Archive for the Category »Allgemein «

Samba-Lücke auf Linux-Servern

Nicht etwa in der Client-Software, sondern in der Datei- und Druckserver-Software Samba auf den Linux-Servern erzeugte eine Änderung an der Version 3.5.0 schon vor 7 Jahren! eine Sicherheitslücke (CVE-2017-7494) auf, die es wirklich in sich hat.

Durch diese Lücke können Angreifer aus der Ferne beliebigen Programmcode auf dem Linux-Server ausführen. Unter Ausnutzung der Lücke könnte man sogar einen Wurm wie  WannaCry, der in den letzten zwei Wochen mehr als 200.000 Rechner lahmgelegt hat, programmieren, der sich dann anstatt von Windows-PC zu Windows-PC von Linux-Rechner zu Linux-Rechner  weiterverbreiten könnte. Ein passender Exploit zu diesem Zweck ist schon im Umlauf.

Die meistverbreiteten Linux-Distributionen von DebianRed Hat, Suse und Ubuntu  haben inzwischen schon Sicherheitsupdates für Samba bereitgestellt, die diese Lücke dicht machen. Admins sollten die Updates auch umgehend installieren. Die Sicherheitslücke steckt nicht nur in den Versionen des alten Samba-Zweigs 3.x, sondern auch in der neueren Hauptversion Samba 4.

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

CMS Joomla: Update auf Version 3.7

Über 1300 Änderungen und 700 neue Funktionen bringt das Joomla-Projekt in der gerade veröffentlichten Version 3.7 seines gleichnamigen Content-Management-Systems (CMS) als Open Source Software. Viele dieser Änderungen sind nur marginal, andere wiederum aber auch elementarer.

Deutlich mehr eigene Gestaltungsmöglichkeiten und Flexibilität sollen beispielsweise die eigenen Feldern (Custom Fields) bringen. Dazu stehen jetzt 15 unterschiedliche Feldtypen bereit, die der Administrator bereitstellen und die die Nutzer bei der Erstellung von Inhalten ausfüllen können.

Die „Custom Fields“ gestatten eine einheitliche Gestaltung des Layouts, auch wenn mehrere Redakteure die Inhalte zusammen erstellen. Die Felder lassen sich zu Feldgruppen zusammenfassen, die wiederum verschiedenen Kategorien oder Zugriffsebenen zugewiesen werden können.

Bei der Mehrsprachigkeit gibt es auch Verbesserungen. So können mit der neu eingeführten Komponente „Multilingual Associations“ Inhalte jetzt in einem Interface übersetzt werden. Auch die Anlage von neuen Artikeln wurde verbessert, so dass die Redakteure jetzt einen Menüpunkte, Artikel und Kategorien in einem Schritt erstellen können.

Firefox 53 nicht mehr für alte Betriebssysteme

Benutzer mehrerer inzwischen veralteter Betriebssysteme und Plattformen können nicht mehr mit der aktuellen Version 53 des Firefox-Browsers surfen.

Betroffen sind davon Anwender der Windows-Systeme XP und Vista sowie der 32-Bit-Versionen von Mac OS X, die zuletzt mit Version 10.6 alias Snow Leopard erschienen. Details zu dem Ende der Plattform-Unterstützung hat Mozilla auf seinen Support-Seiten veröffentlicht.

Durch den Langzeitsupport von Version 52 kann der Firefox-Browser auf den genannten Systemen wohl noch ungefähr ein Jahr lang genutzt werden, erhält aber dabei keine neuen Funktionen mehr. Komplett eingestellt hat Mozilla die Unterstützung für Linux-Builds des Browsers für Computer mit Prozessoren, die älter sind als Intels Pentium 4 oder AMDs Opteron.

Ganz neu in Firefox 53 ist die Unterstützung eines ausgelagerten GPU-Prozesses. Die Arbeiten daran gehören zum Projekt Quantum, mit dem Mozilla nach eigenen Angaben eine „Webengine der nächsten Generation“ erzeugen möchte und dazu verschiedene Teilbereiche des Browsers überarbeitet.

