s c i p a g Contents 1. Editorial scip monthly Security Summary

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "s c i p a g Contents 1. Editorial scip monthly Security Summary 19.12.2006"

Transkript

1 scip monthly Security Summary Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Was ist Sicherheit? Die Frage danach, was Sicherheit überhaupt ist, vermag auf den ersten Blick sehr einfach zu beantworten sein. Bei näherer Betrachtung, so stellt sich dann doch heraus, ist sie wohl fast so schwierig zu beantworten, wie die Frage danach, was Liebe, die Seele oder Gott überhaupt ist. Genauso wie bei derlei zentralen Dingen des menschlichen Erlebens, streiten sich auch in Bezug auf die Sicherheit seit vielen Jahren die Gelehrten. Sicherheit, will man es in einfache Worte packen, ist im Grunde durch das Nichtexistieren einer Sache definiert. Sicherheit existiert nämlich dann, wenn keine Risiken mehr gegeben sind. Genauso wie der Schatten im Grunde nur die Abwesenheit von Licht definiert, definiert Sicherheit im Grunde nur die Abwesenheit von Risiken. Mit einem Risiko sieht man sich konfrontiert, wenn eine Gefahr effektiv über einen hereinbrechen droht. Zum Beispiel besteht das Risiko, dass man beim Überqueren einer Strasse von einem vorbeifahren Auto erfasst wird. Oder es besteht das Risiko, dass man bei einem Spaziergang im Wald von einem Blitz getroffen wird. Man muss eingestehen, dass beide Risiken existent sind. In einigen Fällen ist es naturbedingt etwas grösser, in anderen naturbedingt etwas kleiner. Die Aufgabe der Computersicherheit, will man eine solche denn erreichen, besteht also im Minimieren der Risiken durch die definierten Gefahren. Doch wie definieren sich Gefahren für einen Computer? Das Informationszeitalter hat Erscheinungen wie Computerviren, Würmer oder Einbrüche in Computersysteme schon fast salonfähig gemacht. Dies sind nur einige der Gefahren, von denen ein Risiko ausgeht. Eine solche Bedrohung kann gänzlich unterschiedliche Qualitäten und Quantitäten aufweisen. Computerviren gibt es Mittlerweile wie Sand am Meer. Neue Schwachstellen, dank denen sich innert Sekunden ein aktuelles System übernehmen lassen, hingegen weniger. Ebenso gibt es ausgeklügelte Computerviren, die mit polymorphen Funktionen und netzwerkfähigen Komponenten aufwarten. Andererseits gibt es plumpe Angriffe auf Computersysteme, bei denen der Angreifer weder mit Glück noch mit Verstand in annehmbarer Zeit einen Treffer landen kann. Die Frage stellt sich nun, ab wann denn für ein spezifisches Computer-system die sogenannte "Sicherheit" erreicht worden ist. Allgemein, so kann man behaupten, ist ja die Bedrohungslage für alle Computersysteme gleich. Viren, Würmer und Hacker gibt es auf praktisch jeder Plattform, jedoch nicht in der gleichen Quantität. Im deutschen Magazin Linux Enterprise veröffentlichte ich Mitte 3 einen Fachartikel mit dem Titel Linux-Viren - Mythos oder Wirklichkeit [Ruef 3]. In diesem stellte ich die nicht gerade unumstrittene These auf, dass mitunter mit der Popularität eines Produkts ebenso das Interesse der Angreifer und damit die potentielle Bedrohung zunimmt. Zeitgleich erweitert sich das Interesse der Angreifer aber auch mit dem Wert des Zielobjekts, des sogenannten Assets, welches man schützen will. Es ist wohl klar, dass es mehr Menschen auf dieser Welt gibt, die Interesse an einer Liste von einer Million gültiger Kreditkarteninformationen haben, weder am letzten Brief, den ich meinem Onkel zu Weihnachten geschickt habe. Gerade weil das Interesse im ersten Fall höher ist, wird sich auch eine grössere Anzahl an Angreifern mit höherer Fachbildung dafür interessieren. Die Bedrohung ist deshalb sowohl in Bezug auf die Qualität als auch auf die Quantität relativ hoch. 1/16

2 scip monthly Security Summary Da man es hierbei mit mitunter professionellen Angreifern zu tun hat, die effektiv Profit aus dem Kreditkartendiebstahl schlagen wollen und die Risiken einer Verurteilung in Kauf nehmen, muss man ebenfalls die Qualität und Quantität der Gegenmassnahmen höher ansetzen. Es reicht sodann nicht mehr nur mal eben eine Antiviren- Lösung zu installieren und zwei Mal im Jahr die neuesten Patches einzuspielen. Ausgeklügelte Schutzmechanismen, die einen Angriffsversuch frühzeitig entdecken und verhindern können, sind in diesem Falle angebracht. Marc Ruef <maru-at-scip.ch> Security Consultant Zürich, 18. Dezember 6 2. scip AG Informationen 2.1 Frohe Festtage Die scip AG wünscht Ihnen frohe Festtage und einen guten und gesunden Rutsch ins neue Jahr 7. Wir freuen uns darauf Sie auch im kommenden Jahr zu unserer Leserschaft begrüssen zu können. 2.2 Defense.at befragte Marc Ruef Das Sicherheitsportal defense.at hat für die Q4 6 Ausgabe ihres Online Magazins Herrn Marc Ruef (Leiter des Security Auditing Teams der scip AG) interviewt. Weitere Informationen finden Sie unter: 2/16

3 scip monthly Security Summary Neue Sicherheitslücken Die erweiterte Auflistung hier besprochener Schwachstellen sowie weitere Sicherheitslücken sind unentgeltlich in unserer Datenbank unter einsehbar. Die Dienstleistungspakete)scip( pallas liefern Ihnen jene Informationen, die genau für Ihre Systeme relevant sind Nov 6 Dez 6 sehr kritisch 1 kritisch problematisch 4 21 Contents: 3.1 ProFTPD bis 1.3.1rc1 mod_ctrls pr_ctrls_recv_request() Pufferüberlauf 3.2 OpenLDAP bis 2.3.x krbv4_ldap_auth() lange Credentials Stack-Overflow 3.3 Sun Solaris bis 1 ld.so doprf() Stack- Overflow 3.4 Sophos Anti-Virus bis 5.x veex.dll korruptes CPIO-Archiv Stack-Overflow 3.5 Microsoft Outlook Express bis 6. Windows Address Book Dateien Pufferüberlauf 3.6 Microsoft Windows Remote Installation Service TFTP fehlende Authentisierung 3.7 Microsoft Windows, XP und Server 3 SNMP Pufferüberlauf 3.8 Microsoft Windows XP und Server 3 Manifest erweiterte Rechte 3.9 Microsoft Internet Explorer bis 6. OBJECT-Tag Temporary Internet Files erweiterte Leserechte 3.1 Microsoft Internet Explorer bis 6. Drag and Drop Temporary Internet Files erweiterte Leserechte 3.11 Microsoft Internet Explorer bis 6. korruptes DHTML erweiterte Rechte 3.12 Microsoft Internet Explorer bis 6. korruptes Javascript erweiterte Rechte 3.1 ProFTPD bis 1.3.1rc1 mod_ctrls pr_ctrls_recv_request() Pufferüberlauf 3.13 MailEnable bis IMAP-Dienst Stack-Overflow 3.14 Microsoft Windows Media Player bis 1 ASX-Playlist REF HREF-Tags lange URL Heap-Overflow 3.15 Novell Client for Windows bis 4.91 SP3 ndppnt.dll Pufferüberlauf 3.16 GnuPG bis 2..2 korrupte Nachrichten entschlüsseln Pufferüberlauf 3.17 Citrix Presentation Server Client bis 9. WFICA.OCX SendChannelData() Heap- Overflow 3.18 Microsoft Word bis 4 korrupte DOC- Dokumente erweiterte Rechte 3.19 ProFTPD bis 1.3.a mod_tls tls_x59_name_oneline() Pufferüberlauf 3.2 GNU Radius bis 1.4 sqllog() Format String 3.21 MailEnable bis 2.32 WebAdmin leeres Passwort fehlerhafte Authentisierung 3.22 Mozilla Firefox bis 2.. Password Manager gibt Daten preis 3.23 Novell Client for Windows bis 4.91 NWSPOOL.DLL unbekannter Pufferüberlauf Remote: Indirekt Datum: scip DB: ProFTPD ist ein gerne und oft eingesetzter FTP- Server für die verschiedenen UNIX-Systeme. Im Advisory CORE wird eine Pufferüberlauf-Schwachstelle im Modul mod_ctrls publiziert. Durch ein falsches Kontrollkommando kann in der Funktion pr_ctrls_recv_request() beliebiger Programmcode ausgeführt werden. Technische Details sind im Beitrag enthalten. Ein Exploit ist hingegen nicht bekannt. Scheinbar ist der Fehler nur lokal auszunutzen. Als Workaround wird vom hersteller empfohlen, in der Konfigurationsdatei durch "ControlsEngine off" die Control-Engine manuell zu deaktivieren. Der Fehler wurde gänzlich in der Version 1.3.1rc1 behoben. Angriffe auf FTP-Server waren früher sehr beliebt. Aber auch noch heute ist dies ein gern genutzter Einstiegspunkt in ein System. Da diese Schwachstelle lokale Zugriffsrechte erfordert, ist 3/16

