Qualys hat eine kritische Sicherheitslücke im Multipart-Parser Jakarta von Apache Struts 2 entdeckt. Die Schwachstelle CVE-2017-5638 ermöglicht bei anfälligen Anwendungen die Ausführung von Schadcode aus der Ferne. Entsprechende Exploits können Angreifer in die Lage versetzen, kritische Daten zu stehlen oder die Kontrolle über Ihre Anwendungsserver zu übernehmen.

Mehr Schutz vor Angriffen, schnellere Beseitigung von Bedrohungen, aber auch automatisiertes Asset-Management und einfachere Compliance oder Audits – dies sind die Ziele der Integration der DDI-Technologie von Infoblox mit der Cloud-Plattform von Qualys.

In einer neuen Untersuchung haben Forscher einen Angriff namens DROWN vorgestellt, der eine bislang unbekannte Schwachstelle in SSL v2 ausnutzt. Sogar das TLS-Protokoll lässt sich damit angreifen, selbst wenn SSL v2 nicht unterstützt wird.

Kurz vor Weihnachten wurde der Entwurf zu einer der bislang wichtigsten Verordnungen für den IT-Bereich fertiggestellt. Die Datenschutz-Grundverordnung (GDPR), die die bisherige Datenschutzrichtlinie der Europäischen Union ersetzen soll, wird voraussichtlich Anfang 2016 veröffentlicht und soll 2018 allgemein in Kraft treten.

Über die Jahre ist es nicht etwa einfacher geworden, Transport Layer Security (TLS) auf sichere Weise einzusetzen, ganz im Gegenteil. Ein TLS-Reifegradmodell könnte aber vielen Unternehmen dabei helfen, die wirklich wichtigen Punkte der TLS-Implementierung im Auge zu behalten.

Industrielle Kontrollsysteme und „Supervisory Control and Data Acquisition“-Anlagen, kurz ICS und SCADA-Systeme, sind unentbehrlich. Alle kritischen Infrastrukturen – ob Strom- und Wasserversorgung oder Verkehr – sind auf entsprechende Steuerungstechnik angewiesen. Umso wichtiger ist es, Schwachstellen möglichst früh aufzudecken.

OpenSSL hält die Schwachstellenprüfer noch immer in Atem, bis Ende des Jahres muss mit Updates gerechnet werden. Dem Patch-Management kommt aber nicht nur beim Schließen von Schwachstellen große Bedeutung zu, es ist auch eine wichtige Vorbeugungsmaßnahme gegen Hacker-Angriffe.

Zero-Day-Lücken sind Programmfehler, die bereits „in freier Wildbahn“ (engl.: in the wild) von Angreifern ausgenutzt werden, für die aber noch kein Patch existiert. Doch selbst bei einem fehlenden Sicherheitsupdate ist der Anwender einem Angreifer noch nicht auf Gedeih und Verderb ausgeliefert.

Verschlüsselte Verbindungen mittels SSL/TLS lassen sich einfach umsetzen – die eigentliche Schwierigkeit liegt in der korrekten Implementierung. Um sicherzustellen, dass SSL die nötige Sicherheit bietet, muss man zusätzliche Arbeit in die Konfiguration der Server investieren. Die aktuellen Best Practices von Qualys helfen dabei.

Mittels sicherer Software-Konfiguration und Patch-Management kann man lokale Systeme grundlegend gegen Cyberattacken absichern. Angriffe können aber auch außerhalb des eigenen Wirkungsbereichs erfolgen. Deshalb muss man auch aktiv für mehr Sicherheit beim Service-Anbieter sorgen.