Certezza Omvärldsnyheter

Sårbarheter funna i EPiServer CMS

Wed, 08 Feb 2012 00:00:00 GMT

Det har uppdagats två sårbarheter i EPiServer CMS, version 5 och 6.

Den första är en sårbarhet gör det möjligt att höja sina privilegier, från redaktör till "WebAdmin". Om sårbarheten går att utnyttja beror på om viss funktionalitet är påslagen eller ej.

Den andra sårbarheten är cross-site scripting (XSS) i administrationsgränsnittet. Denna typ av sårbarhet innebär att det går att få valfri javascript och/eller HTML-kod att exekvera men den inloggade användarens privilegier.

Mer information finns att läsa här:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1031
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1034

Allvarlig sårbarhet i Microsofts IP-stack

Thu, 10 Nov 2011 00:00:00 GMT

Förvanskade UDP-paket som skickas till ett valfritt portnummer, oavsett om det är allokerat till någon service eller ej, kan ge access till kärnan. Detta är mycket allvarligt och så vitt vi kan bedöma så skyddar inte heller den inbyggda brandväggen från denna sårbarhet. En översyn av övrigt perimeterskydd är en stark rekommendation. Se vidare MS11-083

Ytterligare en certifikatsattack

Wed, 07 Sep 2011 00:00:00 GMT

Detta är den tredje notisen på mindre än ett halvår som vi på Certezza lägger ut på nätet som handlar om en lyckad attack mot en certifikatsutfärdare. Denna gång är det inte någon liten utfärdare, utan en stor holländsk aktör som

Ägs av Vasco
Användes av den holländska staten för att ge ut organisationscertifikat
Var certifierade att ge ut kvalificerade certifikat enligt den holländska lagen om elektroniska signaturer (jämför med den svenska lagen (2000:832) om kvalificerade elektroniska signaturer)
Hade rot-certifikat certifierade enligt Webtrust för spridning i mjukvarutillverkarnas certifikatslager

De som attackerade DigiNotar gav ut minst 500 certifikat till sig själva. Det är ännu oklart exakt hur många och till vilka domäner; säkerhetsföretagen som analyserar attacken har funnit att många certifikat givits ut utan att det kan följas i loggarna. Exempel på certifikat som givits ut är *.google.com, *.microsoft.com och www.facebook.com. Man har också passat på att utfärda certifikat som sedan kan användas som utfärdar-certifikat.

Mjukvaruföretagen som tagit med DigiNotar i sina certifikatslistor (trust stores) har haft bråda dagar att skicka ut uppdateringar för att spärra att programmen litar på certifikat utgivna av DigiNotar. Det har gått så långt att rot-certifikaten för utfärdaren nu har lagts på "svarta listan". Troligen kommer företaget aldrig mer kunna sälja certifikat baserade på den PKI man byggt upp, utan man måste göra allt från början igen. Detta visar hur skör tilliten är när något går snett och att man vid bygge av ett PKI har säkerheten som främsta mål. Att använda HSM:er som nyckelförvaring är nog det minsta man kan kräva.

Mer information finns att läsa i http://www.diginotar.nl/Portals/7/Persberichten/Operation%20Black%20Tulip%20v1.0a.pdf

En sak till!

I skrivande stund har även GlobalSign sagt sig utreda ett påstått intrång. Under tiden som deras utredning pågår så ges inga nya certifikat ut. Detta enligt en pressrelease företaget släppte den 6/9 med uppdatering 7/9: http://www.globalsign.com/company/press/090611-security-response.html

Kammarkollegiets upphandling Licensförsörjning 2010 är äntligen klar

Thu, 18 Aug 2011 11:00:00 GMT

Efter många om och men är nu äntligen Kammarkollegiets upphandling Licensförsörjning 2010 i hamn. Certezza finns med som underleverantör till två av vinnarna vilket ger oss ännu fler möjligheter att leverera lösningar till offentlig sektor.

Proteus får god kritik

Mon, 01 Aug 2011 09:00:00 GMT

IDG's tidning TechWorld har uppmärksammat det för många välkända problemet att hantera stora mängder IP-adresser i nätverket. Det vanligaste alternativet är att dokumentera tilldelningen av adresser med hjälp av Excel-ark. Men ju större nätverket är och ju fler tekniker som är inblandade, ju svårare blir det att upprätthålla en aktuell dokumentation. Det finns andra lösningar på marknaden och sedan några år säljer vi på Certezza Proteus från BlueCat. Just denna produkt fick mycket bra kritik av testen som TechWorld utförde (http://www.idg.se/2.1085/1.395617).