4 scip monthly Security Summary das Risiko eines erfolgreichen Einbruchs über das Netzwerk nicht gegeben. Trotzdem sollte man in sicherheitskritischen Umgebungen, gerade auf Multiuser-Systemen, entsprechende Gegenmassnahmen umsetzen. 3.2 OpenLDAP bis 2.3.x krbv4_ldap_auth() lange Credentials Stack-Overflow Datum: scip DB: LDAP (Lightweight Directory Access Protocol) ist ein Netzwerkprotokoll, das die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt [ Der Hacker Solar Eclipse hat nun einen stack-basierten Pufferüberlauf in den Versionen bis 2.3.x gefunden. Durch die Übergabe von Credentials, die länger als 125 Bytes sind, lässt sich über die Funktion krbv4_ldap_auth() beliebiger Programmcode ausführen. Ein in C geschriebener Exploit wurde dem Original- Advisory beigelegt. Voraussetzung zur erfolgreichen Ausnutzung ist, dass LDAP mit der Option --enable-kbind kompiliert wurde und mit LDAP2 betrieben wird. Gerade ersteres ist seit der Version 2..2 standardmässig nicht mehr der Fall. Als Workaround, bis eine aktualisierte Version erscheint, sollte deshalb auf das Nutzen der besagten Option verzichtet werden. Diese Schwachstelle ist aufgrund dessen, dass viele Gegebenheiten zusammenspielen müssen, nicht besonders kritisch. So muss OpenLDAP mit der besagten Option betrieben werden und durch einen Angreifer mit fehlerhaften Argumenten versorgbar sein. In stets auf dem neuesten Stand gehaltenen Umgebungen dürfte das Problem deshalb heutzutage schon gar nicht mehr antreffbar sein. 3.3 Sun Solaris bis 1 ld.so doprf() Stack-Overflow Remote: Indirekt Datum: scip DB: Solaris ist ein populäres UNIX-Derivat aus dem Hause Sun Microsystems. Über idefense Labs hat eine anonyme Person zwei grundlegende Schwachstellen in ld.so publizieren lassen. Eine davon schlägt sich in einem Pufferüberlauf- Problem nieder. Durch das Umsetzen eines solchen lokalen Angriffs lässt sich beliebiger Programmcode ausführen.. Allgemeine Details sind im Original-Advisory von idefense enthalten. Ein automatisierter Exploit ist hingegen nicht bekannt. Sun wurde frühzeitig über das Problem informiert und hat dieses mit dedizierten Patches für die jeweiligen Solaris-Versionen adressiert. Diese Sicherheitslücke ist sehr kritisch, wobei man jedoch von Glück sprechen kann, dass das Problem nur lokal ausnutzbar ist. Trotzdem sollte man sich schnellstmöglich bemühen, das eigene System entsprechend abzusichern. Gerade Multiuser-Systeme werden aufgrund der beiden in ld.so gefundenen Schwachstellen kurzzeitig für Angreifer interessant. 3.4 Sophos Anti-Virus bis 5.x veex.dll korruptes CPIO-Archiv Stack- Overflow Datum: scip DB: Sophos ist einer der bekannten Hersteller von Antiviren-Lösungen. Eine anonyme Person hat über die Zero Day Initiative (ZDI) zwei Schwachstellen in den Versionen bis 5.x publiziert. Effektiv davon betroffen ist die Datei veex.dll der Scanning-Engines bis 2.4. So sei es mitunter möglich, dass über ein korruptes CPIO- Archiv ein stack-basierter Pufferüberlauf ausgeführt werden kann. Dazu ist ein langer Dateiname, der mit einem Nullbyte abgeschlossen wird, erforderlich. Weitere Details oder ein Exploit sind nicht bekannt. Sophos wurde im September über das Problem informiert, so dass sich frühzeitig um eine Gegenmassnahme gekümmert werden konnte. Zusammen mit dem Erscheinen der Advisories ist sodann auch eine aktualisierte Version der Scanning-Engine erschienen. Probleme bei der Verarbeitung korrupter Dateien und vor allem Archiven ist nichts neues. Es scheint, als müssten die Entwickler von Antiviren- Lösungen in der Hinsicht von weit mehr defensiver programmieren. Es ist nur eine Frage der Zeit, bis aktuelle Schädlinge, vor allem Mail- Viren, die Schwachstelle für sich ausnutzen 4/16

5 scip monthly Security Summary wollen. Das Umsetzen von Gegenmassnahmen ist deshalb dringendst zu empfehlen. 3.5 Microsoft Outlook Express bis 6. Windows Address Book Dateien Pufferüberlauf Datum: scip DB: Microsoft Outlook ist ein beliebter Mail-Client (SMTP, POP3 und IMAP4) für die Windows- Betriebssysteme. Microsoft dokumentiert in MS6-76 (KB923694) eine Pufferüberlauf- Schwachstelle in den Versionen bis 6.. Wird ein korruptes Windows Address Book, diese werden mit der Dateiendung wab vertrieben, eingelesen, kann damit beliebiger Programmcode ausgeführt werden. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 11 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.6 Microsoft Windows Remote Installation Service TFTP fehlende Authentisierung Microsoft Windows - kurz auch W2k genannt - ist eine Weiterentwicklung des professionellen Microsoft Windows NT Systems. Es existieren Versionen für den Einsatz als Server und solche für den Workstation-Betrieb. Wie sich nun herausgestellt hat, öffnet der Remote Installation Service automatisch einen TFTP-Server. Auf diesem wird jedoch keine Zugriffsbeschränkung umgesetzt, so dass jedermann nach Belieben Dateien auf dem Betriebssystem überschreiben kann. Genaue technische Details oder ein Exploit sind nicht bekannt. Der Fehler wurde durch einen Patch behoben. 3.7 Microsoft Windows, XP und Server 3 SNMP Pufferüberlauf Microsoft Windows ist ein professionelles Betriebssystem, das jedoch nach und nach durch den Nachfolger Microsoft Windows XP bzw. Server 3 abgelöst wird. Kostya Kortchinsky und Clement Seguy entdeckten einen Fehler, der von Microsoft in MS6-74 (KB926247) dokumentiert wird. So sei es über einen Pufferüberlauf im SNMP-Dienst möglich, beliebigen Programmcode auszuführen. Weitere Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. 3.8 Microsoft Windows XP und Server 3 Manifest erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Microsoft Windows XP stellt eine Weiterentwicklung des professionellen Windows dar. Microsoft Windows 3 Server ist die Server-Version von Windows XP. Der Hersteller hält in MS6-75 (KB926255) fest, dass eine schwerwiegende Schwachstelle im Client-Server Run-time Subsystem gegeben ist. Durch eine korrupte Manifest-Datei sei es beim Ausführen einer Applikation möglich, dass erweiterte Rechte erlangt werden. Weitere Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Einmal mehr ist der Patchday von Microsoft ein verheissungsvoller Tag für den Hersteller, die Administratoren und Nutzer. Rund 11 neue und zum Grossteil schwerwiegende Schwachstellen mussten anerkannt und mit Patches honoriert werden. Das Einspielen dieser dürfte für so manchen Administrator eine sehr unangenehme Aufgabe sein, die jedoch dringlichst zu empfehlen ist. Es ist nur eine Frage der Zeit, bis die jüngsten Sicherheitslücken durch neue Würmer, Viren und 5/16

