Entwickler sollen Github wegen KI-Software Copilot verlassen

Auf hohem Niveau ist GitHub ein webbasierter Dienst, der Entwicklern hilft, ihren Code zu speichern und zu verwalten sowie Änderungen an ihrem Code zu verfolgen und zu kontrollieren. Wie schon vor Jahrzehnten bei Sourceforge sollen Open-Source-Projekte jetzt auch das Repository Github verlassen. Über eine groß angelegte Öffentlichkeitskampagne fordert die Software Freedom Conservancy die Entwickler der Open-Source-Community dazu auf, die Dienste der bei Entwicklern beliebten Code-Hosting-Seite Github komplett zu verlassen. Als Analogie dazu verweist die Conservancy auf einen ähnlichen Vorgang bei der vor etwa zwei Jahrzehnten ebenfalls sehr beliebten Code-Hosting-Seite Sourceforg, wo ein ähnlicher Rückzug schon einmal umgesetzt wurde. Die Conservancy vertritt zahlreiche Open-Source-Projekte rechtlich und führt jetzt auch mehrere Gründe für die Kampagne Give Up Github auf. Dazu gehört auch die generelle Kritik an der Abhängigkeit von Open-Source-Projekten von einem proprietären Software-Anbieter. Als aktueller Auslöser für die Kampagne ist aber offenbar die Einführung des KI-Werkzeugs Copilot durch Github zu nennen. Probleme kommen durch Microsofts KI-Software „Copilot“ Die Organisation weist hier vor allem darauf hin, dass Copilot auch nach Aussagen von Github selbst auf dem öffentlichen Code trainiert wurde, der auf der Seite gehostet wird. Hier wurde also nicht nur ein proprietärer Dienst auf Grundlage von Open Source Code trainiert, denn unter den Trainingsdaten befindet sich auch umfangreicher Copyleft-Code, sagt die Organisation. Die dabei zu [...]

2022-07-05T09:05:57+02:00Juli 5th, 2022|Coding, Webwerkzeuge|Kommentare deaktiviert für Entwickler sollen Github wegen KI-Software Copilot verlassen
Weiterlesen

Google schließt mit Chrome 103 14 Sicherheitslücken

Mit dem soeben angelaufenen Update auf das 103er-Release beseitigt Google in seinem Webbrowser Chrome insgesamt 14 Schwachstellen und bringt einige neue Möglichleiten. Auch für die Mobilbetriebssysteme Android und iOS stehen die neuen Version zum Download bereit. Die ärgste der 14 in Chrome 103 geschlossenen Sicherheitslücken hat den Schweregrad „kritisch“, zwei davon wurden mit „hoch“ bewertet. Der Google-Browser bringt aber auch mehrere Neuerungen mit: Early Hints zum Vorladen Chrome 103 unterstützt jetzt auch den HTTP-Antwortcode 103 „Early Hints“, was den Browser etwas schneller machen sollte. Die meisten Browser laden die Seiteninhalte ja schon vorab, aber die 103 Early Hints machen diesen Prozess „schneller“ – was aber keine deutliche Beschleunigung mehr bringen dürfte. Schriftarten und Berechtigungen Jetzt können auch Web-Apps mit dem neuen Chrome 103 die Schriftarten nutzen, die auf dem ausführenden Gerät gespeichert sind. Darüber hinaus erkennt Chrome jetzt, wann einer Berechtigungsaufforderung wahrscheinlich nicht zugestimmt wird und schaltet diese unerwünschten Aufforderungen dann ab. Das geschieht abhängig davon, wie der Benutzer zuvor mit ähnlichen Berechtigungsaufforderungen umgegangen ist, Wie immer kann man das Update manuell über das Menü abrufen oder aber warten, bis das Update über die Benutzeroberfläche von Chrome angezeigt wird.

