Lese-Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.

Neuer Service: OpenTalk Videokonferenz

Von: dominion

Ein neuer adminForge Service kann ab sofort genutzt werden. Mit OpenTalk könnt ihr Videokonferenzen abhalten und dabei euren Bildschirm freigeben.   OpenTalk Videokonferenzen Mit OpenTalk könnt ihr Videokonferenzen abhalten und dabei euren Bildschirm freigeben....

by adminForge.

BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates

Im Rahmen eines Projektes zur Codeanalyse von Open Source Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Videokonferenzsysteme und eID-Templates untersucht.

Das Projekt „Codeanalyse von Open Source Software“ (CAOS) hat das BSI im Jahr 2021 gestartet. Aufgabe des Projekts ist die Schwachstellenanalyse mit dem Ziel, die Sicherheit von Open Source Software zu erhöhen. Das Projekt soll damit Entwickler bei der Erstellung sicherer Softwareanwendungen unterstützen und das Vertrauen in Open Source Software steigern.

Das BSI überprüfte nun gemeinsam mit der mgm security partners GmbH den Quellcode der Videokonferenzsysteme BigBlueButton und Jitsi auf mögliche Mängel, teilte das BSI mit. Kritische Schwachstellen habe man den betroffenen Entwicklern sofort mitgeteilt und diese hätten die gefundenen Sicherheitslücken schnell beheben können. Weitere Mängel seien im Rahmen eines Responsible-Disclosure-Verfahren adressiert worden. Bei den nun veröffentlichten Ergebnissen handelt es sich um eine Kombination aus Sourcecode Review, dynamischer Analyse und Schnittstellenanalyse in den Bereichen Netzwerkschnittstellen, Protokolle und Standards.

Damit Bürgerinnen und Bürger die Online-Funktion des Personalausweises nutzen können, müssten Diensteanbieter ihr Angebot in die Infrastruktur elektronischer Identitäten (eID) integrieren. eID-Templates sollen die Authentifizierung bei WordPress- oder Nextcloud-Installationen sicher gestalten und sind Teil der geplanten Einführung der „eID-Card“. Auch diese Templates hat das BSI untersucht und die Ergebnisse veröffentlicht

Um die Sicherheit von Open Source Software in Zukunft zu erhöhen, seien weitere Codeanalysen geplant. Das Projekt zur „Codeanalyse von Open Source Software“ werde unter dem Namen CAOS 2.0 fortgeführt.

Der Beitrag BSI startet Codeanalyse von freien Videokonferenzsysteme und eID-Templates erschien zuerst auf Linux-Magazin.

Kritische Sicherheitslücken in Konferenzsoftware Zoom

Die Videokonferenzlösung Zoom braucht Updates. In der Software stecken laut dem Anbieter mehrere hochkritische Sicherheitslücken. Unter anderem wird damit das Ausführen von Schadcode möglich. Betroffen von den Lücken sind die Zoom-Versionen für Android, iOS, Linux, macOS und Windows vor Version 5.13.5.

Eine mit dem Risikopotenzial „hoch“ eingestufte Sicherheitslücke steckt in einer falschen Implementierung beim  Server-Message-Block-Protokoll (SMB) in den Zoom Clients. Wenn ein Opfer eine lokale Aufzeichnung an einem SMB-Speicherort speichert und sie später über einen Link vom Zoom-Webportal öffnet, könnte ein Angreifer, der sich in einem benachbarten Netzwerk des Opfer-Clients befindet, einen bösartigen SMB-Server einrichten, der auf Client-Anfragen antwortet und den Client dazu bringt, vom Angreifer kontrollierte ausführbare Dateien auszuführen, heißt es im Security Bulletin der Zoom-Entwickler.

Eine weitere hochriskante Lücke steckt im Windows-Installer des Zoom-Clients für IT-Admins vor Version 5.13.5. Über eine lokale Schwachstelle ist dort die Ausweitung von Rechten möglich. Ein lokaler Benutzer mit niedrigen Privilegien könnte laut Bulletin diese Schwachstelle in einer Angriffskette während des Installationsprozesses ausnutzen, um seine Privilegien auf den System-Benutzer zu erweitern.

Die insgesamt vier Lücken sind bei Zoom in den Security Bulletins aufgeführt. Updates sind über die Zoom-Webseite erhältlich oder über die in der App aufrufbare Prüfung nach Updates. Die erreicht man nach einem Klick auf das Profilbild und dann auf den Eintrag “Nach Updates suchen”.

Der Beitrag Kritische Sicherheitslücken in Konferenzsoftware Zoom erschien zuerst auf Linux-Magazin.

Videolösung OpenTalk kommt unter Open Source-Lizenz

OpenTalk, deutscher Anbieter für sichere Videokonferenzen, hat seine gleichnamige Kommunikationsplattform unter der Open Source-Lizenz „EUPL“ (European Public License) auf OpenCoDE.de veröffentlicht.

OpenTalk sei von Grund auf neu konzipiert und erfülle Sicherheitsansprüche für vertrauliche Kommunikation, teilt das Unternehmen mit. Mit der nun erfolgten Veröffentlichung des Codes will der Anbieter Transparenz zeigen und die Möglichkeit bieten, OpenTalk in der Community-Version selbst und kostenlos zu installieren.

Alle grundlegenden Funktionen von OpenTalk seien in der Community-Version kostenfrei enthalten. Funktionen wie die revisionssichere Abstimmung, eine Automoderation großer Gruppen oder die automatisierte Installation auf Kubernetes-Clustern seien dagegen der kostenpflichtigen Enterprise-Version vorbehalten, teilt OpenTalk mit.

OpenTalk sieht sich mit den beiden Versionen die Lücke zwischen den freien Lösungen wie Jitsi oder BBB und den kommerziellen Anbietern wie Zoom, Teams oder WebEx schließen.

„Eine Open Source-Philosophie gehört zu den Grundfesten unserer Überzeugung und ist fester Bestandteil unserer Arbeit. Es stand von Beginn an fest, dass wir mit OpenTalk eine hochwertige und leistungsfähige Videokonferenzlösung erschaffen und der Community zur freien Nutzung zur Verfügung stellen“, sagt Peer Heinlein, Geschäftsführer der OpenTalk GmbH.

„Um eine offizielle Zulassung auch für Kommunikation mit hohem Schutzbedarf zu erhalten, werden wir OpenTalk durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen“, so Heinlein weiter.

Das Projekt ist hier auf Gitlab zu finden. Eine Anleitung zur Installation gibt es hier.

Der Beitrag Videolösung OpenTalk kommt unter Open Source-Lizenz erschien zuerst auf Linux-Magazin.

❌