LSE discovers vulnerability in Avira’s AntiVir Engine

While conducting a penetration test on a customer system LSE Leading Security Experts’ employees Markus Vervier and Eric Sesterhenn discovered a Denial of Service vulnerability and possible memory corruption in the Avira AntiVir Engine. By scanning specially crafted PDF documents, a bug can be triggered which causes an endless loop in the scanning engine.

This allows an attacker to stall the antivirus engine and prevent malicious files from being detected. Additionally an attacker may be able to cause the antivirus engine to consume all available resources on the system. In case of enterprise setups like for example mailgateways an effective Denial of Service attack can be launched on the whole system.

Avira has been informed immediately and released a fix a few days after. LSE therefore advises to install the latest updates via the update functionality.

Affected Versions

  • Avira AntiVir Engine < 8.2.12.58

Affected Products

  • Avira Server Security
  • Avira AntiVir MailGate
  • Avira AntiVir MailGate Suite
  • Avira Exchange Security
  • Avira AntiVir WebGate
  • Avira AntiVir WebGate Suite
  • Avira AntiVir SharePoint
  • Avira Professional Security
  • Avira AntiVir Personal
  • Avira Savapi

Read more in the corresponding Security-Advisory

Industrieanlagen mit LSE LinOTP wirksam schützen

Mit LinOTP wäre das nicht passiert!

Virtuelle Schaltzentralen mit einer öffentlich erreichbaren IP, lahmgelegte Fernkraftwerke, manipulierte Brauprozesse bei Getränkeherstellern, offene Türen in Justizvollzugsanstalten. Dieses Szenario möchte niemand live erleben.

Testen Sie deshalb lieber heute als morgen LSE LinOTP – die flexible Authentisierungsplattform!

Mit Linuxkern und modularer Architektur optimal an Industriebedürfnisse anpassbar

LSE LinOTP ist gerade zur Absicherung von Industrieanlagen optimal geeignet. Die hochmodulare Architektur erlaubt in Verbindung mit der umfangreichen API eine größtmögliche Flexibilität bei der Anpassung an Produktionsumgebungen. LinOTP unterstützt schon heute eine Vielzahl an Authentisierungsverfahren, von RADIUS, über pam-stacks, SSH, direkte Logins an Apache-Servern, oder die Einbindung an nahezu beliebige Zielsysteme mittels der API. Darüber hinaus kann LinOTP selbst paketiert und damit auch an Embedded Umgebungen angepasst werden.

Die vielseitigen Konfigurationsmöglichkeiten erlauben den Betrieb in abgeschotteten Produktionsnetzen ebenso wie die Implementierung besonderer organisatorischer Loginabläufe, die  in Industrieanlagen gelegentlich anzutreffen sind.

LSE LinOTP bietet Kunden alle Möglichkeiten eines sicheren Betriebs. So lassen sich nicht nur gängige Complianceanforderungen spielend umsetzen, auch die interne Revision wird zufrieden sein. Nicht umsonst setzen bereits einige Banken und Forschungseinrichtungen auf die Sicherheit von LSE LinOTP.

Fordern Sie noch heute eine kostenlose Teststellung an oder bestellen Sie unser sensationell günstiges Starterpaket:
LSE LinOTP A 150 Hardware-Appliance, vorinstalliert mit 10 Lizenzen LinOTP inkl. 1 Jahr Wartung. Dazu 5 SafeNet eToken 3000, so dass fünf Lizenzen für die Anbindung von mobilen Token zur Verfügung stehen – im Bundle für 999,- Euro EVK.

LSE launches new optical TAN procedure LinOTP QR-TAN

LSE Leading Security Experts GmbH announced today, that following the first successful productive installation in December 2012 LinOTP QR-TAN is now officially available to the market. Secure Online Banking cannot be easier.

LSE LinOTP QR-TAN comes as a natural evolution of the well-proven, vendor independent authentication backend LSE LinOTP. Owing to the highly modular and flexible architecture of LSE LinOTP, the QR-TAN procedure could be easily defined and implemented as a variant of the new OCRA token class. In accordance with LSE conventions the QR-TAN procedure fully relies on open standards instead of proprietary solutions.

LSE LinOTP QR-TAN positions itself as an alternative to mTAN and ChipTAN procedures and is suitable for all banks and financial institutions. The basic principle of the procedure lies in displaying the transaction data in form of a QR code and the use of a specially developed QR-TAN App. The biggest advantage for online banking customers lies in the scanning of the QR code which can easily be carried out even at some distance from the display or from slightly diagonal angles. An external report testifies the high security level of LinOTP QR-TAN, a benchmark achieved by the use of a sophisticated registration and activation process of the Smartphone App, signed data packets within the QR-Code as well as waiving any communication via insecure GSM connections.

LSE launcht neues optisches TAN-Verfahren LinOTP QR-TAN

Die LSE Leading Security Experts GmbH gibt LinOTP QR-TAN nach der ersten, erfolgreichen Referenzinstallation im Dezember 2012 nun offiziell für den Markt frei. Einfacher kann sicheres Online-Banking nicht sein.

