Security

Die IPv4 Ära geht zu Ende. Die 4,3 Milliarden möglichen offiziellen Adressen von IPv4 werden nicht mehr lange ausreichen, so berichtet auch das renommierte c´t Magazin “IPv4-Adressen werden ab 2011 knapp”. Auch wenn viele reservierte IPv4 Bereiche derzeit nicht genutzt werden, so ist es nur eine Frage der Zeit, bis Internet-Provider keine IPv4-Adressen mehr hergeben werden oder können. In Nordamerika wird das allerdings noch länger kein Problem sein, da dieser Region bei der Vergabe fast 70% aller IPv4 Adressen zugewiesen wurden. Überall anders wird bzw. ist es bald eng. Unabhängig davon sind die Adressbereiche von IPv4 mittlerweile stark fragmentiert. ...

Ganz frisch! Das SQL Server 2008 Service Pack 2 (Version 10.00.4000.00) kann seit heute aus dem Microsoft Download Center downgeloadet werden: Microsoft SQL Server 2008 Service Pack 2. Für die Express-Editions gibt es einen eigenen Download: Microsoft SQL Server 2008 SP2 Express Edition Service Pack 2 Was ist Neu in SP2? SQL Server Utility – Ein Verwaltungstool zur konsolidierten Ansicht von Ressourcen und “Gesundheit” aus verschiedenen SQL-Instanzen Data-tier Application (DAC) – Verwaltung von Daten in Multi-Tier Applikationen – Für nähere Hinweise lesen Sie diesen Artikel oder fragen Sie den Developer Ihres Vertrauens ;-) ...

Vor etwa einer guten Woche haben wir über die “ASP.NET Sicherheitslücke” berichtet und eine Zusammenfassung der wichtigsten Infos zum Workaround geschrieben. Der Fehler betrifft alle ASP.NET Versionen und wird in “Microsoft Security Advisory (2416728), Vulnerability in ASP.NET Could Allow Information Disclosure” beschrieben. Jetzt ging es bei Microsoft aber wirklich schnell (wenn ein Vice President in seinem Blog über einen solchen Bug reportet, dürfte das eine hohe Priorität haben ;-). Das Microsoft Security Response Center informiert in seinem Blog, dass heute, am 28. September, um 19 Uhr (MEZ), ein Security Update veröffentlicht wird: ...

Vor kurzem wurde eine Sicherheitslücke in ASP.NET bekannt wodurch ein Angreifer Zugriff auf normalerweise geschützten Informationen und Dateien einer ASP.NET Website erhalten kann. Auch SharePoint ist betroffen! Wir haben auch bereits in unserem Blog darüber berichtet: Achtung! Sicherheitslücke in ASP.NET entdeckt und Nachtrag zur Sicherheitslücke in ASP.NET Scott Guthrie hat in Important: ASP.NET Security Vulnerability darüber berichtet und auch einen Folgeartikel mit den wichtigsten FAQs zum Thema veröffentlicht: Frequently Asked Questions about the ASP.NET Security Vulnerability ...

Wie in Achtung! Sicherheitslücke in ASP.NET entdeckt beschrieben, kann die Sicherheitslücke in ASP.NET mit wenig Aufwand durch Anpassen der Datei web.config behoben werden. Zur Klarstellung noch ein paar Nachträge, zusammengefasst aus den Kommentaren in Scott Gu´s blog: Important: ASP.NET Security Vulnerability: Muss der Workaround wirklich angewendet werden? Ja! “Yes - please do apply the workaround” Auch bei verschlüsselter web.config? Ja. Verschlüsselung ist eine Empfehlung – aber auch dann soll web.config niemals preisgegeben werden. “Encrypting your connection strings has always been our recommended best practice - and prevents someone from identifying them if the web.config file is compromised.” ...

Wichtiger Hinweis für Hoster, IT-Pros und Developer, die ASP.NET Websites betreiben und verwalten! Vor wenigen Stunden hat der Chef der Microsoft Developer Division, Scott Guthrie (Mr. Red Poloshirt ;-), in seinem Blog auf eine kürzlich entdeckte Sicherheitslücke in ALLEN ASP.NET Versionen hingewiesen. Hier geht es zum Original-Artikel: Important: ASP.NET Security Vulnerability Durch Ausnutzen der Sicherheitslücke kann ein Angreifer die (normalerweise geschützten) Dateien einer ASP.NET Website herunterladen – zum Beispiel die Datei web.config, die üblicherweise in jeder Webanwendung vorhanden ist und sensitive Daten, wie Datenbank Connection Strings und ähnliche Web-Einstellungen, enthält. ...

Am 30. März hat Microsoft eine außerplanmäßige Sicherheitsaktualisierung für den Internet Explorer veröffentlicht. Dieses Sicherheitsupdate behebt die in Security Advisory 981374 beschriebene Sicherheitslücke, die die Internet Explorer Versionen 6 und 7 betrifft. MS10-018 ist ein kumulatives Updates und behebt darüber hinaus noch neun weitere Sicherheitsanfälligkeiten, wovon auch der Internet Explorer 8 zum Teil betroffen ist. In diesem Video sehen Sie eine kurze Zusammenfassung: ...

Zum Wochenende ein paar Zahlenspielereien – quasi BI - der Statistik Austria: Vor kurzem wurde eine Studie zum Einsatz von IKT in Unternehmen veröffentlicht. Die Ergebnisse sind deutlich: im Jänner 2009 nutzten bereits 98% der österreichischen Unternehmen mit mindestens 10 Beschäftigten das Internet. An der Umfrage haben rund 3.650 österreichische Unternehmen teilgenommen. 78% der Unternehmen gaben immerhin an, dass sie über eine eigene Unternehmenswebsite verfügen, 73% verfügen über einen Breitbandanschluss. ...

Zur Zeit kursieren die verschiedensten Meldungen über eine Lücke in Internet Explorer, womit exploits möglich sind, also die Ausnutzung von Schwachstellen in einer Software (durch Pufferüberlauf etc.) um “böse” Programme wie Trojaner oder Downloadmanager & Co. ausführen zu können. Es ist doch ach so gefährlich, im Internet zu surfen… Stimmt schon, man muss sich nur schützen und aktuelle Versionen mit aktuell gehaltenen Systemen verwenden! Durch die Veröffentlichung des Schadcodes können alle Versionen des Internet Explorers betroffen sein. Generell gibt es aber sehr wenige Angriffe und diese funktionieren auch nur gegen Internet Explorer 6. Es gibt gerade zwar Versuche von Sicherheitsspezialisten mit exploits für die moderneren Versionen 7 und 8 (auch mit aktivierter Datenausführungsverhinderung - DEP), diese sind aber nicht publik und Feldversuche fürs Patching. ...

Die dunkle Seite der Macht ist immer präsent. In IT Netzwerken muss man sich permanent gegen Bedrohungen und nicht autorisierte Zugriffsversuche schützen – und zwar alle Maschinen. Dies ist Aufgabe des Systemadministrators. Genauso sind die Benutzer gefordert, mit sensiblen Informationen wie Kennwörtern, Geschäftsdaten und Co. vertraulich umzugehen. Nur, wie sieht das mit virtuellen Maschinen (VM) aus, die nur zeitweise gebraucht werden und offline sind? Wer hält die aktuell? Die VMs sind von der Inbetriebnahme aus ihrem Dauerschlaf bis zum Einspielen der letzten Patches “verwundbar”. ...