Auf diesem Blog können Mitarbeiter:innen von CERT.at Beiträge veröffentlichen. Da dies möglichst unbürokratisch abläuft, werden die darin vertretenen Meinungen nicht immer auch von CERT.at vertreten.

Der CERT.at Blog kann alternativ auch als Feed bezogen werden.


Apr 30

CVD - Notizen zur Pressekonferenz

Ich wurde heute eingeladen, bei einer Pressekonferenz am Podium zu sitzen, wo es um eine Anzeige nach einer verantwortungsvollen Offenlegung einer Schwachstelle ging. Ich will hier kurz meine Notizen / Speaking Notes zusammenfassen.

Verfasst von: Otmar Lendl

Apr 26

NIS2 – Richtlinie: Ein zweiter Blick auf den Text

Beim Schreiben unserer Stellungnahmen zum Entwurf des NISG 2024 habe ich mir die Paragrafen, die uns betreffen, genauer angesehen. Diesmal nicht mit dem Blickwinkel „macht das Sinn“, sondern mit Fokus auf die Formulierungen.

Verfasst von: Otmar Lendl

Apr 18

Stellungnahme von CERT.at zum NISG 2024

Das Gesetz, dass die NIS2 Richtlinie umsetzten wird, liegt zur Begutachtung auf. CERT.at hat den Text gelesen und die folgende Stellungnahmen verfasst.

Verfasst von: Otmar Lendl

Apr 02

Staatlich gesponserte "Entwicklung" quelloffener Software

Alternativ hätte dieser Blogpost auch einen deutlich knackigeren Titel haben können - "CVE-2024-3094", um jene geht es in diesem Beitrag nämlich. Diese Sicherheitslücke in einer populären Implementation des "xz"-Dateiformates, welche mit an Sicherheit grenzender Wahrscheinlichkeit keine einfache Schwachstelle, sondern eine bewusst platzierte Hintertür ist, hat in den vergangenen Tagen durchaus für Aufregung gesorgt. Diese Hektik und Nervosität ..

Verfasst von: Alexander Riepl

Jan 25

Ablauf einer Schwachstellen-Information durch CERT.at am Beispiel Ivanti Connect Secure VPN (CVE-2024-21887, CVE-2023-46805)

Am Mittwoch 10.01.24 17:48 veröffentlichte Ivanti die Information bezüglich der Schwachstellen CVE-2024-21887 und CVE-2023-46805 in ihrem Produkt Connect Secure VPN (früher Pulse Connect VPN).

Verfasst von: Erik Huemer

Oct 19

Es cyberwar't wieder. Oder so.

Wie schon zu Beginn des Krieges in der Ukraine vor inzwischen eineinhalb Jahren kam es auch kurz nach den Ereignissen, die am 07.10.2023 Israel erschüttert haben, relativ schnell zu Berichten über die mögliche Rolle von Cyberangriffen in diesem Konflikt.

Verfasst von: Alexander Riepl

Oct 13

GNOME what I'm sayin'? - GNOME libcue 0-click vulnerability

Am 10. Oktober wurde CVE-2023-43641 veröffentlicht, eine 0-click out-of-bounds array access Schwachstelle in libcue. GNOME verwendet diese Library zum Parsen von cuesheets beim Indizieren von Dateien für die Suchfunktion. Wie schlimm ist es?

 

Verfasst von: Thomas Pribitzer

Oct 12

Well, this SOCKS - curl SOCKS 5 Heap Buffer Overflow (CVE-2023-38545)

Nach einer Vorankündigung in der letzten Woche wurde gestern eine als High eingestufte Schwachstelle in curl veröffentlicht. Was ist dran an der Severity und warum ist CVSS manchmal etwas schwierig?

Verfasst von: Thomas Pribitzer

Sep 12

Das European Cyber Shield

Die EU will im Rahmen vom "Digital Europe Programme" Förderungen und über einen neuen "Cyber Solidarity Act" die Sicherheit der EU stärken.

Ich hab mir dazu Gedanken gemacht.

Verfasst von: Otmar Lendl

Sep 07

Post-Quantum Cryptography

Das Aufkommen von fähigen Quantencomputern hat massive Seiteneffekte auf die Sicherheit diverser kryptografischer Grundoperationen. Diese sind in den letzten Jahren zu essentiellen Bausteinen unserer IT Architektur – insbesondere in vernetzten Systemen – geworden. Noch funktioniert alles, aber wenn wir nicht bald anfangen, uns auf die diese kommende Gefahr vorzubereiten, dann wird die Transition zu „post-quantum cryptography“ eine Schmerzhafte werden.

Verfasst von: Otmar Lendl