In Apache Traffic Server (ATS), einem quelloffenen Proxy-Server, wurden zwei Sicherheitslücken entdeckt. Angreifer können sie missbrauchen, um damit Zugriffsbeschränkungen zu umgehen oder Denial-of-Service-Attacken auszuführen. Aktualisierte Quellen stehen bereit, um die Schwachstellen auszubessern.

Auf der oss-sec-Mailingliste haben die Entwickler Informationen zu den Sicherheitslecks veröffentlicht. Eine Schwachstelle betrifft das PROXY-Protokoll. Für die Anwendung von Zugriffskontrollen (ACLs) zieht der ATS die Client-IP-Adresse nicht heran, wodurch Unbefugte womöglich Zugriff erlangen können (CVE-2025-31698, kein CVSS-Wert, keine Risikoeinschätzung). Die aktualisierte Software bietet nun eine neue Konfigurationsoption an (proxy.config.acl.subjects), um vorzugeben, welche IP-Adresse für die ACLs der Optionen „ip_allow.config“ und „remap.config“ genutzt und als vertrauenswürdig eingestuft werden.

Die zweite Sicherheitslücke betrifft das ESI-Plug-in (Edge Side Includes). Angreifer können eine Denial-of-Service-Situation provozieren, da das Plug-in unter Umständen allen Speicher aufbraucht. Offenbar ist es möglich, eine unendliche Inclusion-Depth anzugegen (CVE-2025-49763, kein CVSS, keine Risikoeinschätzung). Das Software-Update fügt eine neue Einstellung für das Plug-in hinzu, den Parameter „–max-inclusion-depth“ mit dem Standardwert 3. Das soll Endlos-Inklusionen verhindern.

Betroffene Softwareversionen

Apache Traffic Server in den Versionen 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5; die Korrekturen enthalten die Fassungen 9.2.11 und 10.0.6 oder neuere. Um die Schwachstellen auszubessern, müssen Admins die neuen Optionen konfigurieren; der Standardwert für die Inklusionstiefe des ESI-Plug-ins sollte jedoch ausreichend sein.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat eine Einschätzung des Risikos durch die Sicherheitslücken vorgenommen. Der CERT-Bund-Sicherheitsmitteilung zufolge landet der CVSS-Wert bei 8.2, was dem Risiko „hoch“ entspricht. IT-Verantwortliche sollten daher zügig die Aktualisierung auf die neuen Apache-Traffic-Server-Versionen vornehmen und die neuen Optionen konfigurieren, sofern sie die beiden Funktionen einsetzen.

(dmk)

Die EU-Kommission fördert seit Jahren Open-Source-Projekte. Zentral war dabei bisher ein Programm namens Next Generation Internet (NGI), das schnell und unbürokratisch Geld an vielversprechende Projekte verteilt – etwa den dezentralen Mikroblogging-Dienst Mastodon, die Videoplattform-Software PeerTube oder die Videokonferenz-Anwendung Jitsi.

Diesem NGI-Programm will die Kommission aber den Geldhahn abdrehen. Daran gibt es seit Monaten laute Kritik. NGI funktioniere gut und effizient, so die Botschaft verschiedener Gruppen. Open Source spiele eine zentrale Rolle dabei, Europa vor ausländischen Akteuren zu schützen – das sei gerade im aktuellen geopolitischen Umfeld sehr wichtig.

Die Kommission verweist seit Monaten darauf, dass das Ende von NGI nicht das Ende ihrer Open-Source-Förderung bedeuten soll. Die soll unter einem neuen Namen weiterlaufen – zuerst „Open Europe Stack“, inzwischen „Open Internet Stack“. Wichtig: Trotz des ähnlichen Namens hat das Programm nur indirekt mit dem „EuroStack“ zu tun.

Buzzword-Bingo

Aber was genau bedeutet das? Warum braucht es überhaupt ein neues Programm? Was soll sich mit dem neuen Namen ändern? Wie viel Geld soll das neue Programm haben? Darauf gab es bisher noch keine genauen Antworten.