Utöver det som TechWorld skriver så hanterar Proteus även DNSSEC på de DNS-servrar som BlueCat tillverkar (Adonis). Sammantaget är Proteus en mycket stark produkt som hanterar både IP-adresshantering (IPAM, IP Address Management) och DNSSEC.

Vill ni ha ytterligare information om Proteus, kontakta sales@certezza.net.

Sårbarhet (CVE-2011-2464)

Wed, 06 Jul 2011 09:00:00 GMT

ISC publicerade igår (5 Juli 2011) sårbarheten CVE-2011-2464 som påträffas i flera olika versioner av BIND 9. Bluecat Networks har släppt två olika patchar för att säkra BIND-versionen som körs på olika versioner av Adonis:

V6.1.1, v6.1.0, v6.0.2.19, v6.0.1.19, 5.5.4.14, 5.5.3.6, 5.5.2.14
V6.5.0 & v6.5.0-A

Kontakta Certezza Support via telefon på 08-791 92 02 eller epost support@certezza.net för tillgång till rätt instruktioner och rätt patch för er miljö.

Läs mer

ISC BIND 9 Remote packet Denial of Service against Authoritative and Recursive Servers

Comodo-liknande attack

Fri, 01 Jul 2011 09:00:00 GMT

[Artikeln är rättad 2011-07-06]

Certifikatsutfärdaren StartCom som säljer StartSSL, har blivit utsatt för ett intrång. StartComs root-certifikat finns med bland de som de flesta operativsystem och webbläsare litar på, vilket gör att en sådan här attack är allvarlig. Risken med intrång mot certifiaktsåterförsäljare är att certifikat då kan skapas till helt fel mottagare och användas för att lura användare att de kommit till en säker webbsida. Denna attack som skedde den 15/6, misslyckade med att få ut något falskt certifikat.

Comodo utsattes i mars för en liknande attack, då förövarna lyckades komma över certifikat till domännamnen login.live.com, addons.mozilla.org, login.skype.com, login.yahoo.com, mail.google.com samt www.google.com. Dessa certifikat kunde sedan användas till att läggas på fejkade inloggningssidor och på så sätt lura användare att av ge användarnamn och lösenord (phishing). Certifikaten från mars är spärrade i de flesta stora leverantörers certifikatslagringsytor (certificate store), t.ex. kan du hitta dem i Microsofts certmgr.msc under "Untrusted Certificates".

DANE

Thu, 09 Jun 2011 10:00:00 GMT

Arbete pågår inom IETF med att knyta certifikat till DNS och därmed ha tillit direkt mot domänen istället för en Certificate Authority. Detta kan göras i och med att man har DNSSEC och en tillitskedja från DNS-roten ner till den enskilda domänen. Fördelen är att man har bara en punkt där certifikatet kan utfärdas samt att de kan revokeras på ett effektivt sätt. Utnyttjandet av DNS kan ses som ett substitut eller som ett komplement till valideringen av certifikat, allt beroende på vilket tillvägagångssätt som väljs.

Mer information går att finna hos arbetsgruppen DANE (DNS-based Authentication of Named Entities) eller på Säkerhetsdagen.

Läs mer

http://datatracker.ietf.org/doc/draft-ietf-dane-protocol/

Allvarlig bugg: Portwise - Windows7 SP1

Thu, 24 Feb 2011 12:00:00 GMT

Microsoft släppte igår Service Pack 1 till Windows7, efter installation av denna uppdatering så slutar RDP sessioner helt att fungera genom Portwise. Problemet manifesterar sig på så vis att datorn låser sig och en omstart av datorn genom att bryta strömmen är nödvändig.

Buggen har rapporterats till Portwise och vi hoppas på snabb åtgärd.

Har ni ytterligare frågor är ni välkomna att kontakta oss på support@certezza.net alternativt telefon: 08-791 9202

Nu sinar IPv4 adresserna på allvar

Tue, 01 Feb 2011 00:00:00 GMT

Internet Assigned Numbers Authority (IANA) som har ett globalt ansvarar för tilldelningen av IP-adresser har nyligen delat ut två stycken /8-block till APNIC (den asiatiska organisationen). Därmed är det bara fem /8-block kvar och dessa kommer inom kort att fördelas broderligt till de fem regionala organisationerna (AfriNIC, APNIC, ARIN, LACNIC och RIPE NCC). Därmed är det slut på IPv4-adresser att fördela från globalt håll. Givetvis kommer det att finnas IPv4-adresser en tid till längre ner i leden, exempelvis hos operatörerna, men det finns inget mer att tillföra centralt varför det nu är hög tid att påbörja arbetet med att införa IPv6.

