Connect with us

Datenschutz & Sicherheit

The EU Commission’s vague plans for open source


The EU Commission has been funding open source projects for years. A programme called Next Generation Internet (NGI) is central to this by distributing money quickly and without red tape to promising projects – such as the decentralised microblogging service Mastodon, the video software PeerTube or Jitsi for videoconferencing.

But the Commission has been set on ending funding NGI for some time – despite prolonged criticism. Involved organisations have said that NGI works well and efficiently. Open source also plays a key role in protecting Europe from foreign actors – particularly important in the current geopolitical environment.

The Commission responded that the end of NGI is not meant to be the end of its open source funding. That is set to continue under a new name – initially the “Open Europe Stack”, now the “Open Internet Stack”. Important distinction: In spite of the new name, the programme is only indirectly related to the “EuroStack”.

Buzzword bingo

But what exactly is that supposed to mean? Why does the EU need a new programme at all? What changes will the new name bring? How much money should the new programme have? So far, all these questions go unanswered.

The new programme’s official description refers to a “publicly available and operational stack” focusing on “internet technologies for trust, transactions, connectivity, and decentralisation” and with the aim of creating a  “library of inclusive, trustworthy, interoperable, and human-centric applications and services”.

One of the points is actually new: The programme is set to be linked to a “Connected Collaborative Computing” network, or 3C network for short. This network is an EU Commission dream of an internet relying more heavily on telecommunications providers – one of the few tech sectors in which Europe still has a foothold. This idea is currently still very vague.

Thibault Kleiner, Director at the Commission’s Directorate-General for Communications, spoke more clearly today. “We’re at the stage where we need to move on”, he said at NGI’s annual event in Brussels. The work of NGI has been a big success, but is not resulting in enough business success: “We do the work, but we don’t monetise it.” The new focus, according to him, will be on building software that people will see as a credible alternative to big tech.

Decisions on the horizon

Further details on the Open Internet Stack can be found in an internal document written by a consultant for the Commission. A short version of the document has been published for the NGI event currently taking place in Brussels – we are publishing its full and confidential version.

The most concrete points in the paper concern the future programme’s budget. This is particularly important because Brussels will soon start negotiating the European Union’s next multi-year budget. This will roughly set out what the EU wants to spend money on from 2028 to 2034 – including its support for open source developers.

And how much money would you like?

The paper presents four scenarios for this period: No money at all, as much as before, a little more or twice as much. The author warns that if the Commission stops promoting open source all together, Europe could become even more dependent on non-European software. Experts could leave the continent.

The Commission could also continue the existing NGI funding model – which, according to the author, has so far proven successful. This option would cost the Commission a total of 35 million euros per year. It could also build on what NGI has achieved so far while continuing to reach small organisations with a low-barrier funding model.

As a third option, the document considers an annual budget of 50 million euros to boost Europe’s digital industry. The additional money could be channeled into the education sector or support new companies. Separate budgets should exist for technology that is considered  “critical” for Europe – whatever that means.

The fourth option would amount to up to 70 million euros per year. According to the obviously very optimistic author, this would allow Europe to “set the rules for the digital age”. Europe could become the first region to treat open source maintainers as personnel for critical infrastructure, he says, which could make digital infrastructure more resilient.

Many questions remain open

In terms of budget, the paper is relatively concrete – but apart from that, the plans remain vague. What will the new programme’s name mean for the NLnet Foundation, which distributes open source funding to developers? This is currently causing a few headaches for the Foundation’s employees, as it could potentially mean that it will have to stop its work completely.

Developers are also still asking a lot of questions about what the Open Internet Stack will mean for them. Even the best-known open source projects that have so far benefited from EU support are so far still in the dark.

The difficult topic of procurement

The paper also lists a number of other ideas for the EU’s open source policy. One key problem that open source developers have been pointing out for years is public procurement. They often face major problems selling their products to public authorities because their processes are set up for readily available software packages.

The paper calls on the EU to better align its procurement rules with open source. The personnel responsible for buying software should also be better educated on how open source software works – with the Commission setting a good example.

The proposals might come at just the right time. Yesterday Euractiv reported that the EU Commission is actively negotiating to switch its internal cloud services from Microsoft Azure to the French open source cloud provider OVH Cloud. The EU’s rules for public procurement are also currently being reformed.

Another idea is an EU legal form for open source organisations financed through donations. This legal form should be easy, the paper argues, and therefore accessible to developers. This could contribute to fixing problems faced for example by Mastodon, which was stripped of its charitable status by the German tax authorities.



