Suchen Sitemap Kontakt Impressum
Christian-Albrechts-Universität zu Kiel Rechenzentrum CAU Kiel
Umzug

Die aktuellen Seiten des Rechenzentrums befinden sich unter https://www.rz.uni-kiel.de .

 

Die hier noch verfügbaren Seiten dienen nur noch Archivzwecken und sollten im Normalfall nicht mehr verwendet werden.

 
Benutzerspezifische Werkzeuge


Aktuelle Meldungen zur IT-Sicherheit

Hier finden Sie aktuelle Meldungen zur Rechner- und Netzsicherheit vom RUS-CERT der Universität Stuttgart und vom Heise Verlag.
Logo Heise Security
Logo RUSLogo CERT
    • [Generic/TLS] Schwachstelle im Diffie-Hellman-Schlüsselaustausch von TLS (Logjam) (2015-05-20)
      Eine Schwachstelle im SSL/TLS-Protokoll erlaubt einem Angreifer, als Dritter in der Mitte (Man-In-The-Middle) die verschlüsselte Kommunikation abzuhören oder zu verändern. Die Schwachstelle emöglicht bei der Aushandlung der Parameter für den TLS-Schlüsselaustausch mittels des Diffie-Hellman-Verfahrens (Diffie-Hellman key Exchange) einen Rückfall auf unsichere Schlüssellängen zu erzwingen und in der Folge die Schlüssel berechnen. Von der Schwachstelle betroffen sind viele Webserver, die HTTPS anbieten sowie SSH- und andere VPN-Produkte, die auf TLS basieren.
    • [Microsoft/Windows] Microsoft stellt Patches für acht Schwachstellen bereit (2015-01-14)
      Im Rahmen seines Security Bulletin Summary for January 2015 stellt Microsoft Patches für insgesamt acht Schwachstellen bereit. Die Schwachstellen betreffen den Windows Application Compatibility Cache, den Windows Telnetdienst, den Windows User Profile Service, den Windows TS WebProxy, Network Location Awareness, die Windows Fehlerberichterstattung, die RADIUS-Implementierung des Netzwerkrichtlinienservers und den Windows Kernelmodustreiber. Die Schwachstellen ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Patches empfohlen wird.
    • [Generic/SSL] Rückfalloption vieler TLS-Implementierungen auf SSL 3.0 ausnutzbar (Poodle) (2014-10-15)
      Die Verschlüsselungsprotokollfamilie des Standards SSL 3.0 gilt als veraltet und es wird empfohlen, sie nirgends mehr anzuwenden, da sie Schwachstellen enthalten. Empfohlene Nachfolger sind die Protokolle der TLS-Familie (aktuell in der Version TLS 1.2). Dennoch verfügen viele SSL-Implementierungen über eine Rückfalloption (sog. protocol downgrade dance) auf SSL 3.0, die die Kommunikation mit veralteten Installationen erlauben. Diese Option kann in vielen Fällen von einem Angreifer dazu ausgenutzt werden, die Kommunikation in SSL 3.0 zu erzwingen und die Schwachstellen zum Brechen ihrer kryptographischen Absicherung zu nutzen, selbst wenn sowohl Client als auch Server TLS implementieren. Es wird daher dringend empfohlen, Softwareinstallationen (sowohl Clients als auch Server) so einzustellen, dass die Verwendung, bzw. der R̈́ückfall auf SSL 3.0 ausgeschlossen ist.
    • [DV-Recht] BGH: Kein Auskunftsanspruch durch Privatpersonen (2014-07-01)
      Der Bundesgerichtshof hat die Klage einer Privatperson gegen ein Internetportal mit Bewertungsfunktion für Ärzte auf Herausgabe der Anmeldedaten eines Nutzers abgewiesen, der in einer Bewertung falsche Tatsachenbehauptungen aufgestellt hatte. Er stellt klar, dass Privatpersonen auf zivilrechtlichem Weg wegen einer Persönlichkeitsverletzung keinen Anspruch auf die Herausgabe von personenbezogenen Daten bei Betreibern von Telemediendiensten erwerben können. Im Gegenteil ist ein Diensteanbieter "in Ermangelung einer gesetzlichen Ermächtigungsgrundlage im Sinne des § 12 Abs. 2 TMG grundsätzlich nicht befugt, ohne Einwilligung des Nutzers dessen personenbezogene Daten zur Erfüllung eines Auskunftsanspruchs wegen einer Persönlichkeitsrechtsverletzung an den Betroffen" herausgeben. Ein Diensteanbieter darf (bzw. muss) jedoch nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 Telemediengesetz (TMG) auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten erteilen, soweit dies u. a. für Zwecke der Strafverfolgung erforderlich ist.