D-Referenzkompiler jetzt unter freier Lizenz

Für die DConf in Berlin, wo sich im Mai D-Entwickler aus aller Welt treffen, hat der Erfinder der Programmiersprache D, Walter Bright, eine ganz besondere Überraschung zu bieten:

Ab sofort steht nämlich auch das Backend des Referenzcompilers DMD unter freier Lizenz. Bisher stand er nicht unter Open-Source-Lizenz, weil Bright Teile davon geschrieben hatte, während er noch Angestellter von Symantec war.

Deshalb wurden schon ernsthaft Alternativen zu dem halbproprietären Referenzcompiler diskutiert. Weil DMD aber deutlich schneller kompiliert als die Konkurrenz, mochte aber offenbar niemand ernsthaft auf diesen Compiler verzichten. So gesehen hat sich das Warten für die Community gelohnt.

Grafiktreiber von AMD für VR und 8K-Monitore

Soeben hat AMD einen neuen Grafikkarten-Treiber mit der Bezeichnung Radeon Software Crimson ReLive Edition 17.4.1 herausgebracht. Dieser Treiber enthält viele Neuerungen, die das effizientere Rendern von VR-Spielen und das Ansteuern von hochauflösenden Bildschirmen erlauben.

Mit dem neuen Treiber können Radeon-Grafikkarten der RX-400-Generation jetzt auch große 33-Megapixel-Displays mit Auflösungen bis zu 7680 × 4320 Pixel (8K) ansteuern.

Dazu muss die Grafikkarte einen DisplayPort-1.4-Ausgang besitzen. Mit einem Kabel lassen sich so 8K-Displays mit einer Bildfrequenz von 30 Hz nutzen.

Wer eine Grafikkarte mit zwei DisplayPort-1.4-Buchsen besitzt, kann 8K-Monitore mit zwei Kabeln auch mit 60 Hz ansteuern. So lässt sich zum Beispiel der 8K-Monitor UltraSharp UP3218K von Dell anschließen, der noch im April für ca. 5000 Dollar in den USA verfügbar sein soll. Dieser Monitor hat eine Bildschirmdiagonale von 32 Zoll und eine Pixeldichte von ca. 280 dpi.

Außerdem behebt der neue Treiber auch noch mehrere Probleme seiner Vorläufer. Downloaden kann man den neuen Grafiktreiber direkt bei AMD:

 

Microsoft schliesst CodePlex

Zum Monatswechsel hat Microsoft auf die Dominanz von Repositories wie GitHub reagiert und die Schließung seiner Open-Source-Bibliothek CodePlex angekündigt. Seitdem lassen sich keine neuen Softwareprojekte mehr in CodePlex anlegen.

Ab Oktober dieses Jahres soll die Bibliothek in einem Nur-Lese-Modus aufgerufen werden können – ab dem Zeitpunkt können auch dort schon vorhandene Projekte nicht mehr geändert werden. Die komplette und dauerhafte Schließung kommt dann am 15. Dezember 2017.

Danach soll CodePlex nur noch als Archiv genutzt werden. Benutzer können weiterhin alle dort veröffentlichten Projekte einsehen. Darüber hinaus will Microsoft auch noch downloadbare Archivdateien mit alle Inhalten eines Projekts in Formaten wie beispielsweise Markdown und JSON anbieten.

Entwickler, die mit ihren Projekten auf eine andere Plattform wie beispielsweise GitHub umgezogen sind, können vom CodePlex-Archiv aus auch auf die neue Internetadresse ihres Projekts verlinken.

Sprachstandard C++17 ist fertig

Der Sprachstandard C++ des Jahres 2017,  C++17, ist technisch gesehen inzwischen fertig. Das kann man einem Blogeintrag des Vorsitzenden des C++-Standardisierungskomitees Herb Sutter zum jüngsten Treffen der Vereinigung auf Hawaii mit gut 100 Teilnehmern entnehmen.

Es wird also nicht mehr zu inhaltlichen Erweiterungen kommen, sondern jetzt folgt nur noch die endgültige Abstimmung zu C++17, bevor der Standard offiziell veröffentlicht wird.

Weitere Details dazu können Sie Herb Sutters Blogbeitrag und der Statusseite des ISO-Komitees entnehmen. Nach dem Abschluss der C++17-Spezifikation beginnt das ISO-Komitee ab dem für Juli angesetzten Treffen in Toronto mit der Gestaltung von C++20 für das Jahr 2020.