In der offiziellen Beschreibung ist die Rede von einem „öffentlich verfügbaren und laufenden Stack“. Der soll sich auf „Internet-Technologien für Vertrauen, Transaktionen, Konnektivität und Dezentralisierung“ konzentrieren. Dabei soll eine „Bibliothek an inklusiven, vertrauenswürdigen, interoperablen und menschenzentrierten Anwendungen und Diensten“ entstehen.

Ein tatsächlich neuer Punkt: Das neue Programm soll mit dem sogenannten „Connected Collaborative Computing“-Netzwerk, kurz 3C-Netzwerk, verbunden sein. Dieses Netzwerk ist ein Wunschtraum der Kommission für ein Internet, das sich stärker auf Telekommunikationsfirmen stützen soll – einer der wenigen Sektoren, in denen Europa digital noch mitreden kann. Auch diese Idee ist aber momentan noch sehr vage.

Thibault Kleiner, Direktor im Generaldirektorat Connect der Kommission, wurde heute etwas konkreter. „Wir sind an einem Punkt, wo wir uns weiterentwickeln müssen“, sagte er heute beim jährlichen NGI-Forum in Brüssel. Die Arbeit des Programms sei ein großer Erfolg gewesen, ergebe aber nicht genug in Geschäftserfolge: „Wir machen die Arbeit, aber wir ziehen daraus keinen Gewinn.“ Der neue Fokus soll laut ihm auf Software liegen, die als glaubwürdige Alternative zu Big-Tech-Angeboten dienen soll.

Es stehen Entscheidungen an

Noch mehr Details zum Open Internet Stack liefert ein internes Dokument, dass ein Berater für die Kommission verfasst hat. Eine Kurzversion des Dokuments hat die Kommission für das NGI-Forum freigegeben – wir veröffentlichen die vertrauliche, vollständige Version des Dokuments.

Am konkretesten wird das Papier zum Budget des zukünftigen Programms. Das ist besonders wichtig, weil in Brüssel bald die Verhandlungen über den nächsten mehrjährigen Finanzrahmen der Europäischen Union beginnen. Der wird für die Jahre 2028 bis 2034 grob vorgeben, wofür die EU wie viel Geld ausgeben will – etwa, wie sehr sie Open-Source-Entwickler:innen fördern kann.

Wie viel Geld darf’s sein?

Das Dokument skizziert für diesen Zeitraum vier Szenarien: gar kein Geld, so viel wie bisher, ein wenig mehr Geld oder doppelt so viel. Sollte die EU-Kommission Open Source gar nicht mehr fördern, könnte Europa noch abhängiger von nicht-europäischer Software werden, warnt der Autor des Dokuments. Fachkräfte könnten abwandern.

Die Kommission könnte auch das bisherige Fördermodell von NGI weiterführen. Das habe sich bisher bewährt, schreibt auch der Autor des Papiers. Kosten würde das die Kommission insgesamt 35 Millionen Euro pro Jahr. Diese Option könnte auf dem aufbauen, was NGI bisher schon erreicht habe, und durch das unbürokratische Fördermodell auch kleine Organisationen erreichen.

Als dritte Option erwägt das Dokument ein Jahresbudget von 50 Millionen Euro, mit dem die europäische Digitalindustrie angefeuert werden soll. Das zusätzliche Geld soll etwa in den Bildungssektor fließen oder neue Unternehmen unterstützen. Gesonderte Budgets soll es für Technologie geben, die für Europa „kritisch“ ist – was auch immer das heißen soll.

Bei der vierten Option soll es sogar 70 Millionen Euro pro Jahr geben. Damit könnte Europa „die Regeln für das digitale Zeitalter setzen“, sagt der offenbar sehr optimistische Autor voraus. Mit diesem Geld könnte man zur ersten Region werden, die Open-Source-Maintainer als Personal für kritische Infrastruktur behandelt. Das könnte die digitale Infrastruktur widerstandsfähiger machen.

