Security

23. Oktober 2020

BigBlueButton – ein Sicherheitsrisiko?

tl;dr BigBlueButton wird gerade in einigen Medien als „großes Sicherheitsrisiko“ dargestellt. Ist Angst vor dem Einsatz von BBB gerechtfertigt? Sicher nicht. BBB kommt im Standard zwar nicht mit sicheren Grundeinstellungen. Doch schon bevor BBB im Frühling 2020 so populär wurde, konnte man ein sicheres Setup mit den offiziellen Anleitungen hinbekommen. Muss man halt auch lesen 🙊 Schwachstellen in BBB? Logisch. […]
weiterlesen …

11. April 2018

secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt

Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …

30. Januar 2017

secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)

Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …

1. Juli 2016

Episode 1 – TR-02102-2 kurz und knackig

Dieser Post ist ein teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Was ist die TR? Wie der Name schon sagt handelt es sich um eine technische Richtlinie. Diese besteht aus mehreren Teilen. In Teil 1 geht es um die Bewertung und Empfehlungen zu kryptografischen Verfahren. In Teil 2 geht es dabei speziell um den SSL-nachfolger Transport […]
weiterlesen …

16. Dezember 2014

Cyber Security Challenge Germany

Anfang Februar findet im Bundesministeriums für Wirtschaft und Energie das Finale der ersten Cyber Security Challenge Germany statt. In der Challenge werden junge Menschen mit realen Cyber-Angriffen konfrontiert und müssen entsprechende Rätsel und Aufgaben lösen. In der begleitenden Konferenz haben Entscheider die Möglichkeit, sich von interessanten Fachbeiträgen inspirieren zu lassen. secuvera unterstützt die Veranstaltung als Sponsor und wird mit erfahrenen […]
weiterlesen …