Connect with us

Datenschutz & Sicherheit

curl: Projekt beendet Bug-Bounty-Programm | heise online


Das curl-Projekt stellt zu Ende Januar das Bug-Bounty-Projekt ein. Damit können IT-Forscher keine Prämie mehr für gefundene und gemeldete Sicherheitslücken in dem populären Open-Source-Tool bekommen.

Weiterlesen nach der Anzeige

Das hat Daniel Stenberg, seines Zeichens Maintainer von curl und libcurl, nun im sozialen Netzwerk Mastodon bekannt gegeben. Das hat auch Einzug in die curl-Quellcodes auf Github gefunden.

Demnach entfernt Stenberg Hinweise auf das Bug-Bounty-Programm auf HackerOne aus den Projekt-Quellen. Die Links dorthin werden entfernt. Bei Verdacht auf Sicherheitsprobleme sollen sich die Entdecker im Privaten an curl respektive Stenberg wenden. Die curl-Webseite zu dem gewünschten Prozedere zum Melden einer Schwachstelle verweist jetzt noch auf das Bug-Bounty-Programm. Allerdings finden sich bereits jetzt Hinweise, dass sich IT-Forscher an die Mailingliste security(at)curl(dot)se wenden sollen, was jedoch einige Voraussetzungen hat.

Die könnten eher abschreckend wirken: „Wir verlangen im Grunde genommen nur, dass du seit Langem am Curl-Projekt beteiligt bist und Verständnis für das Projekt und seine Arbeitsweise gezeigt hast nicht vorhaben, in naher Zukunft wieder zu verschwinden.“ Das wird sich vermutlich mit dem Ende des offiziellen Bug-Bounty-Programms jedoch ändern.

Gründe noch nicht genannt

Zu den konkreten Gründen für diesen Schritt hat Stenberg sich bislang nicht geäußert. Auf Mastodon reagierte ein User mit dem Kommentar: „Ich glaube nicht, dass das den Slop stoppen wird“, was die Kurzform von „AI Slop“ oder auf Deutsch „KI-Müll“ ist. Stenberg entgegnete dem mit „Nichts kann das stoppen, aber wir können das hoffentlich ausbremsen, indem wir einen starken Anreiz wegnehmen“.

Es liegt nahe, dass Stenberg den Schritt wegen zunehmender „KI-Müll-Meldungen“ geht. Er hatte sich des Öfteren massiv und frustriert über unbrauchbare Bug-Reports beschwert, die sich plausibel lesen und viel Arbeit zum Nachvollziehen verschlingen, sich dann aber als unsinnig herausgestellt haben. Auf LinkedIn schrieb er im Mai vergangenen Jahres deshalb bereits „Ich habe die Nase voll. Ich spreche ein Machtwort wegen dieses Irrsinns“.

Weiterlesen nach der Anzeige

Eine Anfrage zu den Gründen für das Ende des Bug-Bounty-Programms hat Stenberg nicht unmittelbar beantwortet. Ein Statement reichen wir an dieser Stelle bei Verfügbarkeit nach.

curl, kurz für „Client for URLs“ ein mächtiges, quelloffenes Werkzeug und eine Bibliothek zum Übertragen von Daten über diverse Protokolle wie HTTP, FTP und zahlreiche weitere. Die Glücksritter, die ihre KI-Tools teils offenbar auch ohne Sachverstand auf die curl-Quellen losgelassen haben, können ab Monatsende zumindest an curl kein Geld mehr verdienen.


(dmk)



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Jetzt patchen! Kritische Cisco-Lücke seit Dezember 2025 ausgenutzt


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der Netzwerkausrüster Cisco hat endlich einen Sicherheitspatch für Secure Email Gateway und Secure Email und Web Manager veröffentlicht, der eine seit Dezember vergangenen Jahres ausgenutzte Lücke schließt. Sind Attacken erfolgreich, verfügen Angreifer über Root-Rechte und übernehmen die volle Kontrolle über Instanzen.

Weiterlesen nach der Anzeige

Die Sicherheitslücke (CVE-2025-20393) gilt als „kritisch“ und sie ist mit dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Cisco gibt an, bereits am 10. Dezember 2025 eine Angriffskampagne beobachtet zu haben. Zu diesem Zeitpunkt gab es noch kein Sicherheitsupdate und Admins mussten ihre Netze mittels einer Übergangslösung schützen. Nun hat der Netzwerkausrüster seine Warnmeldung mit Details zur Schwachstelle und Hinweisen auf gegen die Attacken abgesicherte Versionen ergänzt.

Die Lücke betrifft AsyncOS für Cisco Secure Email Gateway und Secure Email und Web Manager. In der überarbeiteten Warnmeldung sprechen die Entwickler von einer begrenzten Anzahl von Geräten, bei denen bestimmte Ports öffentlich erreichbar sind. Einem Bericht der Sicherheitsforscher von Cisco Talos zufolge gehen die Attacken auf das Konto einer chinesischen APT-Gruppe. In welchem Umfang die Angriffe konkret ablaufen, ist derzeit unklar. Der Netzwerkausrüster gibt an, dass sich Angreifer auf kompromittierten Systemen eine Hintertür für weitere Zugriffe einrichten.