Noch viele Fragen offen

Die Zahlen für das Budget sind zwar relativ konkret – aber darüber hinaus bleiben die Pläne vage. Was bedeutet der neue Name etwa für die NLnet Foundation, die aktuell die Open-Source-Fördermittel an Entwickler:innen verteilt? Diese Frage bereitet momentan den Mitarbeitenden dort einiges Kopfzerbrechen. Es könnte auch sein, dass die Stiftung ihre Arbeit komplett einstellen muss.

Auch die Entwickler:innen sind momentan noch im Unklaren darüber, was der Open Internet Stack für sie bedeutet. Selbst die bekanntesten Open-Source-Projekte, die die EU bisher unterstützt hat, haben momentan noch eine Menge Fragen.

Das schwierige Thema Beschaffung

Das Dokument enthält auch noch eine ganze Liste an weiteren Ideen, was die EU in Sachen Open Source tun könnte. Ein zentrales Problem, auf das Open-Source-Entwickler:innen seit Jahren hinweisen, ist die öffentliche Beschaffung. Sie haben oft große Probleme damit, ihre Produkte an Behörden zu verkaufen, weil deren Prozesse für fertig verfügbare Software-Pakete aufgebaut sind.

Das Dokument schlägt deshalb vor, dass die EU ihre Verfahrensregeln besser auf Open Source ausrichten soll. Außerdem soll das zuständige Personal darüber fortgebildet werden, wie die Entwicklung von Open-Source-Software funktioniert. Die Kommission soll dabei mit gutem Beispiel vorangehen.

Diese Vorschläge kommen zu einem guten Zeitpunkt: Erst gestern berichtete Euractiv, dass die Kommission aktiv darüber verhandelt, für interne Cloud-Dienste von Microsoft Azure auf den französischen Open-Source-Cloud-Anbieter OVH Cloud umzusteigen. Auch die Beschaffungsregeln für Europas Behörden werden gerade überarbeitet.

Eine weitere Idee ist eine EU-Rechtsform für spendenfinanzierte Open-Source-Organisationen. Diese Rechtsform soll vor allem einfach und damit für Entwickler:innen zugänglich sein. Das könnte Problemen wie denen von Mastodon begegnen, dem in Deutschland die Gemeinnützigkeit aberkannt wurde.

Atlassian Bamboo Data Center and Server, Bitbucket Data Center and Server, Confluence Data Center and Server, Crowd Data Center and Server, Jira Data Center and Server und Jira Service Management Data Center and Server sind angreifbar.

Sicherheitsprobleme bereinigt

Wie aus dem Sicherheitscenter von Atlassian hervorgeht, sind alle Schwachstellen mit dem Bedrohungsgrad „hoch“ versehen. So können Angreifer ohne Authentifizierung etwa an einer Schwachstelle (CVE2025-24970) in Bitbucket Data Center and Server für DoS-Attacken ansetzen.

In Confluence Data Center und Server können Angreifer unter anderem die Anmeldung umgehen (CVE-2025-2228). Durch das erfolgreiche Ausnutzen einer Schwachstelle (CVE-2024-38816) in Crowd Data Center and Server können Angreifer unberechtigt auf Daten zugreifen. Auch wenn es zurzeit noch keine Hinweise auf Attacken gibt, sollten Admins zur Sicherheit mit dem Patchen nicht zu lange zögern.

Die folgenden Versionen enthalten Sicherheitsupdates:

• Bamboo Data Center and Server 10.2.3 (LTS) recommended Data Center Only, 9.6.14 (LTS) Data Center Only
• Bitbucket Data Center and Server 9.6.2 Data Center Only, 9.5.2 Data Center Only, 9.4.6 (LTS) recommended Data Center Only, 8.19.18 (LTS) Data Center Only, 8.9.27 (LTS)
• Confluence Data Center and Server 9.5.1 Data Center Only, 9.2.5 (LTS) recommended Data Center Only, 8.5.23 (LTS) Data Center Only
• Crowd Data Center and Server 5.3.6, 6.3.1
• Jira Data Center and Server 10.6.1 Data Center Only, 10.3.6 (LTS) recommended Data Center Only
• Jira Service Management Data Center and Server 10.6.1 Data Center Only, 10.3.6 (LTS) recommended Data Center Only

(des)