2022-06-22T10:27:06+02:00Juni 22nd, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Google schließt mit Chrome 103 14 Sicherheitslücken
Weiterlesen

Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme
Weiterlesen

PHP-Updates schützen vor Einschleusen von Schadcode

Gleich zwei Fehler in PHP-Modulen zur Anbindung von SQL-Datenbanken gestatten die Ausführung beliebigen Fremd-Codes. Deshalb sollten Admins von Shared-Hosting-Servern PHP zügig updaten. IT-Sicherheitsforscher Charles Fol fand gleich zwei Fehler in PHP-Datenbankmodulen, die er zur erfolgreichen Ausführung eigenen Codes benutzen konnte. Diese Schwachstellen stecken in allen PHP-Versionen der aktuell gepflegten Versionsbäumen bis einschließlich 7.4.29, 8.0.19 und 8.1.6. Bug #1: postgreSQL Die erste der Lücken (CVE-2022-31625) steckt in der Anbindung an postgreSQL-Datenbanken. Durch ein falsch initialisiertes Array zur Speicherung von Parametern einer Datenbankanfrage könnten Angreifer bei geschickter Kombination von bestimmten Datentypen den Heap korrumpieren und dann eigenen (Schad-)Code auf dem Zielsystem ausführen. Um diese Sicherheitslücke auszunutzen, müssten sie aber zusätzlich auch die Möglichkeit haben, eigenen PHP-Code auf dem Zielsystem auszuführen. Bug #2: MySQL Die zweite Sicherheitslücke steckt in der PHP-Anbindung an MySQL und bekam die CVE-ID CVE-2022-31626. Hier nutzte Fol einen Pufferüberlauf in der PHP-eigenen Implementation des MySQL-Protokolls aus, um den eingeschleusten Code dann auszuführen. Nötige Randbedingungen Aber auch hier ist eine Randbedingung zu erfüllen, um den Schadcode injizieren zu können: Der Zielserver muss dazu eine Verbindung zu einem speziell präparierten MySQL-Server aufbauen können, die außerdem noch ein besonders langes Passwort von über 4000 Zeichen benutzt. Der Sicherheitsdienstleister Tenable ordnete beiden Fehlern einen CVSS-Score von 9.8 (kritisch) zu und geht [...]

2022-06-11T11:16:12+02:00Juni 11th, 2022|Coding, MySQL, PHP, Sicherheit|Kommentare deaktiviert für PHP-Updates schützen vor Einschleusen von Schadcode
Weiterlesen

Docker Inc.: Docker Desktop für Linux mit Extensions

Nach Windows und macOS ist die grafische Anwendung zur Verwaltung von Containern, Volumes und Images jetzt auch für den Linux-Desktop veröffentlicht worden. Docker Desktop war schon lange nur für Windows und macOS verfügbar, aber nun hat der Hersteller auch eine Linux-Version veröffentlicht. Docker Desktop für Linux ist ein Komplettpaket mit der Docker Engine, CLI, Compose, BuildKit sowie einer Kubernetes-Integration, das in erster Linie auf Entwickler zugeschnitten ist. Mit Docker Desktop kommen erstmals auch Erweiterungen auf den Linux-Desktop. Dabei geht es um containerisierte Anwendungen, die sich in das Dashboard integrieren und für Entwickler viele nützliche Funktionen bereit stellen. Im sogenannten Marketplace stehen zur Zeit 16 Erweiterungen zur Verfügung, die beispielsweise Images auf Schwachstellen untersuchen, die Festplattenbelegung analysieren oder Container in ein Tailscale-Netzwerk einbinden können. Die Erweiterungen und das dazugehörige SDK haben laut Docker aber noch Beta-Status. Download und Installation von Docker für Linux Installationspakete stehen für die Linux-Distributionen Ubuntu, Debian und Fedora zur Verfügung. Es gibt dazu aber auch ein experimentelles Paket für Arch Linux. Auch eine Version für Raspberry Pi OS soll demnächst nachkommen. Weitere Informationen und Installationsanleitungen finden die Interessenten in der Docker-Dokumentation. Screenshot: Docker.Inc

2022-05-16T09:43:32+02:00Mai 16th, 2022|Bildbearbeitung, Coding, Webwerkzeuge|Kommentare deaktiviert für Docker Inc.: Docker Desktop für Linux mit Extensions
Weiterlesen

Neue Version des Sound-Tools Peaks.js

Peaks.js ist eine JavaScript-Komponente, mit der man Audio-Dateien im Browser über ein Canvas-Element in Wellenform darstellen kann. Die Forschungsabteilung der BBC hatte die Komponente ursprünglich für interne Zwecke entwickelt, damit Mitarbeiter im Radio- und Fernseharchiv Ausschnitte präzise auswählen und herunterladen können. Die Benutzer können darin auch zoomen und die Anzeige verschieben. In der neuen Version 2.0 wurde das Laden benutzerdefinierter Player-Objekte deutlich verbessert. Features von Peaks.js 2.0: Zoomable and scrollable waveform view Fixed width waveform view Mouse, touch, scroll wheel, and keyboard interaction Client-side waveform computation, using the Web Audio API, for convenience Server-side waveform computation, for efficiency Mono, stereo, or multi-channel waveform views Create point or segment marker annotations Customizable waveform views Direkt bei der BBC finden Sie weitere Informationen über die Komponente und können dort auch eine Demo downloaden…

