secuvera-SA-2017-03 und secuvera-SA-2017-04: Mehrere Schwachstellen in Inventarisierungssoftware OCS Inventory NG aufgedeckt
Im Rahmen des intern stattfindenden Labdays haben wir das quelloffene Inventory-Management-Werkzeug „Open Computer and Software Repository Next Generation“ (=OCS Inventory NG) der französischen Firma factorfx mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnten wir zwei Schwächen in der Webanwendung zur Steuerung der Lösung identifizieren. Eine der beiden Schwachstellen ermöglicht die vollständige Kompromittierung der Datenbank. Mit diesem Blog-Post möchte ich […]
weiterlesen …
Episode 6: TR-02102-2 und der Apache Tomcat Anwendungsserver
Dieser Blog Post ist Teil der Blogserie zur TLS-Konfiguration – Technische Richtlinie TR-02102-2 des BSI. Diese Episode beschäftigt sich mit der TLS-Konfiguration des Anwendungsservers Apache Tomcat. Wie in den letzten Episoden möchte ich auch in dieser zuerst ausdrücklich darauf hinweisen, dass es eine Möglichkeit und nicht DIE LÖSUNG ist. Da sich die Welt zum Glück ständig dreht, können sich die […]
weiterlesen …
Kooperation von secuvera und TÜV NORD schafft Security4Safety-Full-Service-Angebot
Die Cyber-Bedrohungslage im industriellen Umfeld hat sich in den letzten Jahren zugespitzt. Das stellt Betreiber, Integratoren und Hersteller von sicherheitsrelevanten Industrieanlagen, Komponenten und Systemen vor neue Herausforderungen. Um nachweisbare Sicherheit – auch im Bereich Industrie 4.0 – zu gewährleisten, verknüpfen secuvera und TÜV NORD ab sofort ihre Kompetenzen. Aus dieser Kooperation entsteht ein bisher einzigartiger Dienstleistungsverbund, der Laborprüfung und Zertifizierung […]
weiterlesen …
secuvera-SA-2017-01 Privilege Escalation in OPSI-Umgebungen (“Rise of the Machines”)
Im Rahmen des intern stattfindenden LabDays habe ich das quelloffene Client-Management-Werkzeugs „Open PC Server Integration“ (=OPSI) der Firma uib GmbH aus Mainz bzw. die auf den Clients ausgebrachte Komponente „opsiclientagent“ mittels Pentesting-Methoden näher unter die Lupe genommen. Dabei konnte ich eine Schwäche identifizieren, die es mir erlaubt, Befehle auf anderen Systemen auszuführen. Dadurch war ich schließlich in der Lage, administrativen […]
weiterlesen …
secuvera auf der IT meets Industry
secuvera – BSI-zertifizierter IT-Sicherheitsdienstleister und Prüfstelle – wird auf dem Fachkongress für IT-Security in der Industrie IT meets Industry sowohl mit einem Fachvortrag, als auch als Aussteller vertreten sein. Bei der IMI 2015 dreht sich zwei Tage lang alles um das Thema Industrial IT. Ein besonderer Schwerpunkt liegt auf dem Themenbereich IT-Security in der Industrie. Damit knüpft die diesjährige IMI […]
weiterlesen …