En genomlysning av Hardware Security Modules (HSM)

Wed, 12 Jan 2011 00:00:00 GMT

Certezza har på uppdrag av .SE genomfört en genomlysning av fyra ledande nätbaserade Hardware Security Modules (HSM).

Läs mer här: http://www.opendnssec.org/2011/01/12/a-review-of-hardware-security-modules/

E-legitimationsnämnden och Svensk e-legitimation

Wed, 22 Dec 2010 00:00:00 GMT

Utredningen om bildande av en e-legitimationsnämnd har nu överlämnat betänkandet E-legitimationsnämnden och Svensk e-legitimation (SOU 2010:104). Betänkande är en mycket tydlig fingervisning hur en svensk identitetsfederation är på väg att växa fram. Flera bedömare hävdar att detta är en revolution inom det svenska e-legitimationsområdet. Vi ser det snarare som en naturlig evolution där dagens slutna system ersätts med ett modernare och betydligt flexiblare system.

Betänkandet finns i sin helhet här: http://www.regeringen.se/sb/d/12840/a/158256

En allvarlig sårbarhet har identifierats i Internet Explorer

Thu, 04 Nov 2010 00:00:00 GMT

En allvarlig sårbarhet har identifierats i Internet Explorer 6.x/7.x/8.x som leder till att godtycklig kod kan exekveras på systemet. För tillfället finns inget skydd mot denna sårbarhet. Se http://www.sitic.se/sarbarheter/sr/sr10-208-microsoft-0day-i-internet-explorer.

För närvarande rekommenderar Certezza användning av andra webbläsare än Internet Explorer tills problemet åtgärdats.

Vägledningar från DNSSEC och IPv6

Wed, 20 Oct 2010 00:00:00 GMT

E-delegationen har i samarbete med Sveriges Kommuner och Landsting (SKL) och Kommunförbundet Stockholms Län (KSL) skapat vägledningar för kommuner, landsting och myndigheter som vill införa IPv6 eller DNSSEC. Vägledningen är skriven så att den även är användbar för näringslivet och syftet är att ge handfast vägledning för att snabbt och smidigt kunna införa IPv6 och DNSSEC.

Mer information finns här:
http://www.edelegationen.se/sida/vagledningar
http://www.skl.se/web/Vagledning_for_kommuner_som_vill_infora_IPV6_och_DNSSEC.aspx

Nytt verktyg från Microsoft

Wed, 13 Oct 2010 00:00:00 GMT

Microsoft har släppt ett tool för att testa regexp. Testa dina expressions efter sårbarheter. Läs mer

Nytt rootcertifikat till SiriusITs infratjänst

Mon, 13 Sep 2010 00:00:00 GMT

Sirius ITs servercertifikat för eID-infratjänstengår alldeles snart ut, den 16/9-2010. De har i god tid införskaffat ett nytt certifikat, men har upptäckt vid publika tester att vissa kunder inte kan köra tjänst med detta certifikat. Problemet är att detta nya certifikat är att det är utgivet med ett nytt root certifikat "Thawte Primary Root CA.pem" och saknar man detta rootcertifikat på tjänste servern (servrarna) fungerar inte tjänsten.

För att lösa detta i PortWise, gör följande åtgärder:

Spara ned rootcertifikatet härifrån
Logga in på PortWise-servern.
Gå till "Manage System -> Certificates. Välj "Add Certificate Authority..."
Fyll i "Display Name" = Thawte Primary Root 2010".
Peka ut sökvägen till certifikatsfilen.
Kryssa i "No certificate revocation checking should be performed".
Spara och publicera.

Test av administrationsverktyg för DNSSEC

Wed, 30 Jun 2010 00:00:00 GMT

Certezza har på uppdrag av .SE genomfört en andra testgenomgång av administrativa verktyg för DNSSEC. Den här gången har vi lagt till ytterligare tre tillverkare och har totalt åtta verktyg.
Läs mer här: http://www.iis.se/domaner/teknik/dnssec/test-av-verktyg

SQL injection slår till igen - 168 000 personuppgifter exponerade

Tue, 18 May 2010 00:00:00 GMT

En hackare har med hjälp av SQL injection lyckats komma över 168 000 personkonton från en webbplats för kollektivtrafik i Holland. Hackaren har också lagt ut en video där attacken beskrivs i detalj. Läs mer här.