2022-05-02T18:02:24+02:00Mai 2nd, 2022|Coding, HTML, Javascript|Kommentare deaktiviert für Neue Version des Sound-Tools Peaks.js
Weiterlesen

Oracle stellt 520 Sicherheitspatches bereit

Die Admins von Oracle-Anwendungen sollten die verfügbaren Aktualisierungen installieren, um zum Teil kritische Sicherheitslücken in der Software zu schließen. Oracle veröffentlicht Sicherheitsupdates in aller Regel gesammelt quartalsweise. Diese Pakete nennt der Softwarehersteller Critical Patch Update und in diesem Quartal sind darin insgesamt 520 Sicherheitspatches enthalten. Die Updates betreffen nicht nur hauseigene Anwendungen des Herstellers, sondern auch Software von Drittanbietern, die Oracle einsetzt. Möglichst umgehend patchen! Als "kritisch" bewertete Lücken betreffen unter anderem Blockchain Platform, Communications Applications und die E-Business Suite. In diesen Programmen können Angreifer die Schwachstellen in der Regel aus der Ferne und auch ohne Authentifizierung für Schadcode-Attacken ausnutzen. Wenn das klappt, könnten Angreifer zum Beispiel eine Hintertür installieren, um sich darüber dauerhaft in betroffenen Systemen einzunisten. In seinem umfangreichen Beitrag rät der Software-Hersteller den Admins, die Patches jetzt zügig zu installieren. Es komme wohl immer wieder zu Angriffen, weil Systeme nicht auf dem aktuellen Stand seien. Admins sollten den Beitrag genaustens lesen, um von ihnen eingesetzte bedrohte Software ausfindig zu machen und Aktualisierungen vorzunehmen. Das nächste Patch-Paket von Oracle ist für den 19. Juli 2022 geplant.

2022-04-20T11:33:49+02:00April 20th, 2022|Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für Oracle stellt 520 Sicherheitspatches bereit
Weiterlesen

Diagramme einfach mit Javascript-Modul Mermaid erstellen

Mit dem freien Javascript-Modul Mermaid lassen sich mit einer einfachen Textsyntax ohne Kosten Diagramme erstellen. Sie eignen sich besonders für den Einsatz auf Internetseiten. Wer gelegentlich kleine bis mittelgroße Infografiken von Fluss- und Tortengrafiken bis zu Gantt-Diagramme auf Internetseiten veröffentlicht, braucht dafür nicht unbedingt Bilddateien aus lizenzpflichtiger Standalone-Software einbinden. Das freie Javascript-Modul Mermaid reicht in vielen Fällen schon aus. Mermaid wandelt nach einem bestimmten Muster aufgebaute Texte ganz automatisch in Diagramme um. Dieser „Diagramm-Quellcode“ kann ganz einfach direkt in eine HTML-Datei geschrieben werden. Das sich daraus ergebende Diagramm passt sich der HTML-Darstellung im Browser an und verpixelt zum Beispiel auch bei starkem Zoom nicht. Mermaid unterstützt eine Reihe von Diagramm-Typen. Das sind in der aktuellen Version 8.13.9 zunächst die Klassiker wie Fluss- und Tortendiagramme und Gantt-Diagramme für Projektmanagement. Darüber hinaus stehen auch stärker technisch ausgerichtete Sequenz-, Klassen- und Zustandsdiagramme zur Verfügung. Voraussetzungen für die Nutzung Technisch kann Mermaid auf nahezu jedem System eingesetzt werden. Zum Testen muss noch nicht einmal ein Webserver installiert sein – dafür braucht man nur einen Texteditor und einen Browser. Mermaid kommt als einzelne Javascript-Datei mermaid.js. Diese Datei muss als Quelle in einem Script-Tag im HTML-Code angegeben werden. Dabei kann sie über die URL   https://cdn.jsdelivr.net/npm/mermaid@8.13.9/dist/mermaid.js auch direkt aus dem Content-Delivery-Network JSDelivr heraus eingebunden [...]