6 scip monthly Security Summary Exploits automatisiert ausgenutzt werden können. Eile tut deshalb an dieser Stelle Not. 3.9 Microsoft Internet Explorer bis 6. OBJECT-Tag Temporary Internet Files erweiterte Leserechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Microsoft herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass dank einem Fehler bei der Interpretation des OBJECT-Tags erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen. 3.1 Microsoft Internet Explorer bis 6. Drag and Drop Temporary Internet Files erweiterte Leserechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Yorick Koster herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass dank einem Fehler in Drag and Drop erweiterter Lesezugriff auf den Ordner Temporary Internet Files erlangt werden kann. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen Microsoft Internet Explorer bis 6. korruptes DHTML erweiterte Rechte Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So hat Sam Thomas herausgefunden, so wird es in MS6-72 (KB925454) dokumentiert, dass durch korruptes DHTML erweiterte Rechte erlangen lassen. Damit liesse sich der Speicher manipulieren und deshalb beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen Microsoft Internet Explorer bis 6. korruptes Javascript erweiterte Rechte Datum: scip DB: Datum: scip DB: Datum: scip DB: Datum: scip DB: Der Microsoft Internet Explorer (MS IEX) ist der am meisten verbreitete Webbrowser und fester Bestandteil moderner Windows-Betriebssysteme. Innerhalb des Patchday Dezember 6 wurden vier kritische Schwachstellen in den Versionen bis 6. behoben. So haben Jakob Balle und Carsten Eiram von Secunia Research herausgefunden, dass durch das zeitgleiche Ausführen verschiedene Javascript-Elemente 6/16

7 scip monthly Security Summary erweiterte Rechte erlangen lassen. Damit liesse sich der Speicher manipulieren und deshalb beliebigen Programmcode ausführen. Technische Details oder ein Exploit sind nicht bekannt. Ein Patch zum Problem steht seit dem 12. Dezember 6 zum Download zur Verfügung. Diese Sicherheitslücke birgt ein hohes Risiko in sich. So ist ein entfernter Angreifer mit einem simplen HTML-Code in der Lage, den Webbrowser abstürzen oder beliebigen Programmcode ausführen zu lassen MailEnable bis IMAP- Dienst Stack-Overflow Datum: scip DB: Bei MailEnable handelt es sich um eine Mailserver-Lösung, die mitunter optional mit einem Webfrontend für das Lesen und Verfassen der s daherkommt. Wie das Entwicklerteam meldet, existiert in den aktuellen Versionen im IMAP-Dienst stack-basierter Pufferüberlauf. Dieser kann für das Ausführen beliebigen Programmcodes missbraucht werden. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde mit einem Hotfix behoben. Aufgrund der relativ hohen Verbreitung der MailEnable-Software ist diese Schwachstelle durchaus von einer gewissen Dringlichkeit. Es gilt deshalb so schnell wie möglich Gegenmassnahmen einzuleiten, um das Zeitfenster eines erfolgreichen Angriffs so klein wie möglich zu halten Microsoft Windows Media Player bis 1 ASX-Playlist REF HREF- Tags lange URL Heap-Overflow Datum: scip DB: Der Microsoft Windows Media Player ist ein Teil moderner Windows-Betriebssysteme und für das Darstellen von Multimedia-Dateien (Filmen und Musik) vorgesehen. Ein Hacker namens sehato hat einen Heap-Overflow in den aktuellen Versionen des Players gefunden. Dort kann durch eine überlange URL in einem REF HREF- Tag in einer ASX-Playlist beliebiger Programmcode ausgeführt werden. Weitere Details oder ein Exploit sind nicht bekannt. Microsoft arbeitet scheinbar an einer Lösung und empfiehlt zwischenzeitlich, dass keine Playlists unbekannter oder zwielichtiger Herkunft importiert werden. Diese Schwachstelle ist sehr unschön. Sie reiht sich in eine Reihe anderer, vergleichbarer Sicherheitslücken im Windows Media Player ein. Es bleibt also auch weiterhin fragwürdig, wie sicher dieser Player wirklich ist. In sicherheitsbewussten Umgebungen sollte auf den Einsatz des Players verzichtet werden Novell Client for Windows bis 4.91 SP3 ndppnt.dll Pufferüberlauf Der Novell Client dient als Software Schnittstelle zwischen Ihrem Rechner und den Novell-Server, um eine Kommunikation und Datenaustauch zu ermöglichen. Wie der Hersteller meldet, existiert in der Version bis 4.91 des Clients für Windows eine Pufferüberlauf-Schwachstelle. Durch diesen kann beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Das Problem wurde bisher mit einem Beta-Patch behoben. Obschon bisher noch keine technischen Informationen zur besagten Verwundbarkeit bekannt sind, sollte man das Umsetzen von Gegenmassnahmen nicht hinausschieben. Es ist nur eine Frage der Zeit, bis die ersten Exploits zur automatisierten Ausnutzung der Schwachstelle die Runde machen. Der eine oder andere verärgerte Mitarbeiter wird sodann die Arbeitskollegen ärgern wollen GnuPG bis 2..2 korrupte Nachrichten entschlüsseln Pufferüberlauf Datum: scip DB: Datum: scip DB: GnuPG gilt als freier Ersatz für PGP (Pretty Good 7/16

