 3 der Zeitschrift c’t Digitale Fotografie mit dem Schwerpunkt Makro-Fotografie interessant finden.

Fünfzehn Objektive werden in dieser Ausgabe getestet: Normalbrennweite (50 mm) für Pflanzen, die nicht weglaufen können, wenn man sich anschleicht, für scheue Tiere, die das sehr wohl machen, wenn auch nur ein Ästchen in Hörweite knackt mittlere (Brennweiten zwischen 90 mm und 105 mm) und auch Teleobjektive mit Brennweiten bis zu 200 mm.

Es werden aber auch noch einige weitere Themen behandelt:

  • Emotionale Kinderfotos
  • Fotobücher mit Scribus gestalten
  • RAW-Fotografie mit Smartphones
  • Optimale Farben mit Photoshop
  • Kameratests Fujifilm X100F, Canon G9 Mark II, Leica M10
  • Tipps zu Bilderrahmen
  • Zusatzmaterial auf DVD

Das Sonderheft 3/2017 können Sie ab sofort für 9,90 Euro bestellen – bis zum 8. Mai kommt es dann sogar versandkostenfrei. Seit Montag gibt es das Heft auch am Kiosk zu kaufen.

Firefox Aurora wird eingestellt

Die Firefox-Entwickler räumen die Vorabversionen des Browsers auf und trennen sich vom Aurora Channel, der zwischen den auch künftig weiter verfügbaren Nightly Builds und den Betaversionen lag.

Nach einer Erklärung des Firefox-Teams hat der Test-Channel Aurora seine Erwartungen als erster stabilisierter Kanal nicht wirklich erfüllt. Anwender sollen durch die jetzige Änderung eine klare Auswahl zwischen Nightly mit experimentellen Features und Beta für eine stabilere Vorschau haben.

Die Firefox-Entwickler hatten den Aurora Channel vor sechs Jahren mit dem Wechsel von Version 5 auf kürzere Releasezyklen eingeführt, um dadurch mehr Rückmeldungen der Benutzer vor der jeweiligen Betaphase zu erhalten.

Laut ihrer Erklärung sind die Prozesse inzwischen moderner geworden, so dass sich das Team glaubt, stabilere Varianten des Browsers auch ohne die zusätzliche sechs- bis achtwöchige Aurora-Phase erstellen zu können. Neue Features werden künftig vom Nightly in den Beta Channel hinüberwandern, wenn sie die zuvor festgelegten Kriterien erfüllen.

CorelDraw 2017 macht aus Skizzen Bézier-Kurven

Die Kreativen nennen es einen großen Durchbruch: Die neue CorelDraw Graphics Suite 2017, die erstmals mit dem Zusatz 2017 statt einer Versionsnummer erscheint und aus den Programmen CorelDraw, Photo-Paint, Font Manager, PowerTrace, Website Creator, Connect und Capture besteht, kann jetzt aus groben Skizzen saubere Bézier-Kurven erzeugen.

Statt wie bisher die Kurven durch Setzen von Punkten mit einer wenig präzisen Maus erzeugen zu müssen, können CorelDraw-Nutzer  jetzt mit dem Teilprogramm LiveSketch auf natürliche Weise Vektorgrafiken zeichnen können, ohne anachronistisch nach digitaler Arbeitsweise Unmengen von einzelnen Kurvenpunkte setzen zu müssen.

Aus Handskizzen eines Wacom-Tablets erzeugt LiveSketch jetzt selbstständig Bézier-Kurven. Der Anwender bestimmt dabei, nach wie vielen Sekunden CorelDraw die Zeichnung vektorisieren soll.

Bis dahin kann er dann mehrere Ansätze für seine perfekte Kurve durchgehen, die Kurve aus mehreren Teilstrichen zusammensetzen lassen oder aber aus verschiedenen Linien eine Mittellinie generieren zu lassen.

Bei Wacom-Stiften unterstützt CorelDraw außer dem Druck jetzt auch Neigung, Rotation und Orientierung. Die gezeichneten Kurven lassen sich auch noch nachträglich editieren, wobei Stift-Eigenschaften wie Neigung und Druck erhalten bleiben.

In dem Paket CorelDraw Graphics Suite 2017 sind neben den schon weiter oben genannten Programmen auch noch der Bildskalierer PhotoZoom Pro 4 und Materialien wie 10.000 Clip-Arts, 2000 hochauflösende Bilder und 1000 Schriften enthalten.

Die Vollversion der Suite ist ab sofort bei Corel zu haben und kostet wie schon die Vorversion 700 Euro. Die Preise für Upgrades beginnen bei 350 Euro. Ein Abo kostet bei einer Laufzeit von einem Jahr 20 Euro pro Monat.

D-Referenzkompiler jetzt unter freier Lizenz

Für die DConf in Berlin, wo sich im Mai D-Entwickler aus aller Welt treffen, hat der Erfinder der Programmiersprache D, Walter Bright, eine ganz besondere Überraschung zu bieten:

Ab sofort steht nämlich auch das Backend des Referenzcompilers DMD unter freier Lizenz. Bisher stand er nicht unter Open-Source-Lizenz, weil Bright Teile davon geschrieben hatte, während er noch Angestellter von Symantec war.

Deshalb wurden schon ernsthaft Alternativen zu dem halbproprietären Referenzcompiler diskutiert. Weil DMD aber deutlich schneller kompiliert als die Konkurrenz, mochte aber offenbar niemand ernsthaft auf diesen Compiler verzichten. So gesehen hat sich das Warten für die Community gelohnt.