2022-04-09T15:20:09+02:00April 9th, 2022|Coding, CSS, HTML, Javascript|Kommentare deaktiviert für Diagramme einfach mit Javascript-Modul Mermaid erstellen
Weiterlesen

Notfallupdate für Google-Browser Chrome

Soeben hat Google neue Versionen seines Webbrowsers Chrome veröffentlicht. Diese schließen eine Sicherheitslücke, für die schon Exploit-Code existiert. Der Webbrowser Chrome ist jetzt in der stabilen Version 99.0.4844.84 für  Linux, MacOS und Windows erschienen. Das Update enthält nur eine einzige Fehlerbehebung, mit der der Hersteller eine am Mittwoch der Woche anonym gemeldete Sicherheitslücke dicht macht. Für diese Lücke ist schon Exploit-Code im Netz aufgetaucht, bestätigt das Unternehmen. In seinem Release-Blog listen die Google-Entwickler nur eine Schwachstelle auf, die die neue version beseitigt. Wie immer halten sie sich mit Details zum Schutz der Nutzer erst einmal zurück. Nur eine knappe Beschreibung bestätigt, dass es sich dabei um eine Type-Confusion-Schwachstelle handelt. Bisher noch keine Details bekannt In solchen Fällen prüft das Programm den Typ übergebener Daten nicht korrekt, was dann zu diversen Fehlern wegen fehlender Typumwandlung und unterschiedlich großen Datenstrukturen beispielsweise bei nachfolgenden Kopieroperationen führen kann. Hier sind etwa daraus resultierende Pufferüberläufe denkbar, die das Ausführen von eingeschleustem Schadcodes möglich machen. Das Problem steckt in der Javascript-Engine Die Sicherheitslücke steckt laut Googles Release-Blog-Beitrag in der JavaScript-Engine V8 von Chrome (CVE-2022-1096). Die Entwickler stufen das Risiko der Schwachstelle als hoch ein. Die Details zur Lücke fehlen zwar noch, aber schon der Besuch einer bösartig manipulierten Webseite könnte wahrscheinlich ausreichen, um die Schwachstelle auszunutzen – und jede Webseite [...]

2022-03-27T09:15:39+02:00März 27th, 2022|Browser, Coding, Sicherheit|Kommentare deaktiviert für Notfallupdate für Google-Browser Chrome
Weiterlesen

PHP schließt Sicherheitslücke mit Updates

Neue PHP-Versionen schließen häufig auch  Sicherheitslücken, die Angreifern ansonsten unter Umständen das Einschleusen von Schadcode erlauben könnten. Die PHP-Entwickler haben soeben neue Versionen der beliebten Programmiersprache veröffentlicht, die mindestens eine schwere Sicherheitslücke schließen. Das Problem an sich Wenn eine Filterfunktion FILTER_VALIDATE_FLOAT mit min- und max-Begrenzung genutzt wird und der Filter – angedeutet in den Changelogs der PHP-Maintainer etwa bei Integer-Werten – fehlschlägt, könnte dadurch eine Use-after-free-Lücke aufgehen. Das kann dann zu einem Absturz führen oder sogar zum Überschreiben von Speicherbereichen und in der Folge zur Ausführung untergeschobenen Schadcodes missbraucht werden (CVE-2021-21708, CVSS 8.2, Risiko hoch). Die betroffenen Versionen Das Problem betrifft PHP in den Versionen 7.4.x vor 7.4.28, 8.0.x vor 8.0.16 sowie 8.1.x vor 8.1.3. PHP 7.4.28 schließt ausschließlich die Sicherheitslücke. Version 8.0.16 (Changelog) und 8.1.3 (Changelog) beheben auch weitere, aber nicht sicherheitsrelevante Fehler, darunter auch Speicherlecks. Auf der PHP-Website finden Sie die Downloads etwa von aktualisierten Windows-Binärdateien, aber auch neue Quellcode-Pakete. Linux-Distributionen dürften jetzt auch bald aktualisierte Pakete verteilen. Administratoren, die PHP nutzen, sollten das Update möglicht umgehend einplanen und durchführen.

2022-02-28T23:38:10+02:00Februar 28th, 2022|Coding, PHP|Kommentare deaktiviert für PHP schließt Sicherheitslücke mit Updates
Weiterlesen
Nach oben