8 scip monthly Security Summary Privacy). Der Grund dafür liegt darin, weil auf das Vorhandensein des kommerziellen IDEA verzichtet wird. GnuPG ist RFC244 (OpenPGP) kompatibel und vor allem bei Puristen und Freunden von open-source hoch im Kurs. Tavis Ormandy des Gentoo Security Team hat eine Pufferüberlauf-Schwachstelle in den Versionen bis 2..2 von GnuPG gefunden. Beim Entschlüsseln korrupter Nachrichten könne beliebiger Programmcode ausgeführt werden. Technische Details oder ein Exploit sind nicht bekannt. Für vereinzelte Versionen liegt ein Patch vor, den es zu installieren gibt. Dies ist schon die zweite Sicherheitslücke für GnuPG diese Woche. Diese Bilanz erscheint erschreckend und lässt durchaus an der sicherheitstechnischen Stabilität des alteingesessenen Produkts zweifeln. Es bleibt zu hoffen, dass diese Fehler ausserordentlicher Natur sind und nur per Zufall in solch kurzer Zeit aufeinanderfolgend entdeckt wurden Citrix Presentation Server Client bis 9. WFICA.OCX SendChannelData() Heap-Overflow Datum: scip DB: Citrix MetaFrame ist eine kommerzielle Erweiterung zu Microsoft TerminalServer und erlaubt das Nutzen verschiedener Anwender einer Windows-Umgebung über das Netzwerk. Dieser Dienst ist mit dem seit Jahren unter Unix gebräuchlichen X11 vergleichbar. FortConsult hat einen heap-basierten Pufferüberlauf im Citrix Presentation Server Client 9.x gefunden. Davon betroffen ist das ActiveX-Element namens WFICA.OCX. Dabei müssen die Variablen von DataSize oder DataType auf 1 gesetzt und sodann ein überlanger Wert in Data mitgegeben werden. Dadurch lässt sich über die Funktion SendChannelData() beliebiger Programmcode ausführen. Ein proof-of-concept Exploit sowie technische Details sind im Advisory von FortConsult enthalten. Von Citrix wurde eine aktualisierte Version 9.23, die das Problem zu beheben in der Lage ist, herausgegeben. Die Rechteausweitung innerhalb einer Citrix- Sitzung wird unter anderem im Artikel "Citrix under Attack" von Marc Ruef diskutiert ( ). Durch das Ausnutzen dieser Pufferüberlauf- Schwachstelle und dem Missbrauch der im besagten Artikel beschriebenen Möglichkeiten, lässt sich innert kürzester Zeit administrative Rechte auf einem Citrix-System erlangen. Ein Horror-Szenario, dem natürlich jeder Citrix- Administrator entgehen möchte Microsoft Word bis 4 korrupte DOC-Dokumente erweiterte Rechte Datum: scip DB: Microsoft Word ist ein kommerzielles Textverarbeitungsprogramm, das als Teil der Office-Suite ausgeliefert wird. Es wird sowohl im beruflichen als wie auch im privaten Bereich gerne eingesetzt. Im Microsoft Security Advisory wird eine nicht näher spezifizierte Schwachstelle gemeldet. Die Grundlage für den Fund dieser bildeten effektive Attacken, die schon an Microsoft herangetragen wurden. Der Hersteller ist zur Zeit um eine Analyse bemüht. Weitere Details oder ein öffentlicher Exploit sind nicht bekannt. Als Workaround wird der Einsatz eines alternativen Produkts sowie lediglich der Zugriff auf Daten vertrauenswürdiger Herkunft empfohlen. Microsoft wird dem Problem voraussichtlich in den kommenden Wochen durch einen Patch Rechnung tragen. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Es muss mit einem kritischen Problem gerechnet werden, zu dem absichtlich so lange wie möglich keine Angriffsdetails bekanntgegeben werden. Ein Exploit dürfte vor allem auch für Viren- Entwickler interessant sein, die damit Word als Infektions-Plattform nutzen könnten ProFTPD bis 1.3.a mod_tls tls_x59_name_oneline() Pufferüberlauf Datum: scip DB: ProFTPD ist ein gerne und oft eingesetzter FTP- Server für die verschiedenen UNIX-Systeme. Evgeny Legerov publizierte auf Full-Disclosure Details zu einer Pufferüberlauf-Schwachstelle in mod_tls. Durch den Fehler in der Funktion 8/16

9 scip monthly Security Summary tls_x59_name_oneline() kann beliebiger Programmcode ausgeführt werden. Technische Details sind im Original-Posting enthalten. Ein Exploit ist hingegen nicht bekannt. Das ProFTPD-Team wurde frühzeitig über das Problem informiert, hat es jedoch in der darauf neu erschienenen Version 1.3.a nicht behoben. Als Workaround wird der Einsatz eines alternativen Produkts empfohlen. Schon wieder eine Sicherheitslücke für einen der populären FTP-Daemons unter Unix/Linux. ProFTPD wird auf vielen Linux-Systemen eingesetzt. Er ist sehr beliebt, sowohl bei Anwendern wie auch bei Crackern. Deshalb werden Schwachstellen wie diese stets mit offenen Armen empfangen. Es bleibt zu hoffen, dass das Entwickler-Team bald mit einem anständigen Patch reagiert. 3.2 GNU Radius bis 1.4 sqllog() Format String Datum: scip DB: GNU Radius ist eine quelloffene Radius- Implementierung. Eine anonyme Person hat über idefense Labs die Meldung publizieren lassen, dass in den Versionen bis 1.4 eine Format String- Schwachstelle existiert. Davon betroffen ist die Funktion sqllog(), dank der sodann beliebiger Programmcode ausgeführt werden kann. Voraussetzung zur Ausnutzung ist, dass GNU Radius mit SQL-Unterstützung kompiliert und ein entsprechendes SQL-Konto genutzt wird. Weitere Details oder ein Exploit sind nicht bekannt. Der Fehler wurde frühzeitig dem Entwicklerteam im August 6 mitgeteilt. Das Problem konnte damit in der neuesten Version behoben werden. Eine der wenigen Format String Attacken dieses Jahres. Trotzdem zeigt sie sehr imposant, wie wirkungsvoll diese Angriffsart sein kann. Es ist nur eine Frage der Zeit, bis ein Exploit auf SecuriTeam.com und vergleichbaren Seiten publiziert werden wird. Zum Glück muss GNU Radius explizit mit SQL-Unterstützung betrieben werden, um die besagte Verwundbarkeit aufzuweisen MailEnable bis 2.32 WebAdmin leeres Passwort fehlerhafte Authentisierung Datum: scip DB: Bei MailEnable handelt es sich um eine Mailserver-Lösung, die mitunter optional mit einem Webfrontend für das Lesen und Verfassen der s daherkommt. Wie der Hersteller meldet, existiert ein Designfehler in den Versionen bis Dabei könne es unter gewissen Umständen gegeben sein, dass sich jemand mit einem leeren Passwort über die Web- Schnittstelle authentisieren kann. Weitere Details oder ein Exploit sind nicht bekannt. Das Problem wurde mit dem Hotfix ME-119 behoben. Da die Informationen zu dieser Schwachstelle sehr spärlich sind, ist nicht damit zu rechnen, dass in naher Zukunft ein Exploit herauskommen wird. Trotzdem sollte das Einspielen der entsprechenden Patches nicht aufgeschoben werden, denn ein handlicher Exploit könnte dem Fehler eine sehr hohe Popularität bescheren Mozilla Firefox bis 2.. Password Manager gibt Daten preis Datum: scip DB: Das Mozilla-Projekt versucht einen open-source Webbrowser zur Verfügung zu stellen. Der Mozilla Webbrowser erlangte seit der Veröffentlichung der ersten offiziellen Versionen immer mehr Akzeptanz. Robert Chapin hat eine Sicherheitslücke in den aktuellen Versionen bis 2.. gefunden. Der Password Manager ist in der Lage, genutzte Passwörter zu speichern und diese beim erneuten Aufruf einer Webseite automatisch einzusetzen. Dieser Mechanismus führt jedoch keine umfassende Überprüfung der URL durch, womit eine Ressource die gespeicherten Daten einer anderen Ressource auslesen kann. Ein Exploit wurde zusammen mit der Meldung herausgegeben. Als Workaround wird empfohlen, auf das Nutzen des Password Managers vorerst, bis zum Erscheinen eines Bugfixes, zu verzichten. 9/16

10 scip monthly Security Summary Schon wieder eine Vielzahl an Sicherheitslücken prasselt auf das Mozilla-Projekt nieder. Keine gute Werbung, in der Tat - Obschon Mozilla immerwieder als Alternative zum beschmutzten Microsoft Internet Explorer empfohlen wird, wird voraussichtlich über längere Zeit auch das Mozilla-Pendant seine weisse Weste nicht sauber halten können. Es scheint, als müsse der sichere Webbrowser erst noch entwickelt werden, denn Mozilla bringt die gleichen (Kinder- )Krankheiten mit, wie auch schon viele vergleichbare Projekte zuvor Novell Client for Windows bis 4.91 NWSPOOL.DLL unbekannter Pufferüberlauf Datum: scip DB: Microsoft Windows ist eine sehr beliebte Betriebssystemreihe der redmonder Firma Microsoft. Das grafische Betriebssystem stellt eine Weiterentwicklung des zeilenbasierten MS DOS dar. Mitunter besteht die Möglichkeit des Einbinden des Hosts durch den Novell Client in einer Novell-Umgebung. Wie Novell nun meldet, existiert ein nicht näher beschriebener Pufferüberlauf in der Bibliothek NWSPOOL.DLL, durch den ein Angreifer beliebigen Programmcode ausführen kann. Weitere Details oder ein Exploit sind nicht bekannt. Novell hat das Problem mit einem Beta-Patch für die Version 4.91 behoben. Da nahezu keine Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Es muss aber damit zu rechnen sein, dass die bestehende Sicherheitslücke eine ernstzunehmende Gefahr für eine Umgebung darstellen kann. 1/16