Anwendungen im Web

Der Begriff Informationstechnologie stellt die Summe aller Mittel dar, mit deren Hilfe bestimmte Funktionen steuerbar sind. Webanwendungen, wie beispielsweise eine interaktive Homepage, sind die Schnittstellen für die Anwender, die mit unterschiedlichen Zugangsvoraussetzungen darauf zugreifen. Gleichzeitig sind Webanwendungen die Sammelpunkte moderner Informationstechnologie. Dabei kommt es darauf an, dem unterschiedlichen Fachwissen der Nutzer durch einfache Handhabung entgegen zukommen. Die oft verwendeten Baukastensysteme sind dabei nicht unbedingt der Weisheit letzter Schluss. Zurückgreifen kann man etwa auf Individuelle Lösungen, wie bei der Softwareentwicklung in Berlin, welche vielmehr das Optimum darstellen.

Der Aufbau von Webanwendungen stellt sich idealerweise so dar, dass verschiedene Seiten so einfach wie möglich und so schnell wie möglich auf das Produkt oder die Dienstleistung zugreifen können. Schon hier zeigt sich der Vorteil der Webanwendung, denn der Download und die Installation von Software auf das jeweilige Endgerät des Nutzers ist erst einmal oder überhaupt nicht notwendig. Dadurch wird Zeit, aber auch Geld gespart. Zusätzlich werden Daten an einem zentralen Punkt gespeichert. Diese wiederum sind für alle Anwender greif- und nutzbar, im Gegensatz zu Informationen, die sich nur auf einem Endgerät befinden.

In einem schlechteren Verhältnis dazu stehen Anwendungen, die durch ihre Anbindung an ein bestimmtes Umfeld in ihrer Funktionalität stark eingeschränkt sind. Während Webanwendungen so konzipiert sind, dass von jedem Betriebssystem aus darauf zugegriffen werden kann, sind Lösungen auf Computer-Endgeräten abhängig vom jeweiligen System und dessen Beschränkungen. Vereinfacht gesagt, Windows erlaubt nur Windows, Android nur Android den vollen Funktionsumfang. In der modernen Kommunikation mit verschiedenen Endgeräten kaum eine zufriedenstellende Lösung.

Über eine Webanwendung erhält jeder Teilnehmer mittels einer Browseroberfläche die gleichen Zugangsvoraussetzungen, unabhängig vom Betriebssystem. Ob nun der zugriff vom Laptop, dem Desktop PC, dem Tablet oder dem Smartphone erfolgt. Daten genauso wie Anwendungen stehen jederzeit in vollem Funktionsumfang zur Verfügung. Dabei ergibt sich noch ein sehr großer Vorteil. Alle notwendigen Updates werden von der Serverseite automatisch getätigt. So lassen sich alle wichtigen Funktionen, ob nun privat oder geschäftlich, in das World Wide Web verlegen. Keine Angst mehr vor einem Festplattencrash und mittels entsprechender Verschlüsselungssoftware wird das Risiko des Datendiebstahls minimiert. Das weitaus größere Problem ist hierbei übrigens die individuelle Passwortvergabe der einzelnen Nutzer, die es Datendieben oft sehr einfach machen. Aber auch dafür stehen Lösungen bereit, die dem Anwender die Passwortverwaltung erleichtern und sogar komplexe Passwörter generieren, die kaum zu knacken sind.

Webanwendungen sind die Zukunft, die bereits da ist. Endgeräte werden zukünftig nur noch in geringem Umfang zur Speicherung von Daten oder aufwendigen Programmen verwendet. Vielmehr dient deren Rechenleistung dazu, die angeforderten Anwendungen zu bewältigen, wie auch die Zusatzfunktionen des jeweiligen Computers zu verwalten. Mit dem Zugang zum Internet spielt weder der aktuelle Standort, noch das Betriebssystem eine Rolle.

Die Software Entwicklung gehört zu dem Bereich der Softwaretechnik, welche sich in zahlreiche Detailgebiete splittet. Eine gute Übersicht, bietet auch wikipedia.

Category: Allgemein  Tags:  Comments off