Security

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

30. Januar 2017

secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)

Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …

1. Juli 2016

Episode 1 – TR-02102-2 kurz und knackig

Dieser Post ist ein teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Was ist die TR? Wie der Name schon sagt handelt es sich um eine technische Richtlinie. Diese besteht aus mehreren Teilen. In Teil 1 geht es um die Bewertung und Empfehlungen zu kryptografischen Verfahren. In Teil 2 geht es dabei speziell um den SSL-nachfolger Transport […]
weiterlesen …

16. Dezember 2014

Cyber Security Challenge Germany

Anfang Februar findet im Bundesministeriums für Wirtschaft und Energie das Finale der ersten Cyber Security Challenge Germany statt. In der Challenge werden junge Menschen mit realen Cyber-Angriffen konfrontiert und müssen entsprechende Rätsel und Aufgaben lösen. In der begleitenden Konferenz haben Entscheider die Möglichkeit, sich von interessanten Fachbeiträgen inspirieren zu lassen. secuvera unterstützt die Veranstaltung als Sponsor und wird mit erfahrenen […]
weiterlesen …

13. Mai 2011

Aus heiterem Himmel kam der Wolkenbruch – Neue Serie zu Cloud (In)Security – Teil 1

In letzter Zeit liest man viel von Cloud-Computing und damit verbundenen Zwischenfällen. In dieser Blog-Artikelreihe wird genauer auf die Geschehnisse eingegangen. Dabei gehen wir grundsätzlich auf Probleme und Schwächen, aber auch Lösungsansätze für den sicheren Umgang mit Cloud-Computing ein. Begriffsdefinitionen erfolgen nur bedingt, man wird hier oder hier für den Einstieg fündig. Der HBGary-Hack und der Zusammenhang mit Cloud-Sicherheit Zu […]
weiterlesen …