11 scip monthly Security Summary Statistiken Verletzbarkeiten Die im Anschluss aufgeführten Statistiken basieren auf den Daten der deutschsprachige Verletzbarkeitsdatenbank der scip AG. Zögern Sie nicht uns zu kontaktieren. Falls Sie spezifische Statistiken aus unserer Verletzbarkeitsdatenbank wünschen so senden Sie uns eine an Gerne nehmen wir Ihre Vorschläge entgegen. Auswertungsdatum: 18. Dezember sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen pro Jahr Okt Nov Dez Okt Nov Dez sehr kritisch 1 kritisch problematisch Verlauf der letzten drei Monate Schwachstelle/Schweregrad Cross Site Scripting (XSS) 3 2 Denial of Service (DoS) Designfehler Directory Traversal 1 Eingabeungültigkeit 1 Fehlende Authentifizierung 1 1 Fehlende Verschlüsselung 1 Fehlerhafte Leserechte 1 Fehlerhafte Schreibrechte 1 1 Format String Konfigurationsfehler Pufferüberlauf Race-Condition 1 2 Schw ache Authentifizierung 4 Schw ache Verschlüsselung SQL-Injection 1 Symlink-Schw achstelle Umgehungs-Angriff 1 Unbekannt Verlauf der letzten drei Monate Schwachstelle/Kategorie 11/16

12 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat - Zeitperiode Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez sehr kritisch kritisch problematisch Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat - Zeitperiode 12/16

13 scip monthly Security Summary Jan Feb Mrz Apr Mai Jun Jul Aug Sep Okt Nov Dez Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat - Zeitperiode 6 13/16

14 scip monthly Security Summary Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Jan Mrz Mai Jul Sep Nov Registrierte Schwachstellen by scip AG Verlauf der Anzahl Schwachstellen pro Monat Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov sehr kritisch kritisch problematisch Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Jan Feb Mrz Apr Mai Jun Jul Au Sep Okt Nov Dez Verlauf der Anzahl Schwachstellen/Schweregrad pro Monat 14/16

15 scip monthly Security Summary Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Ja Fe Mr Ap Mai Ju Jul Au Se Okt No De Cross Site Scripting (XSS) Denial of Service (DoS) Designfehler Directory Traversal Eingabeungültigkeit Fehlende Authentifizierung Fehlende Verschlüsselung Fehlerhafte Leserechte Fehlerhafte Schreibrechte Format String Konfigurationsfehler Pufferüberlauf Race-Condition Schw ache Authentifizierung Schw ache Verschlüsselung SQL-Injection Symlink-Schw achstelle Umgehungs-Angriff Unbekannt Verlauf der Anzahl Schwachstellen/Kategorie pro Monat 15/16

16 scip monthly Security Summary Literaturverzeichnis scip AG, 19. Februar 6, scip monthly Security Summary, smss Feedback scip AG, 19. März 6, scip monthly Security Summary, smss Feedback Auswertung Ruef, Marc, 22. Dezember 1, Die psychosozialen Aspekte der Computerkriminalität, computec.ch, Ruef, Marc, 2, Intrusion Prevention Neue Ansätze der Computersicherheit, Computer Professional, Ausgabe 4-2, Seiten 1-14, Ruef, Marc, Februar 4, Lehrgang Computersicherheit, Universität Luzern, Master of Advanced Studies elearning und Wissensmanagement, Ruef, Marc, 3, Linux-Viren - Mythos oder Wirklichkeit?, Linux Enterprise Ausgabe: Impressum Herausgeber: scip AG Technoparkstrasse 1 CH-85 Zürich T Zuständige Person: Marc Ruef Security Consultant T scip AG ist eine unabhängige Aktiengesellschaft mit Sitz in Zürich. Seit der Gründung im September 2 fokussiert sich die scip AG auf Dienstleistungen im Bereich IT-Security. Unsere Kernkompetenz liegt dabei in der Überprüfung der implementierten Sicherheitsmassnahmen mittels Penetration Tests und Security Audits und der Sicherstellung zur Nachvollziehbarkeit möglicher Eingriffsversuche und Attacken (Log- Management und Forensische Analysen). Vor dem Zusammenschluss unseres spezialisierten Teams waren die meisten Mitarbeiter mit der Implementierung von Sicherheitsinfrastrukturen beschäftigen. So verfügen wir über eine Reihe von Zertifizierungen (Solaris, Linux, Checkpoint, ISS, Cisco, Okena, Finjan, TrendMicro, Symantec etc.), welche den Grundstein für unsere Projekte bilden. Das Grundwissen vervollständigen unsere Mitarbeiter durch ihre ausgeprägten Programmierkenntnisse. Dieses Wissen äussert sich in selbst geschriebenen Routinen zur Ausnutzung gefundener Schwachstellen, dem Coding einer offenen Exploiting- und Scanning Software als auch der Programmierung eines eigenen Log- Management Frameworks. Den kleinsten Teil des Wissens über Penetration Test und Log- Management lernt man jedoch an Schulen nur jahrelange Erfahrung kann ein lückenloses Aufdecken von Schwachstellen und die Nachvollziehbarkeit von Angriffsversuchen garantieren. Einem konstruktiv-kritischen Feedback gegenüber sind wir nicht abgeneigt. Denn nur durch angeregten Ideenaustausch sind Verbesserungen möglich. Senden Sie Ihr Schreiben an Das Errata (Verbesserungen, Berichtigungen, Änderungen) der scip monthly Security Summarys finden Sie online. Der Bezug des scip monthly Security Summary ist kostenlos. Anmelden! Abmelden! 16/16

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2006 scip monthly Security Summary 19.1.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.07.2009 scip monthly Security Summary 19.7.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken. Statistiken Verletzbarkeiten 5. Bilderrätsel. Impressum 1. Editorial Despotische Demokratie

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2009 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken 5. Bilderrätsel 6. Impressum 1. Editorial Prinzip der Datenklassifizierung Wer an Computersicherheit denkt, der denkt

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2006 scip monthly Security Summary 19.11.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2009 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Das Cookie ist mächtiger als das Schwert Unsere Firma

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2007 scip monthly Security Summary 19.1.7 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2009 scip monthly Security Summary 19.8.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Wer rechnen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2006 scip monthly Security Summary 19.5.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.02.2006 scip monthly Security Summary 19.02.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Kreuzworträtsel 7. Literaturverzeichnis

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2006 scip monthly Security Summary 19.04.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.09.2009 scip monthly Security Summary 19.9.9 Contents 1. Editorial. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Nichtexistenz

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.11.2010 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Geschlossene Systeme und ihre Zukunft am Beispiel

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Software Analyse Das Untersuchen

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.06.2008 scip monthly Security Summary 19.6.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Fachartikel 6. Bilderrätsel 7. Impressum 1. Editorial Von

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2005

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.10.2005 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Kreuzworträtsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Kennzahlen und ITSecurity?

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2007 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Literaturverzeichnis 7. Impressum 1. Editorial Eingabeüberpüfung? Wozu?! Ich

Mehr

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11

Sun/Oracle Java Version: 1.6.0, neuer als 1.6.0_11 Systemanforderungen für EnlightKS Online Certification Management Services ET2.13 Juni 2011 EnlightKS Candidate, EnlightKS TestStation Manager, EnlightKS Certification Manager Betriebssystem: Microsoft

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.01.2006 scip monthly Security Summary 19.01.6 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Interview 6. Kreuzworträtsel 7. Literaturverzeichnis 8.