Instanzen jetzt absichern

Um dem vorzubeugen, müssen Admins umgehend eine der folgenden gegen die geschilderte Attacke abgesicherte AsyncOS-Ausgabe installieren:

Weiterlesen nach der Anzeige

15.0.5-016
15.5.4-012
16.0.4-016

  • Secure Email und Web Manager:

15.0.2-007
15.5.4-007
16.0.4-010


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Juniper Networks: Zahlreiche Schwachstellen in mehreren Produkten


Der Netzwerkausrüster Juniper Networks hat für zahlreiche Produkte Sicherheitsupdates veröffentlicht. Sie schließen teils als kritisch eingestufte Schwachstellen.

Weiterlesen nach der Anzeige

Im Support-Portal von Juniper finden sich insgesamt 26 neue Einträge zu Sicherheitsupdates vom Mittwoch dieser Woche. Besonders schwerwiegend sind etwa Sicherheitslücken in Junos Space, sie erreichen den CVSS-Wert 9.8 und damit das Risiko „kritisch“. Ebenso sieht es in Junipers Policy Enforcer aus, auch diese stuft der Hersteller mit CVSS 9.8 als „kritisch“ ein. Zahlreiche Lücken in Junos OS und Junos OS Evolved von unterschiedlichen Juniper-Appliances verpassen eine Einordnung als kritisches Risiko nur knapp. Sie erreichen dennoch CVSS4-Werte von 8.7 und stehen damit auf der Risikostufe „hoch“.

Die Lücken erlauben Angreifern etwa, Dienste abstürzen zu lassen oder Neustarts auszulösen und dadurch Denial-of-Service-Angriffe. Einige Schwachstellen führen zur Preisgabe von Informationen.

Admins sollten aktiv werden

Die Auflistung der einzelnen Sicherheitsmitteilungen würde den Rahmen dieser Meldung sprengen. Daher sei IT-Verantwortlichen nahegelegt, die verlinkte Übersicht über die Sicherheitsupdates zu überprüfen. Sofern sie Geräte einsetzen, die dort als verwundbar aufgelistet sind, sollten sie die Aktualisierungen herunterladen und anwenden oder gegebenenfalls verfügbare temporäre Gegenmaßnahmen einleiten.

Zuletzt hatte Juniper insbesondere im Oktober einen ganzen Schwung an Sicherheitsmitteilungen veröffentlicht.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Innenministerium: Unbürokratisch überwachen


Das Bundesinnenministerium will weniger Bürokratie für sich und seine Behörden. Das BKA soll künftig Überwachungsanträge delegieren können und seltener Betroffene benachrichtigen müssen. Der entsprechende Gesetzentwurf ist nun im Bundestag und enthält viele weitere Maßnahmen.

Leerer, geöffneter Aktenordner
Woran merkt man, dass die Bürokratie abgebaut ist? – Alle Rechte vorbehalten IMAGO / allOver-MEV

Das Bundesinnenministerium (BMI) ist für Asylpolitik genauso zuständig wie für Sport, öffentliche Sicherheit und Wahlrecht. Und so ist auch das Gesetz, das dem Namen nach Bürokratie in der Zuständigkeit des BMI abbauen soll, ein wildes Sammelsurium an Änderungen und Streichungen in anderen Gesetzen: von Bundesmeldegesetz bis De-Mail-Gesetz. An vielen Stellen zeigt sich: Unter Bürokratieabbau versteht die Regierung offenbar auch eine Herabsenkung grundrechtlicher Standards. Eine Parallele zu ähnlichen Debatten auf EU-Ebene, etwa zum Lieferkettengesetz. Dort stimmte das EU-Parlament im Dezember zu, Sorgfaltspflichten von Unternehmen zum Beispiel zu menschenrechtlichen Standards abzuschwächen.

Im vergangenen Oktober präsentierte das Innenministerium den Entwurf für seine Anti-Bürokratie-Offensive, mittlerweile konnten auch Interessensvertretungen ihre Stellungnahmen abgeben und das Gesetz ist im Bundestag angekommen.