LSE LinOTP QR-TAN ist eine logische Weiterentwicklung des bewährten, herstellerunabhängigen Authentisierungsbackends LSE LinOTP. Dank der hoch modularen und flexiblen Architektur von LSE LinOTP konnte das QR-TAN Verfahren einfach als Variante der neue OCRA Token-Klasse definiert und umgesetzt werden. Wie bei LSE üblich, verwendet das QR-TAN Verfahren ausschließlich offene Standards statt proprietärer Lösungen.

LSE LinOTP QR-TAN positioniert sich als Alternative zu mTAN und ChipTAN Verfahren und ist geeignet für alle Banken und Finanzinstitute. Grundlage des Verfahrens sind die Darstellung der Transaktionsdaten als QR-Code sowie eine eigens entwickelte QR-TAN App. Der große Vorteil für Online Banking Kunden liegt im Einscannen des QR Codes, das auch aus einiger Entfernung vom Bildschirm sowie aus leicht schrägen Winkeln gelingt. Für die notwendige, von einem externen Gutachten bestätigte, Sicherheit sorgen ein ausgefeilter Registrierungs- und Aktivierungsprozess der App auf dem Smartphone, signierte Datenpakete innerhalb des QR-Codes sowie der Verzicht auf die Kommunikation über das unsichere GSM-Netz.

LSE gewinnt Red Hat als globalen Kunden für seine Authentisierungslösung LinOTP

Die LSE Leading Security Experts GmbH, führender Anbieter von herstellerunabhängigen Anbindungstechnologien für Anmeldesicherheit und Identity Management, meldet, dass Red Hat sich für LSE LinOTP als Lösung für sichere Mitarbeiteranmeldung und Remote Access entschieden hat. Red Hat Inc., der Weltmarktführer für offene Software-Lösungen mit Hauptsitz in Raleigh (North Carolina), entschied sich nach einem umfassenden Evaluierungsprozess vor allem wegen der zahlreichen Vorteile einer herstellerunabhängigen Lösung für LSE LinOTP. Ausschlaggebend waren neben der hohen Flexibilität, die vielseitige Anpassbarkeit sowie Möglichkeiten zu signifikanten Kosteneinsparungen.

„Wir sind sehr erfreut darüber, wie gut dokumentiert und leicht anpassbar die LinOTP Lösung von LSE ist“, sagte Lee Congdon, CIO und Vice President of IT bei Red Hat. „Das herstellerunabhängige Konzept von LinOTP erlaubt es uns, bei der Token-Beschaffung neue Wege zu gehen. Außerdem können wir Mitarbeitern, die bereits einen unterstützten OTP-Token besitzen, erlauben diesen mit LinOTP weiterzuverwenden. Es ist eine großartige Lösung, um unser ‘Bring Your Own Token‘ Programm umzusetzen.“

Für Dr. Peter Schill, Geschäftsführer Vertrieb und Marketing bei LSE Leading Security Experts, ist die Entscheidung von Red Hat eine Bestätigung für die eingeschlagene Produktstrategie: „Unser Ziel ist es, LinOTP als Backend so modular und flexibel wie möglich zu halten, um unseren Kunden die größte denkbare Freiheit bei der Umsetzung ihrer Authentisierungsstrategie zu geben. Wir glauben, dass angesichts neuer Technologien wie NFC und Biometrie sowie bedürfnisbezogener Anforderungen wie Bring Your Own Device genau diese Vielseitigkeit zu einem Kern-Feature von Authentisierungsprodukten für die nächsten zwei Dekaden werden wird.“

LSE wins Red Hat as global customer for its authentication solution LinOTP

LSE Leading Security Experts GmbH, the leading manufacturer of connection technologies for vendor independent logon security and identity management, announced today that Red Hat has turned to LSE LinOTP as their solution provider for secure logon and remote access. Following an extensive evaluation cycle, Red Hat, the world’s leading provider of open source solutions, decided to use LSE LinOTP due to the advantages of a vendor independent solution, such as flexibility, versatile adaptivity and the possibilities of significant cost savings.

“We were really pleased with how well documented and adaptable the LSE LinOTP solution is,” said Lee Congdon, CIO and vice president of IT, Red Hat. “The vendor independent concept of LinOTP allows for new approaches to the supply of tokens. In addition, we can allow employees who already hold a supported OTP token to continue to use it with LinOTP. It’s a great solution for implementing our ‘Bring Your Own Token’ program. ”

Dr. Peter Schill, Managing Director of Sales and Marketing at LSE, values Red Hat’s choice as an encouraging confirmation of LSE’s product strategy: “It is our declared goal, to keep LinOTP on the backend as modular and flexible as possible, in order to allow our customers the biggest thinkable freedom in the design of their authentication strategy. We strongly believe that with new technologies on the rise, such as Near Field Communication (NFC) and Biometry, and with requirements based on users’ needs like e. g. Bring Your Own Device, it is precisely this kind of versatility that will become a core feature of authentication products for the next two decades.“