      Dennoch kann dem Betroffenen ein Unterlassungsanspruch gegen den Dienstebetreiber zustehen: In diesem Fall muss der Diensteanbieter die persönlichkeitsverletzenden Inhalte entfernen.
    • [Microsoft/Windows] Microsoft stellt Patches für neun Schwachstellen bereit (2014-06-13)
      Im Rahmen seines Security Bulletin Summary for June 2014 stellt Microsoft Patches für insgesamt neu Schwachstellen bereit. Die Schwachstellen betreffen Windows, den Internet Explorer, Microsoft Office, Lync, den XML Core Services (MSXML), und Remote Desktop. Die Schwachstellen ermöglichen z.T. die Ausführung beliebigen Programmcodes auf dem beherbergenden System, weswegen die rasche Installation der bereitgestellten Patches empfohlen wird.
    • [Generic/OpenSSL] Mehrere Schwachstellen in OpenSSL (2014-06-05)
      Sechs Schwachstellen in OpenSSL der Versionen 0.9.8, 1.0.0 und 1.0.1 können von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System (sowohl auf Servers als auch auf Clients) auszuführen, schwache Sitzungsschlüssel in TLS-Sitzungen zu erzwingen, betroffene Installationen in einen unbenutzbaren Zustand zu versetzen oder Daten in bestehende Sitzungen einzuschleusen. Das OpenSSL-Team stellt neue Versionen der verschiedenen Zweige bereit, die die Schwachstellen beheben. Es wird empfohlen, betroffene Installationen umgehend zu aktualisieren. Nach derzeitigem Wissensstand sind Passwörter und/oder Zertifikate nur zu ändern, falls ein betroffenes System erfolgreich angegriffen und kompromittiert wurde (wie dies auch bei jeder anderen Kompromittierung der Fall wäre).
    • [Generic/Flash] Schwachstelle im Adobe Flash Player (2014-04-29)
      Eine Schwachstelle im Adobe Flash Player für Microsoft Windows, Macintosh OS X sowie Linux kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Adobe stellt aktualisierte Versionen des Players, die die Schwachstelle beheben, bereit.
    • [Microsoft/IE] Schwachstelle im Internet Explorer (2014-04-29)
      Eine Schwachstelle im Internet Explorer der Versionen 6 bis 11 kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Um die Schwachstelle auszunutzen ist es ausreichend, wenn ein Benutzer eines betroffenen Sytems entsprechend präparierte Inhalte mit dem Browser betrachtet.
    • [DV-Recht] US-Gericht verfügt Durchsuchung eines E-Mail-Kontos auf einem Microsoft-Server in Irland (2014-04-28)
      Ein US-amerikanischer Bundesrichter hat einen Durchsuchungsbefehl für ein E-Mailkonto bei Microsoft erlassen, dessen Daten auf einem Server in Irland liegen. Damit wird die Auffassung der amerikanischen Behörden zementiert, dass die Daten nicht den Rechtsvorschriften des Landes, in denen sie sich befinden (also hier denen Irlands bzw. der EU), sondern den US-amerikanischen unterliegen. Zwar will Microsoft nach eigenem Bekunden gegen diesen Beschluss eine Revision beantragen, dieser werden jedoch wenig Chancen eingeräumt. Dies bedeutet, dass alle Daten, die sich auf Servern US-amerikanischer Firmen befinden, egal wo diese stehen, im direkten Zugriff US-amerikanischer Behörden liegen. Bei der Nutzung solcher Dienste ist daher immer dieser Aspekt zu beachten. Dies ist insbesondere dann relevant, wenn lokale Rechtsvorschriften zum Schutz der Daten oder Geheimhaltungspflichten (z.B. im Rahmen von Projekten) zu beachten sind.
    • [DV-Recht] EuGH kippt Vorratsdatenspeicherung (2014-04-08)
      Der Europäische Gerichtshof (EuGH) hat die EU-Richtlinie 2006/24/EG für rechtswidrig erklärt. Nach Ansicht des Gerichtes verstößt sie gegen die Grundrechtecharta der EU, sie "beinhaltet einen Eingriff von großem Ausmaß und besonderer Schwere in die Grundrechte auf Achtung des Privatlebens und auf den Schutz personenbezogener Daten, der sich nicht auf das absolut Notwendige beschränkt". Die Richtlinie sah vor, dass die Mitgliedsstaaten jeweils ein nationales Gesetz verabschieden müssen, das Provider zur sechsmonatigen Speicherung aller Verbindungsdaten, die in ihrer Infrastruktur angefallen sind, verpflichtet. Diese Vorgabe ist nun Geschichte.