BKA-Gesetz: Verantwortungsdelegation und Auskunftseinschränkungen

Viele Änderungen betreffen das BKA-Gesetz, das die Arbeit des Bundeskriminalamts regelt. Der Gesetzesvorschlag will hier „Anordnungs- und Genehmigungsanforderungen, Prüf-, Auskunfts-, Berichts- und Benachrichtigungspflichten“ reduzieren, denn: „Polizeibeamtinnen und Polizeibeamte müssen sich auf die polizeiliche Ermittlungsarbeit fokussieren können und von Verwaltungsaufgaben entlastet werden.“

Konkret heißt das beispielsweise: Es soll für das BKA leichter werden, Maßnahmen wie Telekommunikationsüberwachung, Observationen oder Staatstrojanereinsatz bei einem Gericht zu beantragen. Bisher durfte das – abhängig von der konkreten Maßnahme – in der Regel die Amtsleitung, also der BKA-Präsident oder seine Stellvertretung, oder eine entsprechende Abteilungsleitung. Künftig sollen diese das in vielen Fällen an andere Mitarbeitende delegieren dürfen, solange diese Jurist:innen sind, die eine Befähigung zum Richteramt haben.

Das Deutsche Institut für Menschenrechte sieht darin ein großes Problem. In einer Stellungnahme schreibt die Organisation, es würden durch die Delegation ein „wichtiges behördeninternes Korrektiv entfallen und die Hürden für den Einsatz grundrechtsintensiver Überwachungsmaßnahmen deutlich sinken“. Ist die Beantragung auf viele, unabhängig voneinander arbeitende Personen aufgeteilt, schwäche das Verfahrenssicherungen, „die gewährleisten sollen, dass eine unkoordinierte Addition von Einzelmaßnahmen zu einer verfassungswidrigen Rundumüberwachung von Einzelpersonen führt“.

Die Regierung will nicht nur Antragsprozesse vereinfachen, sondern auch die Benachrichtung für Betroffene von einer Bestandsdatenauskunft einschränken. Wenn das BKA durch die Bestandsdatenauskunft bei einem Telekommunikationsanbieter etwa den Wohnsitz einer Person herausbekommt und dann die Information an eine örtlich zuständige Polizei oder eine andere Behörde weitergibt, soll das BKA die betroffene Person nicht mehr informieren müssen. Das soll Sache der anderen Behörde sein.

Laut der Bundesrechtsanwaltskammer kann das „im schlimmsten Fall dazu führen, dass die betroffene Person die Beauskunftung nicht erhält, weil die andere Polizeibehörde nicht tätig wird“. Die Vereinigung von Anwält:innen fordert, dass weiterhin das BKA informieren soll, wenn es das kann. Eine betroffene Person „soll keine Zuständigkeitsproblematiken zwischen den Behörden erdulden müssen, um ihr Recht auf Auskunft zu erhalten“.

De-Mail: endgültig abschaffen

Auf Zuspruch in den Stellungnahmen von Verbänden stößt es, dass das Innenministerium das Gesetz zu De-Mail bis Ende des Jahres außer Kraft setzen will. Das gescheiterte Projekt, das ursprünglich eine elektronische Alternative zur Briefpost in der Verwaltung sein sollte, ist faktisch längst irrelevant. Die letzten Anbieter für Privatpersonen haben ihre entsprechenden Leistungen bereits eingestellt oder ein Ende angekündigt. Nun soll auch das zugehörige De-Mail-Gesetz wegfallen, und zwar zum 31. Dezember 2026.

Die Bundesarbeitsgemeinschaft der kommunalen IT-Dienstleister Vitako weist indes darauf hin, dass sich Verweise auf ebenjenes Gesetz auch in anderen Gesetzen wie der Abgabenordnung oder dem Sozialgesetzbuch finden und diese ebenfalls getilgt werden müssten.

Außerdem soll nach dem Gesetzentwurf die Bundesregierung nicht mehr wie bisher alle zwei Jahre dem Bundestag berichten müssen, ob die als „sichere Herkunftsstaaten“ bezeichneten Länder weiterhin als solche gelten können. Das könne, so das Innenministerium, „ohne nachteilige Folgen“ gestrichen werden. Denn die Bundesregierung müsse sich auch ohne eine konkrete Berichtspflicht ständig versichern, wie die Lage in den betreffenden Staaten sei. Wer aus einem als sicher betrachteten Herkunftsland stammt und in Deutschland Asyl beantragt, muss damit rechnen, dass der Antrag tendenziell abgelehnt wird. Es wird angenommen, dass in „sicheren Herkunftsstaaten“ in der Regel keine Verfolgungsgefahr besteht.

Das Deutsche Institut für Menschenrechte lehnt das Ende der Berichtspflicht vehement ab. Derartige Berichte seien kein Beiwerk, sondern „dienen der Transparenz von Regierungsentscheidungen gegenüber dem Parlament und der Öffentlichkeit“.

Passend zum Eingang des Gesetzentwurfs in den Bundestag berichtete die Bundesregierung im Parlament am Donnerstag zu diesen und weiteren Projekten im sogenannten Bürokratieabbau anhand einer 16-seitigen Liste von beschlossenen und geplanten Maßnahmen. Diese lässt weder Strahlenschutz noch Tierwohlkennzeichnung oder KI-Einsatz in Visumsverfahren aus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.



Source link

Weiterlesen

Beliebt