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2012 scip monthly Security Summary 19.4.2 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Risikomanagement

Mehr

Auskunft über die Kassendaten

Auskunft über die Kassendaten Landesamt für Finanzen Dienststelle München des Freistaates Bayern Auskunft über die Kassendaten Anmeldung am Terminalserver Bedienungsanleitung Stand: 31.01.2007 Inhaltsverzeichnis ALLGEMEINE UND TECHNISCHE

Mehr

Lebenszyklus einer Schwachstelle

Lebenszyklus einer Schwachstelle GRUNDLAGEN STATISTIKEN BERICHTE Lebenszyklus einer Schwachstelle Nach Bekanntwerden einer neuen Zero-Day-Schwachstelle hat der Hersteller ein Advisory veröffentlicht, in dem bis zur Fertigstellung eines

Mehr

Bitte beachten Sie die folgenden Systemvoraussetzungen um DocuWare installieren zu können:

Bitte beachten Sie die folgenden Systemvoraussetzungen um DocuWare installieren zu können: Bitte beachten Sie die folgenden Systemvoraussetzungen um DocuWare installieren zu können: DocuWare Server und Web Komponenten Hardware CPU-Kerne: mindestens 2 x 2,0 GHz, empfohlen 4 x 3,2 GHz RAM: mindestens

Mehr

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010

scip ag Contents 1. Editorial scip monthly Security Summary 19.07.2010 scip ag Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Infiltration eines Netzwerks Ein krimineller

Mehr

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Amt für Informatik Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH Anleitung vom 12. September 2009 Version: 1.0 Ersteller: Ressort Sicherheit Zielgruppe: Benutzer von SSLVPN.TG.CH Kurzbeschreib:

Mehr

SSL VPN Zugang Anleitung Version 1.3

SSL VPN Zugang Anleitung Version 1.3 Anleitung Version 1.3 Inhalt: 1. Allgemeine Informationen 2. Voraussetzungen für die Nutzung 3. Aufbau einer SSL Verbindung mit dem Microsoft Internet Explorer 4. Nutzung von Network Connect 5. Anwendungshinweise

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

UCS 2.4 Sicherheits-Update 3

UCS 2.4 Sicherheits-Update 3 UCS 2.4 Sicherheits-Update 3 Thema: Änderungen im Sicherheitsupdate 3 für UCS 2.4 Datum: 3. Mai 2011 Seitenzahl: 7 Versionsnummer: 8598 Autoren: Univention GmbH feedback@univention.de Univention GmbH Mary-Somerville-Straße

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.05.2008 scip monthly Security Summary 19.5.8 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Bilderrätsel 6. Impressum 1. Editorial Unter Blinden wird

Mehr

Einrichtung Ihres. Online Web-Mail Microsoft Outlook und Outlook Express Microsoft Windows Mail Mozilla Thunderbird

Einrichtung Ihres. Online Web-Mail Microsoft Outlook und Outlook Express Microsoft Windows Mail Mozilla Thunderbird Einrichtung Ihres E-MAIL ACCOUNTS Online Web-Mail Microsoft Outlook und Outlook Express Microsoft Windows Mail Mozilla Thunderbird Apple Mail Inhalt Eine einfache Schritt-für-Schritt Anleitung wie Sie

Mehr

Patch Management mit

Patch Management mit Patch Management mit Installation von Hotfixes & Patches Inhaltsverzeichnis dieses Dokuments Einleitung...3 Wie man einen Patch installiert...4 Patch Installation unter UliCMS 7.x.x bis 8.x.x...4 Patch

Mehr

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen)

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen) 6 NetWare-Clients Als Microsoft 1993 die ersten eigenen Betriebssysteme für Netzwerke (Windows for Workgroups und Windows NT) vorstellte, wurde die LAN-Industrie von Novell NetWare beherrscht. Um erfolgreich

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.04.2011 scip monthly Security Summary 19.4.11 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Das Gesetz

Mehr

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung!

Installation. Der Eindruck, die Software wäre gefährlich und ließe sich gar nicht installieren ist eine Täuschung! Installation TaxiLogbuch ist eine sogenannte Client-Server-Anwendung. Das Installationsprogramm fragt alle wichtigen Dinge ab und installiert entsprechend Client- und Server-Komponenten. Bei Client-Server-Anwendungen

Mehr

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011

Secure Coding & Live Hacking von Webapplikationen. Conect Informunity 8.3.2011 Secure Coding & Live Hacking von Webapplikationen Conect Informunity 8.3.2011 Dr. Ulrich Bayer Security Research Sicherheitsforschung GmbH Motivation Datendiebstahl über (Web)-Applikationen passiert täglich

Mehr

Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1

Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1 Microsoft-Sicherheitstools: Fragen und Antworten zum Microsoft Baseline Security Analyzer Version 1.1 (Engl. Originaltitel: Microsoft Baseline Security Analyzer (MBSA) Version 1.1 Q&A) Inhalt F: Welche

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.08.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Back to the Future Ich bin ein unermüdlicher Verfechter

Mehr

s c i p a g Contents 1. Editorial

s c i p a g Contents 1. Editorial Contents Bestimmt sind unterschiedliche Gründe dafür verantwortlich, weshalb es bis heute noch keine allgemeingültige und einheitliche Bewertung von Sicherheitsfaktoren gibt. 1. Editorial 2. scip AG Informationen

Mehr

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0

quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 quickterm 5.5.2 Systemvoraussetzungen Version: 1.0 16.02.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

quickterm 5.6.2 Systemvoraussetzungen Version: 1.1

quickterm 5.6.2 Systemvoraussetzungen Version: 1.1 quickterm 5.6.2 Systemvoraussetzungen Version: 1.1 26.04.2016 Inhaltsverzeichnis Inhaltsverzeichnis 1 Systemvoraussetzungen quickterm Server 3 2 Systemvoraussetzungen quickterm Client 5 3 Systemvoraussetzungen

Mehr

Systemanforderungen Daten und Fakten

Systemanforderungen Daten und Fakten Daten und Fakten NTConsult GmbH Lanterstr. 9 D-46539 Dinslaken fon: +49 2064 4765-0 fax: +49 2064 4765-55 www.ntconsult.de Inhaltsverzeichnis 1. für die Online-Dokumentation... 3 2. Server... 3 2.1 Allgemein...

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

Verwendung des Terminalservers der MUG

Verwendung des Terminalservers der MUG Verwendung des Terminalservers der MUG Inhalt Allgemeines... 1 Installation des ICA-Client... 1 An- und Abmeldung... 4 Datentransfer vom/zum Terminalserver... 5 Allgemeines Die Medizinische Universität

Mehr

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein.

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein. Systemanforderungen Die unten angeführten Systemanforderungen für Quark Publishing Platform sind grundlegende Anforderungen, Ihre Benutzerzahl, Asset-Anzahl und Anzahl der Asset-Versionen beeinflussen

Mehr

Betriebskonzept E-Mail Einrichtung

Betriebskonzept E-Mail Einrichtung Betriebskonzept E-Mail Einrichtung www.bolken.ch Klassifizierung öffentlich - wird an die E-Mail Benutzer abgegeben Versionenkontrolle Version Status Verantwortlich Datum 4.0 Genehmigt Gemeinderat 25.03.2015

Mehr

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration

DLS 7.0 Microsoft Windows XP Service Pack 2. Anleitung zur Konfiguration DLS 7.0 Microsoft Windows XP Service Pack 2 Anleitung zur Konfiguration Projekt: DLS 7.0 Thema: MS Win XP SP 2 Autor: Björn Schweitzer Aktualisiert von: Andreas Tusche am 18.08.2004 2:38 Dateiname: xpsp2.doc

Mehr

RemoteApp für Terminaldienste

RemoteApp für Terminaldienste RemoteApp für Terminaldienste Mithilfe der Terminaldienste können Organisationen nahezu jeden Computer von nahezu jedem Standort aus bedienen. Die Terminaldienste unter Windows Server 2008 umfassen RemoteApp

Mehr

Installation und Aktivierung von Norton 360

Installation und Aktivierung von Norton 360 Installation und Aktivierung von Norton 360 Sie haben sich für die Software N360 PC entschieden. So installieren und aktivieren Sie Norton 360: Systemvoraussetzungen Bevor Sie die Installation und Aktivierung

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

Systemanforderungen Daten und Fakten

Systemanforderungen Daten und Fakten Daten und Fakten buchner documentation GmbH Lise-Meitner-Straße 1-7 D-24223 Schwentinental Tel 04307/81190 Fax 04307/811999 www.buchner.de Inhaltsverzeichnis 1. für die Online-Dokumentation... 3 2. Server...

