Auf diesem Blog können Mitarbeiter:innen von CERT.at Beiträge veröffentlichen. Da dies möglichst unbürokratisch abläuft, werden die darin vertretenen Meinungen nicht immer auch von CERT.at vertreten.
Der CERT.at Blog kann alternativ auch als Feed bezogen werden.
Jun 06
Hinweis für Debian-Benutzer bei OpenSSL Upgrade
Again, Openssl was the centre of patching in the last two days. While Debian was quick to release a patched version, it seems like Debian forgot to restart some services which link against openssl (libssl) get restarted.Here is how you can check with services use which version of openssl:
root@hostname:~# ...
May 30
FTP Zugangsdaten
Wie Heise berichtet, hat das BSI/CERT-Bund viele Provider informiert, dass Zugangsdaten zu FTP-Accounts gefunden wurden.Das betraf nicht nur Deutschland; die gleiche Quelle hat auch andere CERTs und Sicherheitsteams informiert. Wir bekamen die gleichen Daten wie unsere deutschen Kollegen, und auch ...
Apr 29
Heartbleed FAQ
Wir haben jetzt auch unsere Version einer FAQ zu "Heartbleed" veröffentlicht.Dieses Dokument ist kein finaler Bericht, sondern eine Bestandsaufnahme, die mit neuen Daten aktualisiert werden wird. So sind wir etwa dabei, den Status in Österreich noch genauer zu vermessen.
Autor: Otmar ...
Apr 24
Abgeschlossen: Wartungsarbeiten Mailing-Listen-Server 24. April 2014
Am Nachmittag des 24. April werden wir Wartungsarbeiten an unserem Mailing-Listen-Server (lists.cert.at) durchführen.Auswirkungen:
* verzögerte Zustellung von Listen-Mails
* Administrations-Interface (Subscribe/Unsubscribe etc.) der Mailing-Listen nicht verfügbar
* Mailing-Listen-Archive ...
* verzögerte Zustellung von Listen-Mails
* Administrations-Interface (Subscribe/Unsubscribe etc.) der Mailing-Listen nicht verfügbar
* Mailing-Listen-Archive ...
Apr 09
"Heartbleed"-Lücke - Chance nutzen
Wie F-Secure in einem Blog-Post schreibt, sollten Administratoren die Aufräumarbeiten im Zuge der "Heartbleed"-Lücke auch gleich nutzen, um die entsprechenden Konfigurationen auf aktuellen Stand zu bringen.
F-Secure empfiehlt dazu den OWASP Transport Layer Protection Cheat Sheet, wir schliessen ...
Mar 28
New PGP keys
At CERT.at we had to phase out some old 1024 bit DSA keys as well as create new master-signing keys. Â This turned out to be a major effort. Key roll-overs are never easy.In order to easy the key roll-over pains, we created a key transition document. This document is signed by the old keys in order ...
Mar 04
Aktuelle Bugs in GnuTLS
Das GnuTLS-Projekt meldet zwei aktuelle Bugs, davon einen der in den Auswirkungen an das letzte Apple SSL-Problem erinnert.Für die meisten (Unix/Linux, wo GnuTLS wohl die grösste Verbreitung hat) Benutzer ist dies jetzt wohl keine grosse Tragödie, da diese Bibliothek meist durch die ...
Feb 28
MySQL-Datenbank-Zugang ohne Passwort
Wie Sergei Golubchik (MariaDB-Sicherheitskoordinator) auf der oss-sec Mailing-Liste bekanntgegeben hat, ist der Zugriff auf diverse MySQL- und MariaDB-Datenbankserver mit falschen Passwörtern möglich - wenn man es nur oft genug versucht. Mit einer einfachen 'for'-Schleife sind hunderte Anfragen ...
Jan 20
Backdoor in WLAN-Routern/DSL-Modems mehrerer Hersteller
Der Reverse Engineer Eloi Vanderbeken hat Ende letzten Jahres eine undokumentierte Hintertür in seinem Linksys WAG200G entdeckt und analysiert. Weitere Router-Modelle sind ebenfalls betroffen - zahlreiche Medien haben bereits berichtet. Die Geräte lassen sich über TCP-Port 32764 ansprechen ...
Jan 15
Schadsoftware statt Rechnungen
Eine der klassischen Finten, um Opfer zur Mitarbeit bei der Malware-Infektion des eigenen PCs zu bewegen ist, Mails mit hinreichend interessanten Stories zu erfinden.Eine Zeit lang waren das Meldungen von Paketdiensten "Ihre Paketsendung geht verloren, wenn sie jetzt nicht klicken!", Drohungen von ...