Security

Sicherheitslücke in Confluence

Gestern (18. Januar 2010), hat Atlassian einen Hinweis zu einer Sicherheitslücke ver­öf­fent­licht. Es han­delt sich dabei um eine Anfälligkeit meh­re­rer Macros für Cross-Site-Scripting (XSS). Sie wird von Atlassian als "High" ein­ge­stuft, was ent­spre­chend der von Atlassian defi­nier­ten Abstufung bedeu­tet, dass sie nur schwer aus­zu­nut­zen ist und dann meist nicht zu Rechteausweitung oder signi­fi­kan­tem Datenverlust führt. Am gefähr­dets­ten sind Systeme mit…

Extraktion der Zertifikatskette mit OpenSSL

Es kommt gele­gent­lich vor, dass bei Serveranwendungen die SSL-Zertifikate aus­ge­tauscht wer­den. Insbesondere bei einem gleich­zei­ti­gen Austausch von CA-Zertifikaten (weil z.B. eine neue Sub-CA für die Signierung neuer Zertifikate ver­wen­det wird) kann es dabei dazu kom­men, dass eine Applikation, die als Client auf die Serveranwendung zugreift die Vertrauenskette des Serverzertifikates nicht mehr prü­fen kann und dann z.B. in Java mit einer SSLHandShakeException aus­steigt. Um hier Abhilfe zu schaf­fen, benö­tigt man die CA-Zertifikate, die bei SSL-Handshakes mit­ge­schickt wer­den. Um diese zu extra­hie­ren bie­tet sich das Tool s_client der openssl-Bibliothek an.

Sharepoint für anonymen Zugriff konfigurieren

Standardmäßig ist anony­mer Zugriff in Sharepoint nicht akti­viert. Um Sharepoint für den anony­men Zugriff zu kon­fi­gu­rie­ren, sind meh­rere Schritte an ver­schie­de­nen Stellen (und in die­ser Reihenfolge!) erfor­der­lich: Zuerst muss in der Sharepoint Zentraladministration der anonyme Zugriff akti­viert wer­den: Zentraladministration öff­nen Klickpfad: Application Management -> Application Security -> Authentication pro­vi­ders Rechts oben im Dropdown die gewünschte Web Application aus­wäh­len Zone: Default…

Ändern der Credentials im MOSS 2007

Beim Umhängen eines MOSS 2007 Servers in eine andere Domäne funk­tio­nie­ren natür­lich die Servicekonten nicht mehr, die man bei der Konfiguration des SharePoint Servers ange­ge­ben hat. Bevor man jetzt manu­ell über­all die Credentials ändert (IIS, SQL Server), und auch nach eini­ger Zeit immer wie­der über nichts­sa­gende Fehlermeldungen des MOSS stol­pert (ich sag nur: An unex­pec­ted error has occu­red), hier ein…

Virenüberprüfung beim Upload von Dateien mit ModSecurity und Apache

Um in einer Webanwendung sicher­zu­stel­len, dass die Nutzer kei­nen Viren oder andere Schädlinge durch Uploads ein­schleu­sen, gibt es ver­schie­den Möglichkeiten. Eine Möglichkeit ist es, in der Webanwendung selbst eine Virenüberprüfung anzu­stos­sen. Eine Alternative ist es, die Virenprüfung in einem vor­ge­schal­te­nem Apache vor­zu­neh­men. Diese Funktionalität kann mit dem Modul ModSecurity für den Apache erreicht wer­den. Dieses erkennt bei einem Request des…

1 2 3