Mehr

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH

Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH Version 1.3 März 2014 Merkblatt: Sichere E-Mail-Kommunikation zur datenschutz cert GmbH 1. Relevanz der Verschlüsselung E-Mails lassen sich mit geringen Kenntnissen auf dem Weg durch die elektronischen

Mehr

Address/CRM 3.0 Axapta Client Setup

Address/CRM 3.0 Axapta Client Setup pj Tiscover Travel Information Systems AG Maria-Theresien-Strasse 55-57, A-6010 Innsbruck, Austria phone +43/512/5351 fax +43/512/5351-600 office@tiscover.com www.tiscover.com Address/CRM 3.0 Axapta Client

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2012 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

:: Anleitung Demo Benutzer 1cloud.ch ::

:: Anleitung Demo Benutzer 1cloud.ch :: :: one source ag :: Technopark Luzern :: D4 Platz 4 :: CH-6039 Root-Längenbold LU :: :: Fon +41 41 451 01 11 :: Fax +41 41 451 01 09 :: info@one-source.ch :: www.one-source.ch :: :: Anleitung Demo Benutzer

Mehr

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE

Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Installation WWS-LITE2-LAGER.EXE / WWS-LITE2-INVENTUR.EXE Schritt für Schritt Anleitung! Tipp: Drucken Sie sich das Dokument aus und befolgen Sie jeden einzelnen Schritt. Dann wird es funktionieren! Inhaltsverzeichnis

Mehr

SMTP-Verfahren POP-Verfahren IMAP-Verfahren

SMTP-Verfahren POP-Verfahren IMAP-Verfahren IT Zertifikat Mailserver 01 Server Mailserver Protokolle Teil des Client-Server-Modells bietet Dienste für lokale Programme/ Computer (Clients) an -> Back-End-Computer Ausbau zu Gruppe von Servern/ Diensten

Mehr

Software / Cross Media Design KERIO MailServer

Software / Cross Media Design KERIO MailServer Software / Cross Media Design KERIO MailServer Seite 1 / 5 KERIO - Kerio MailServer Der MailServer von Kerio für Mac OS X, Windows, Red Hat und SUSE Linux bietet u. a. folgende Features: * Verschlüsselte

Mehr

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0

quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 quickterm 5.6.0 Systemvoraussetzungen Version: 1.0 06.07.2015 Inhaltsverzeichnis Inhaltsverzeichnis 1 Server 3 2 Client 5 3 Web 6 4 Studio Plug-In 7 2 quickterm 5.6.0 - Systemvoraussetzungen Server 1 1

Mehr

MetaQuotes Empfehlungen zum Gebrauch von

MetaQuotes Empfehlungen zum Gebrauch von MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden

Mehr

ISA Server 2004 - Best Practice Analyzer

ISA Server 2004 - Best Practice Analyzer ISA Server 2004 - Best Practice Analyzer Die Informationen in diesem Artikel beziehen sich auf: Microsoft ISA Server 2004 Seit dem 08.12.2005 steht der Microsoft ISA Server 2004 Best Practice Analyzer

Mehr

Zugriff auf die elektronischen Datenbanken

Zugriff auf die elektronischen Datenbanken Zugriff auf die elektronischen Datenbanken Anleitung Version 2013.1 Beschreibung der Dienstleistung VSnet stellt seinen Mitgliedern einen Zugang auf elektronische Datenbanken zur Verfügung. Nur die Mitglieder

Mehr

Cisco AnyConnect VPN Client - Anleitung für Windows7

Cisco AnyConnect VPN Client - Anleitung für Windows7 Cisco AnyConnect VPN Client - Anleitung für Windows7 1 Allgemeine Beschreibung 2 2 Voraussetzungen für VPN Verbindungen mit Cisco AnyConnect Software 2 2.1 Allgemeine Voraussetzungen... 2 2.2 Voraussetzungen

Mehr

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. ewon - Technical Note Nr. 003 Version 1.2 Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite. Übersicht 1. Thema 2. Benötigte Komponenten 3. Downloaden der Seiten und aufspielen auf

Mehr

Installation und Aktivierung von Norton AntiVirus

Installation und Aktivierung von Norton AntiVirus Installation und Aktivierung von Norton AntiVirus Sie haben sich für die Software Norton AntiVirus PC entschieden. So installieren und aktivieren Sie Norton AntiVirus: Systemvoraussetzungen Bevor Sie die

Mehr

Microsoft Office 2010

Microsoft Office 2010 Microsoft Office 2010 Office-Anpassungstool Author(s): Paolo Sferrazzo Version: 1.0 Erstellt am: 15.06.12 Letzte Änderung: - 1 / 12 Hinweis: Copyright 2006,. Alle Rechte vorbehalten. Der Inhalt dieses

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2014. Alle Rechte vorbehalten. Dokumentenversion 2.0 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Marketing Update. Enabler / ENABLER aqua / Maestro II

Marketing Update. Enabler / ENABLER aqua / Maestro II Marketing Update Enabler / ENABLER aqua / Maestro II Quartal 01/2013 1 Kommentar des Herausgebers Liebe Kunden und Partner, dieser Marketing Update gibt Ihnen einen kurzen Überblick über die aktuell verfügbaren

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. IInsttallllattiionslleiittffaden Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz. Voraussetzungen Für die Installation

Mehr

Client-Anpassungen für ExpertAdmin Server 2008

Client-Anpassungen für ExpertAdmin Server 2008 Client-Anpassungen für ExpertAdmin Server 2008 Dokument History Datum Autor Version Änderungen 15.04.2009 Andreas Flury V01 Erste Fassung 21.04.2009 Andreas Flury V02 Präzisierungen bez. RDP Client Einführung

Mehr

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH

Security-Webinar. Februar 2015. Dr. Christopher Kunz, filoo GmbH Security-Webinar Februar 2015 Dr. Christopher Kunz, filoo GmbH Ihr Referent _ Dr. Christopher Kunz _ CEO Hos4ng filoo GmbH / TK AG _ Promo4on IT Security _ X.509 / SSL _ Vorträge auf Konferenzen _ OSDC

Mehr

Anleitung zum Prüfen von WebDAV

Anleitung zum Prüfen von WebDAV Anleitung zum Prüfen von WebDAV (BDRS Version 8.010.006 oder höher) Dieses Merkblatt beschreibt, wie Sie Ihr System auf die Verwendung von WebDAV überprüfen können. 1. Was ist WebDAV? Bei der Nutzung des

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden

Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden ACT! 10 Premium ST Gezieltes Kontakt- und Kundenmanagement. Die Software für Ihren Erfolg 2,8 Millionen Anwender weltweit! Installationsleitfaden ACT! 10 Premium ST Installationsleitfaden ACT! 10 Premium

Mehr

und das Geld sprechen) - Verantwor- Dinge falsch koordiniert wurden, weil beispielsweise

und das Geld sprechen) - Verantwor- Dinge falsch koordiniert wurden, weil beispielsweise Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Kreuzworträtsel 5. Impressum 1. Editorial Sicherheit erfordert Professionalität Ich bin nun doch schon einige Jahre als Consultant

Mehr

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer

Softwaresicherheit. Sicherheitsschwachstellen im größeren Kontext. Ulrich Bayer Softwaresicherheit Sicherheitsschwachstellen im größeren Kontext Ulrich Bayer Conect Informunity, 30.1.2013 2 Begriffe - Softwaresicherheit Agenda 1. Einführung Softwaresicherheit 1. Begrifflichkeiten

Mehr

COSA. Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand 01.08.2005-08-16. Copyright

COSA. Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand 01.08.2005-08-16. Copyright Portal Client Installation JAVA J2SE / JRE Version 1.4.2_09, Stand 01.08.2005-08-16 Änderungen in Dokumentation und Software sind vorbehalten! Copyright Copyright 2005 COSA GmbH Alle Rechte vorbehalten.