Source link

Verwandte Themen:
Weiterlesen
Kommentar schreiben

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Datenschutz & Sicherheit

Cisco Meraki MX und Z: Angreifer können VPN-Verbindungen unterbrechen


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Der Cisco AnyConnect VPN Server von Cisco Meraki MX und Z ist verwundbar. Außerdem können Angreifer an einer Schwachstelle in ClamAV ansetzen. Sicherheitspatches stehen zum Download bereit. Bislang gibt es keine Berichte zu Attacken.

In einer Warnmeldung führen die Entwickler aus, dass es bei der Initialisierung von VPN-Sessions zu Fehlern kommt, an denen Angreifer mit präparierten HTTPS-Anfragen ansetzen können. Das führt zu einem Neustart des VPN-Servers und einer Unterbrechung der Verbindung. Dementsprechend müssen sich Nutzer neu verbinden. Weil Angreifer die Attacke Cisco zufolge immer wieder ausführen können, kann es zu einer dauerhaften Unterbrechung kommen. Die Sicherheitslücke (CVE-2025-20271) ist mit dem Bedrohungsgrad „hoch“ eingestuft.

Davon sollen die folgenden Produkte betroffen sein:

  • MX64
  • MX64W
  • MX65
  • MX65W
  • MX67
  • MX67C
  • MX67W
  • MX68
  • MX68CW
  • MX68W
  • MX75
  • MX84
  • MX85
  • MX95
  • MX100
  • MX105
  • MX250
  • MX400
  • MX450
  • MX600
  • vMX
  • Z3
  • Z3C
  • Z4
  • Z4C

Die Entwickler geben an, das Sicherheitsproblem in den Ausgaben 18.107.13, 18.211.6 und 19.1.8 gelöst zu haben. Das Problem trete ab Version 16.2 auf. Da der Support für 16.2 und 17.6 bereits ausgelaufen ist, müssen Admins auf eine aktuelle Ausgabe upgraden.

ClamAV ist ebenfalls für eine DoS-Attacke anfällig. Die Lücke (CVE-2025-20234mittel„) steckt in der Verarbeitung des Universal Disk Format (UDF). Scannt ClamAV präparierten UDF-Inhalte, kommt es zu Speicherfehlern und der Scanner stürzt ab. Das hat zur Folge, dass Appliances über keinen Virenschutz mehr verfügen.

Der Netzwerkausrüster gibt an, die Schwachstelle in den folgenden Ausgaben geschlossen zu haben:

  • Secure Endpoint Connector for Linux 1.26.1
  • Secure Endpoint Connector for Mac 1.26.1
  • Secure Endpoint Connector for Windows 7.5.21, 8.4.5
  • Secure Endpoint Private Cloud 4.2.2 (or earlier with updated connectors)


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Proxy: Umgehung von Beschränkungen in Apache Traffic Server möglich


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

In Apache Traffic Server (ATS), einem quelloffenen Proxy-Server, wurden zwei Sicherheitslücken entdeckt. Angreifer können sie missbrauchen, um damit Zugriffsbeschränkungen zu umgehen oder Denial-of-Service-Attacken auszuführen. Aktualisierte Quellen stehen bereit, um die Schwachstellen auszubessern.

Auf der oss-sec-Mailingliste haben die Entwickler Informationen zu den Sicherheitslecks veröffentlicht. Eine Schwachstelle betrifft das PROXY-Protokoll. Für die Anwendung von Zugriffskontrollen (ACLs) zieht der ATS die Client-IP-Adresse nicht heran, wodurch Unbefugte womöglich Zugriff erlangen können (CVE-2025-31698, kein CVSS-Wert, keine Risikoeinschätzung). Die aktualisierte Software bietet nun eine neue Konfigurationsoption an (proxy.config.acl.subjects), um vorzugeben, welche IP-Adresse für die ACLs der Optionen „ip_allow.config“ und „remap.config“ genutzt und als vertrauenswürdig eingestuft werden.

Die zweite Sicherheitslücke betrifft das ESI-Plug-in (Edge Side Includes). Angreifer können eine Denial-of-Service-Situation provozieren, da das Plug-in unter Umständen allen Speicher aufbraucht. Offenbar ist es möglich, eine unendliche Inclusion-Depth anzugegen (CVE-2025-49763, kein CVSS, keine Risikoeinschätzung). Das Software-Update fügt eine neue Einstellung für das Plug-in hinzu, den Parameter „–max-inclusion-depth“ mit dem Standardwert 3. Das soll Endlos-Inklusionen verhindern.

