Schwachstellen

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

21. Dezember 2015

Vertrauen in Produkthersteller? Backdoors bei Sophos, McAffee und anderen

Während derzeit sich vor Allem VW für Software-Manipulationen im Kreuzfeuer befindet, häufen sich Meldungen über Hintertüren in Software von Sicherheitsanbietern. Ein paar Beispiele der jüngsten Vergangenheit: Im Betriebssystem ScreenOS von Juniper wurden – durch den Hersteller selbst – zwei Schwachstellen, die man getrost als Hintertüren bezeichnen kann, gefunden. Die erste ermöglicht den Zugriff als Administrator mit dem Standardpasswort „<<< %s(un=’%s‘) […]
weiterlesen …

20. April 2014

Yes, enable revocation checking!

CVE-2014-0160, besser bekannt als Heartbleed, führt dazu, dass sich zur Zeit gefühlt die halbe Welt mit Verschlüsselung und Code-Qualität beschäftigt. Gut so. Just zu Ostern überrascht Adam Langley – bei Google verantwortlich für die Google HTTPS-Infrastruktur und den Netzwerk-Stack in Google Chrome – mit der Ansage, dass Revoction Checking doch Banane sei. Was ist Revocation Checking? Beim Aufbau einer verschlüsselten […]
weiterlesen …

25. Oktober 2011

Die Wolke hat keine Lücken

Die Schwachstelle in Amazons Cloud Service, die von Forschern der Ruhr-Universität  Bochum gefunden wurde, ist keine Schwachstelle in Cloud-Diensten. Das liest sich jedoch leider in manchen Meldungen, als sei der Cloud-Dienst verwundbar – nur wenige wählen die Überschrift besser. Vielmehr bestanden die Schwachstelle(n) in den Webanwendungen, die zur Verwaltung dieser Dienste genutzt werden. Schwachstelle in Webanwendung != Schwachstelle im Cloud-Computing […]
weiterlesen …

20. Juli 2010

M 4.286 Verwendung der Softwareeinschränkungsrichtlinie unter Windows Server 2003

Im Kundenumfeld bekommt man immer wieder mit, dass die Umsetzung dieser Maßnahme auf wehemente Gegenwehr stößt. Aussagen wie  „Es gibt andere Tools die das weitaus besser können / nicht so einfach umgangen werden können“ und „Das Bringt doch sowieso nichts“ sind des öfteren zu hören. Doch gerade dem Argument in der letzteren Aussage kann mit diesem Beispiel der Wind aus […]
weiterlesen …