Sie sind hier:
  • Aktuelles

Aktuelles

Mögliche Schwachstellen in der OSCI Bibliothek

Per 30.06.2017 hat die SEC Consult ein Advisory bezüglich möglicher Schwachstellen in der OSCI-Bibliothek in der Version 1.6.1 veröffentlicht. Bereits mit Sicherheitsupdate vom 13.03.2017 der Bibliothek wurden diese Schwachstellen behoben und sämtliche Betreiber darauf hingewiesen, diesen Patch einzuspielen. Die KoSIT hat am 30.06.2017 ein eigenes Advisory (pdf, 138.9 KB) hierzu veröffentlicht. Darüber hinaus sind uns keine realen Angriffe auf die OSCI-Infrastruktur bekannt.

Wir möchten an dieser Stelle darauf hinweisen, dass die Tests nach eigenen Angaben von SEC Consult ohne Intermediär, mit einer modifizierten Bibliothek und nicht in einer gemäß Einsatzempfehlungen aufgebauten Infrastruktur durchgeführt wurden.

Auszug aus dem Advisory der SEC Consult:

„We conducted our tests against the version 1.6.1 of the Java OSCI library. This library's source code can be obtained freely from the vendor page [10. Unfortunately, this library does not contain all code necessary to create a complete test setup (i.e. the code for the Intermediary is not included). We therefore had to write dummy code to model the missing component. We tested our attacks against a slightly modified1 sample implementation of a passive recipient that is also provided with the library (de.osci.osci12.samples.PassiveRecipient).

SEC Consult did not test production systems or applications using OSCI. Mitigating factors might exist in some environments.“

Quelle]

MEHR

XRechnung: Beschluss des IT-Planungsrats vom 22.06.2017

06.07.2017 - Mit dem Beschluss des IT-Planungsrats vom 22.6.2017 wird mit XRechnung der Standard für die Umsetzung der Richtlinie 2014/55/EU zur elektronischen Rechnungsstellung umgesetzt. MEHR

Sicherheits-Update OSCI 1.2: Transport Bibliothek

13.03.2017 - Im Downloadbereich unseres Portals wurde ein Sicherheits-Update zur Verfügung gestellt. Dies enthält neben anderen Aktualisierungen auch sicherheitsrelevante Änderungen, daher empfehlen wir, dieses möglichst zeitnah einzuspielen.
Die Konfiguration des XML-Parsers und zusätzliche Überprüfungen der XML-Struktur von Nachrichten unterstützen die Erkennung nicht OSCI-konformer bzw. veränderter Nachrichten, deren weitere Verarbeitung somit verhindert werden wird. MEHR

zu den archivierten Meldungen