secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt
Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …
Episode 6: TR-02102-2 und der Apache Tomcat Anwendungsserver
Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Diese Episode beschäftigt sich mit der TLS-Konfiguration des Anwendungsservers Apache Tomcat. Wie in den letzten Episoden möchte ich auch in dieser zuerst ausdrücklich darauf hinweisen, dass es eine Möglichkeit und nicht DIE LÖSUNG ist. Da sich die Welt zum Glück ständig dreht, können sich die […]
weiterlesen …
heise DevSec Konferenz – Vortrag zur Planung von Penetrationstests
Am 25. und 26. Oktober 2017 fand in Heidelberg die erste heise DevSec Konferenz statt. Auf der Konferenz trafen sich Sicherheitsexperten, sowie Entwickler und Architekten, die das Thema Security im Fokus haben oder sich darin einarbeiten wollen. Die Themenbereiche waren mit sicherem Entwurf sowie sicherer Implementierung und Integration von Software, Angriffsszenarien und Bedrohungsanalyse, Risikobewertung und risikoorientierte Testplanung sehr umfangreich und […]
weiterlesen …
Vom 21. – 22. Juni 2017 findet in Darmstadt die 5. VDI-Fachkonferenz Industrial IT Security statt. Auf der zweitägigen Veranstaltung berichten Experten u. A. von VW, AXA Versicherung oder Evonik Technology & Infrastructure über Herausforderungen und Lösungsansätze. Zusätzlich finden die Spezialtage „Industrial Internet of Things – Next Level Automation“, „Social Engineering – Risikofaktor Mensch“ und „IT-Sicherheit von industriellen Steuerungen – […]
weiterlesen …
Findet man bei Penetrationstests einen SSH-Server, so wirft man einen Blick auf die angebotene Konfiguration der Transportverschlüsselung und Authentisierung. Viele verlassen sich dabei auf die Standardkonfiguration, nicht zuletzt, weil niemand weis, welche Algorithmen und Einstellungen zu wählen sind. Wir helfen uns bei Penetrationstests damit, indem wir bei SSH-Servern einen Abgleich der Konfiguration mit den Empfehlungen aus der Technischen Richtlinie TR-02102 […]
weiterlesen …