Mehr

Die DeskCenter Management Suite veröffentlicht neue Version 8.1

Die DeskCenter Management Suite veröffentlicht neue Version 8.1 Die DeskCenter Management Suite veröffentlicht neue Version 8.1 Neues im Basis Modul Benutzerdefinierte Felder Die DeskCenter Management Suite erlaubt nun das Erstellen von selbst definierten Eingabefeldern.

Mehr

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)

Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2) Inhalt Convision IP-Videoserver und die Sicherheitseinstellungen von Windows XP (SP2)... 1 1. Die integrierte Firewall von Windows XP... 2 2. Convision ActiveX und Internet Explorer 6... 3 3. Probleme

Mehr

Systemempfehlungen Sage HWP

Systemempfehlungen Sage HWP Rocongruppe Systemempfehlungen Sage HWP Robert Gabriel http://www.hwp-software.de Inhalt Einzelplatzrechner:... 2 Thema Microsoft Office... 3 Server/Netzwerke... 3 Hinweis SBS Server mit Exchange... 4

Mehr

Systemanforderungen für MuseumPlus und emuseumplus

Systemanforderungen für MuseumPlus und emuseumplus Systemanforderungen für MuseumPlus und emuseumplus Systemanforderungen für MuseumPlus und emuseumplus Gültig ab: 01.03.2015 Neben den aufgeführten Systemvoraussetzungen gelten zusätzlich die Anforderungen,

Mehr

Technische Hinweise zu Installation und Freischaltung von Zeitschriften- und Kommentar-CD/DVD

Technische Hinweise zu Installation und Freischaltung von Zeitschriften- und Kommentar-CD/DVD Technische Hinweise zu Installation und Freischaltung von Zeitschriften- und Kommentar-CD/DVD 1. Hard- Softwarevoraussetzungen für die Installation Hardware Prozessor Arbeitsspeicher Freier Festplattenplatz

Mehr

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30 Copyright Brainloop AG, 2004-2015. Alle Rechte vorbehalten. Dokumentenversion: 1.1 Sämtliche verwendeten Markennamen und Markenzeichen

Mehr

Systemvoraussetzungen

Systemvoraussetzungen Systemvoraussetzungen Inhaltsübersicht 1. ELOprofessional 2011 1.1. Server 2011 1.2. ELO Windows Client 2011 1.3. ELO Java Client 2011 1.4. ELO Webclient 2011 1.5. ELO Client for Microsoft Outlook 1.6.

Mehr

SANDBOXIE konfigurieren

SANDBOXIE konfigurieren SANDBOXIE konfigurieren für Webbrowser und E-Mail-Programme Dies ist eine kurze Anleitung für die grundlegenden folgender Programme: Webbrowser: Internet Explorer, Mozilla Firefox und Opera E-Mail-Programme:

Mehr

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements

Pallas GmbH und Secunia präsentieren. Compliance und Nutzen eines automatisierten Patch Managements Pallas GmbH und Secunia präsentieren Compliance und Nutzen eines automatisierten Patch Managements Software-Schwachstellen Fehler im Anwendungscode: Sicherheitsrisiken Funktionalität Eine Schwachstelle,

Mehr

s c i p a g Contents 1. Editorial 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Fachartikel 5. Kreuzworträtsel 6.

s c i p a g Contents 1. Editorial 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Fachartikel 5. Kreuzworträtsel 6. Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Fachartikel 5. Kreuzworträtsel 6. Impressum 1. Editorial IT-Security im Auto Das Fortbewegungsmittel nummer eins unserer Gesellschaft

Mehr

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier

Carsten Eilers. Ajax Security. Sichere Web-2.0-Anwendungen. ntwickier Carsten Eilers Ajax Security Sichere Web-2.0-Anwendungen ntwickier Ajax, aber sicher! Geschichte Der Aufbau des Buchs Danksagung und Widmung Der Autor Ajax - Grundlagen Vom Web 1.0 zum Web 2.0 XMLHttp

Mehr

DOK. ART GD1. Citrix Portal

DOK. ART GD1. Citrix Portal Status Vorname Name Funktion Erstellt: Datum DD-MMM-YYYY Unterschrift Handwritten signature or electronic signature (time (CET) and name) 1 Zweck Dieses Dokument beschreibt wie das auf einem beliebigem

Mehr

Checkliste. Installation NCP Secure Enterprise Management

Checkliste. Installation NCP Secure Enterprise Management Checkliste Installation NCP Secure Enterprise Management Bitte lesen Sie vor der (Test-)Installation dieses Dokument aufmerksam durch und stellen es unserem Servicetechniker / SE komplett ausgefüllt zur

Mehr

Installation und Aktivierung von Norton Internet Security

Installation und Aktivierung von Norton Internet Security Installation und Aktivierung von Norton Internet Security Sie haben sich für die Software Norton Internet Security Mac entschieden. So installieren und aktivieren Sie Norton Internet Security: Systemvoraussetzungen

Mehr

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

2. Installation unter Windows 8.1 mit Internetexplorer 11.0 1. Allgemeines Der Zugang zum Landesnetz stellt folgende Anforderungen an die Software: Betriebssystem: Windows 7 32- / 64-bit Windows 8.1 64-bit Windows Server 2K8 R2 Webbrowser: Microsoft Internet Explorer

Mehr

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS Auch wenn viele kommerzielle Angebote im Internet existieren, so hat sich MetaQuotes, der Entwickler von MetaTrader 4, dazu entschieden

Mehr

E-Mail-Verschlüsselung mit Geschäftspartnern

E-Mail-Verschlüsselung mit Geschäftspartnern E-Mail-Verschlüsselung mit (Anleitung für Geschäftspartner) Datum: 13.07.2011 Dokumentenart: Anwenderbeschreibung Version: 3.0 : Redaktionsteam PKI cio.siemens.com Inhaltsverzeichnis 1. Zweck des Dokumentes:...3

Mehr

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011

s c i p a g Contents 1. Editorial scip monthly Security Summary 19.03.2011 Contents 1. Editorial 2. scip AG Informationen 3. Neue Sicherheitslücken 4. Statistiken Verletzbarkeiten 5. Labs 6. Bilderrätsel 7. Impressum 1. Editorial Meine kurze Geschichte des Security Testing Mit

Mehr

Installationshandbuch

Installationshandbuch Installationshandbuch Erforderliche Konfiguration Installation und Aktivierung - 1 - Erforderliche Konfiguration Programme der 4D v15 Produktreihe benötigen folgende Mindestkonfiguration: Windows OS X

Mehr

Dynamische Web-Anwendung

Dynamische Web-Anwendung Dynamische Web-Anwendung Christiane Lacmago Seminar Betriebssysteme und Sicherheit Universität Dortmund WS 02/03 Gliederung Einleitung Definition und Erläuterung Probleme der Sicherheit Ziele des Computersysteme

Mehr

Systemvoraussetzungen

Systemvoraussetzungen Systemvoraussetzungen Sage Office Line Evolution 2010 1 Anmerkungen...2 2 Hardware-Anforderungen...3 3 Software-Anforderungen...4 4 Weitere Hinweise...6 5 Einschränkungen bezüglich Sage Business Intelligence...7

Mehr

Installationsanleitung biz Version 8.0.0.0

Installationsanleitung biz Version 8.0.0.0 bizsoft Büro Software A-1040 Wien, Waaggasse 5/1/23 D-50672 Köln, Kaiser-Wilhelm-Ring 27-29 e-mail: office@bizsoft.de internet: www.bizsoft.de Installationsanleitung biz Version 8.0.0.0 Die biz Vollversion

Mehr

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7 BSI-Veröffentlichungen zur Cyber-Sicherheit ANALYSEN Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen Auswirkungen der Konfiguration auf den Schutz gegen aktuelle Drive-by-Angriffe Zusammenfassung

Mehr