Betroffene Softwareversionen

Apache Traffic Server in den Versionen 9.0.0 bis 9.2.10 sowie 10.0.0 bis 10.0.5; die Korrekturen enthalten die Fassungen 9.2.11 und 10.0.6 oder neuere. Um die Schwachstellen auszubessern, müssen Admins die neuen Optionen konfigurieren; der Standardwert für die Inklusionstiefe des ESI-Plug-ins sollte jedoch ausreichend sein.

Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat eine Einschätzung des Risikos durch die Sicherheitslücken vorgenommen. Der CERT-Bund-Sicherheitsmitteilung zufolge landet der CVSS-Wert bei 8.2, was dem Risiko „hoch“ entspricht. IT-Verantwortliche sollten daher zügig die Aktualisierung auf die neuen Apache-Traffic-Server-Versionen vornehmen und die neuen Optionen konfigurieren, sofern sie die beiden Funktionen einsetzen.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Die vagen Open-Source-Pläne der EU-Kommission


Die EU-Kommission fördert seit Jahren Open-Source-Projekte. Zentral war dabei bisher ein Programm namens Next Generation Internet (NGI), das schnell und unbürokratisch Geld an vielversprechende Projekte verteilt – etwa den dezentralen Mikroblogging-Dienst Mastodon, die Videoplattform-Software PeerTube oder die Videokonferenz-Anwendung Jitsi.

Diesem NGI-Programm will die Kommission aber den Geldhahn abdrehen. Daran gibt es seit Monaten laute Kritik. NGI funktioniere gut und effizient, so die Botschaft verschiedener Gruppen. Open Source spiele eine zentrale Rolle dabei, Europa vor ausländischen Akteuren zu schützen – das sei gerade im aktuellen geopolitischen Umfeld sehr wichtig.

Die Kommission verweist seit Monaten darauf, dass das Ende von NGI nicht das Ende ihrer Open-Source-Förderung bedeuten soll. Die soll unter einem neuen Namen weiterlaufen – zuerst „Open Europe Stack“, inzwischen „Open Internet Stack“. Wichtig: Trotz des ähnlichen Namens hat das Programm nur indirekt mit dem „EuroStack“ zu tun.

Buzzword-Bingo

Aber was genau bedeutet das? Warum braucht es überhaupt ein neues Programm? Was soll sich mit dem neuen Namen ändern? Wie viel Geld soll das neue Programm haben? Darauf gab es bisher noch keine genauen Antworten.

In der offiziellen Beschreibung ist die Rede von einem „öffentlich verfügbaren und laufenden Stack“. Der soll sich auf „Internet-Technologien für Vertrauen, Transaktionen, Konnektivität und Dezentralisierung“ konzentrieren. Dabei soll eine „Bibliothek an inklusiven, vertrauenswürdigen, interoperablen und menschenzentrierten Anwendungen und Diensten“ entstehen.

Ein tatsächlich neuer Punkt: Das neue Programm soll mit dem sogenannten „Connected Collaborative Computing“-Netzwerk, kurz 3C-Netzwerk, verbunden sein. Dieses Netzwerk ist ein Wunschtraum der Kommission für ein Internet, das sich stärker auf Telekommunikationsfirmen stützen soll – einer der wenigen Sektoren, in denen Europa digital noch mitreden kann. Auch diese Idee ist aber momentan noch sehr vage.

Thibault Kleiner, Direktor im Generaldirektorat Connect der Kommission, wurde heute etwas konkreter. „Wir sind an einem Punkt, wo wir uns weiterentwickeln müssen“, sagte er heute beim jährlichen NGI-Forum in Brüssel. Die Arbeit des Programms sei ein großer Erfolg gewesen, ergebe aber nicht genug in Geschäftserfolge: „Wir machen die Arbeit, aber wir ziehen daraus keinen Gewinn.“ Der neue Fokus soll laut ihm auf Software liegen, die als glaubwürdige Alternative zu Big-Tech-Angeboten dienen soll.

Es stehen Entscheidungen an

Noch mehr Details zum Open Internet Stack liefert ein internes Dokument, dass ein Berater für die Kommission verfasst hat. Eine Kurzversion des Dokuments hat die Kommission für das NGI-Forum freigegeben – wir veröffentlichen die vertrauliche, vollständige Version des Dokuments.

