TecChannel Sicherheits-Report

Skype installiert Software ohne zu fragen und entschuldigt sich, kritische Schwachstelle in Eucalyptus, Updates für Python und IBM Tivoli

Selbst wenn Windows-Anwender die Installation von EasyBits Go deaktiviert hatten, wurde die Software dennoch eingespielt. Python 2.5.6 bereinigt Schwachstellen.

Windows-Anwender hatten zwar die Wahl, aber keine Chance. Die EasyBits war seit 2006 für das Online-Gaming bei Skype verantwortlich. Nun wurde Windows-Anwendern einfach EasyBits Go untergejubelt - ob sie wollten oder nicht. Nutzer hatten zwar die Option, die Installation nicht durchzuführen, aber das war vergebliche Liebesmüh. Die Applikation wurde so oder so installiert. Skype sagt, dass es sich dabei um einen Unfall handelte. Das Statement von EasyBits war ebenfalls wenig aufschlussreich. Die täglichen Spiele-Sitzungen seien jedoch von 850000 auf über sieben Millionen hochgeschossen. Wer die Software wieder von seinem Rechner verbannen möchte, kann einen von EasyBits bereitgestellten Uninstaller verwenden: blogs.skype.com, easybitsmedia.com

Die Python-Entwickler haben Version 2.5.6 ausgegeben. Darin werden Sicherheitslücken bereinigt, die als mittelkritisch eingestuft sind. Version 2.5.6 könnte auch die letzte Ausgabe der 2.5.x-Serie sein. Nach Oktober 2011 wird die Entwicklung für diesen Zweig eingestellt. Anwendern wird ein Upgrade auf 2.7.1, der aktuellsten Version der 2.x-Serie, empfohlen: python.org

IBM hat ein Sicherheits-Update für IBM Tivoli Management Framework 4.x zur Verfügung gestellt. Eine Sicherheitslücke könnte das kompromittieren eines Rechners zur Folge haben. Der Angreifer muss sich dazu allerdings im lokalen Netzwerk befinden. Somit wird die Lücke als weniger kritisch eingestuft. Ein erfolgreicher Angriff könnte aber das Ausführen beliebigen Codes nach sich ziehen. Bestätigt ist die Schwachstelle für die Versionen 4.1, 4.1.1 und 4.3.1. IBM rät zum Einspielen von APAR IZ90238 oder den entsprechenden Flicken: ibm.com

Experten von der Ruhr-Universität in Bochum haben eine kritische Schwachstelle im Quellcode der Cloud-Software Eucalyptus gefunden. Die Software ist eine Open-Source-Implementierung von Amazon EC2 Cloud API. Ein Angreifer mit Zugriff auf den Netzwerkverkehr könnte Eucalyptus SOAP-Anfragen abfangen und diese manipulieren. Alle Versionen inklusive Version 2.0.2 sind verwundbar. Ausgabe 2.0.3 merzt die Schwachstelle aus. Ubuntu Enterprise Cloud (UEC) ist ebenfalls anfällig. Canonical hat Updates für Ubuntu 10.04 LTS, 10.10 und 11.04 zur Verfügung gestellt. Diese sind in den entsprechenden Repositories zu finden. Die Eucalyptus-Entwickler sagen, dass einige Tools nach dem Update incht mehr funktionieren könnten. Dies treffe dann zu, wenn der gleiche Befehl zu schnell nacheinander ausgeführt wird: open.eucalyptus.com, ubuntu.com (jdo)