Am konkretesten wird das Papier zum Budget des zukünftigen Programms. Das ist besonders wichtig, weil in Brüssel bald die Verhandlungen über den nächsten mehrjährigen Finanzrahmen der Europäischen Union beginnen. Der wird für die Jahre 2028 bis 2034 grob vorgeben, wofür die EU wie viel Geld ausgeben will – etwa, wie sehr sie Open-Source-Entwickler:innen fördern kann.

Wie viel Geld darf’s sein?

Das Dokument skizziert für diesen Zeitraum vier Szenarien: gar kein Geld, so viel wie bisher, ein wenig mehr Geld oder doppelt so viel. Sollte die EU-Kommission Open Source gar nicht mehr fördern, könnte Europa noch abhängiger von nicht-europäischer Software werden, warnt der Autor des Dokuments. Fachkräfte könnten abwandern.

Die Kommission könnte auch das bisherige Fördermodell von NGI weiterführen. Das habe sich bisher bewährt, schreibt auch der Autor des Papiers. Kosten würde das die Kommission insgesamt 35 Millionen Euro pro Jahr. Diese Option könnte auf dem aufbauen, was NGI bisher schon erreicht habe, und durch das unbürokratische Fördermodell auch kleine Organisationen erreichen.

Als dritte Option erwägt das Dokument ein Jahresbudget von 50 Millionen Euro, mit dem die europäische Digitalindustrie angefeuert werden soll. Das zusätzliche Geld soll etwa in den Bildungssektor fließen oder neue Unternehmen unterstützen. Gesonderte Budgets soll es für Technologie geben, die für Europa „kritisch“ ist – was auch immer das heißen soll.

Bei der vierten Option soll es sogar 70 Millionen Euro pro Jahr geben. Damit könnte Europa „die Regeln für das digitale Zeitalter setzen“, sagt der offenbar sehr optimistische Autor voraus. Mit diesem Geld könnte man zur ersten Region werden, die Open-Source-Maintainer als Personal für kritische Infrastruktur behandelt. Das könnte die digitale Infrastruktur widerstandsfähiger machen.

Noch viele Fragen offen

Die Zahlen für das Budget sind zwar relativ konkret – aber darüber hinaus bleiben die Pläne vage. Was bedeutet der neue Name etwa für die NLnet Foundation, die aktuell die Open-Source-Fördermittel an Entwickler:innen verteilt? Diese Frage bereitet momentan den Mitarbeitenden dort einiges Kopfzerbrechen. Es könnte auch sein, dass die Stiftung ihre Arbeit komplett einstellen muss.

Auch die Entwickler:innen sind momentan noch im Unklaren darüber, was der Open Internet Stack für sie bedeutet. Selbst die bekanntesten Open-Source-Projekte, die die EU bisher unterstützt hat, haben momentan noch eine Menge Fragen.

Das schwierige Thema Beschaffung

Das Dokument enthält auch noch eine ganze Liste an weiteren Ideen, was die EU in Sachen Open Source tun könnte. Ein zentrales Problem, auf das Open-Source-Entwickler:innen seit Jahren hinweisen, ist die öffentliche Beschaffung. Sie haben oft große Probleme damit, ihre Produkte an Behörden zu verkaufen, weil deren Prozesse für fertig verfügbare Software-Pakete aufgebaut sind.

Das Dokument schlägt deshalb vor, dass die EU ihre Verfahrensregeln besser auf Open Source ausrichten soll. Außerdem soll das zuständige Personal darüber fortgebildet werden, wie die Entwicklung von Open-Source-Software funktioniert. Die Kommission soll dabei mit gutem Beispiel vorangehen.

Diese Vorschläge kommen zu einem guten Zeitpunkt: Erst gestern berichtete Euractiv, dass die Kommission aktiv darüber verhandelt, für interne Cloud-Dienste von Microsoft Azure auf den französischen Open-Source-Cloud-Anbieter OVH Cloud umzusteigen. Auch die Beschaffungsregeln für Europas Behörden werden gerade überarbeitet.

Eine weitere Idee ist eine EU-Rechtsform für spendenfinanzierte Open-Source-Organisationen. Diese Rechtsform soll vor allem einfach und damit für Entwickler:innen zugänglich sein. Das könnte Problemen wie denen von Mastodon begegnen, dem in Deutschland die Gemeinnützigkeit aberkannt wurde.



Source link

Weiterlesen

Beliebt