neoLitic hat folgendes geschrieben:
lizzi555 hat folgendes geschrieben:
Ich gehe davon aus, dass jetzt alle Geräte von D-Link geprüft werden und es entsprechende Patches geben wird.
Nur nicht heute gleich für alle Router, die (eventuell) betroffen sind, denn das sind zu viele verschiedene Typen.
Das will ich sehen! Ich würde Wetten das bei einer Prüfung in 1 Monat ... noch Geräte endeckt werden die D-Link als OK ansieht und auch diesen Fehler haben.
WEil es sind ja zuviele Typen ... samal ich denke wir reden hier über einen Bug der seit 6 Jahren überall drin steckt bei dem auch das Konfigurationstool genutzt werden kann.
Würde das nich auch bedueten das D-Link sich nur mal in seiner Dokumentation schlau machen müsste wo sie was gemacht haben?
Oder ist das unmöglich weil das zuviel Arbeit bedeuten würde da es dann nicht mehr 5 oder 6 Geräte sondern mehr als 20 währen?!
lizzi555 hat folgendes geschrieben:
Für den DIR-635 Rev A und die DGL-4100/4300 sind auch schon Patches da und vom FTP Server herunter zu laden.
Prima! aber ich dachte der 4100 und 4300 wären ok? Oder hab ich vergessen jede Stellungnahme in der nuesten Revision zu lesen ... (Ironie!)
@neoLitic
Im Gegensatz zu der D-Link Stellungnahme, wo ja angeblich nicht einmal Router davon betroffen sind die in Deutschland, Österreich und der Schweiz vertrieben wurden, geht der D-Link Forenmoderator "lizzi555" also davon aus, dass von D-Link alle Geräte geprüft werden entsprechend dass "Patches" von D-Link zur Verfügung gestellt werden. Und außerdem geht der "lizzi555" entgegen der D-Link Stellungnahme, doch selber auch davon aus, dass sehr wohl auch D-Link Geräte die in Deutschland, Österreich und der Schweiz vertrieben wurden, betroffen sind.
1) Müssen von D-Link doch nicht die Geräte, sondern die etlichen teilweise seit ca. 6 Jahren für die Geräte im Umlauf befindlichen Firmwares (und das sind bestimmt an die etlichen Hunderte) auf diese Sicherheitslücke überprüft werden. Was aus meiner Sicht bei alten Firmware aber keinen Sinn macht. Somit bleibt also auch die Frage offen: Was passiert mit den etlichen von diesem Sicherheitsproblem betreffenden (alten) D-Link Firmwares. Solange D-Link auch dazu keine Informationen zur Verfügung stllt, werden sich sicherlich etliche weltweiten Endkunden weiterhin alte, von dieser Sicherheitslücke betroffene Firmwares unwissentlich installieren.
2) Stellt sich mir akt. die Frage wie "lizzi555" sich vorstellt, dass die evtl. Millionen von D-Link Router Besitzer über a) dieses Sicherheitslücke informiert werden und b) dann auch zeitnah über die Verfügbarkeit einer von dieser Sicherheitslücke befreiten Firmware informiert werden!?
In meinem Freundes-, Bekannten- und Kundekreis besucht jedenfalls keiner irgendwelche D-Link Seiten und/oder D-Link FTP-Server um sich da nach einer evtl. vorhanden Information und/oder neuen Firmware durchzuwühlen.
Wir haben folgende Antwortoption in dieser Umfrage wie folgt abgeändert:
Von:
"Ich bin erschüttert darüber das D-Link sowas nicht vorher getestet hat auch keine Stellungnahme dazu abgibt"
in:
"Ich bin erschüttert darüber das D-Link sowas nicht vorher getestet hat auch keine aktuellen zeitnahen Stellungnahmen und Informationen dazu veröffentlicht"
Gairigo hat folgendes geschrieben:
Wir haben folgende Antwortoption in dieser Umfrage wie folgt abgeändert:
in:
"Ich bin erschüttert darüber das D-Link sowas nicht vorher getestet hat auch keine aktuellen zeitnahen Stellungnahmen und Informationen dazu veröffentlicht"
@Gairigo
Na dann kann ich ja nun meine Stimme abgeben xD ...
Nun zur Information der Endkunden ... NIE!!!!!!! im Leben wird das ein Software oder Hardware Hersteller tun!
Und wer sich nicht auskennt hat halt Pech.
Das machen andere Hersteller seit Jahrzehnten so und das wird sich nicht ändern einzigste Ausnahme stellt hier Microsoft mit riesen Sicherheitslücken dar denn diese werden ab und an durch den Bund in den Nachrichten publik gemacht weil halt die meisten Microsoft Produkte einsetzen.
Von daher ist das ein Punkt denn wir eig. nicht weiter behandeln müssen ... entweder jeder kümmert sich um die entsprechenden neuen FW Updates oder eben nicht bzw. in wenigen fällen wird sowas evtl. auch der Provider machen.
Denn das fällt wie die Sicherung seines Privaten W-LANs in das Aufgabenfeld jedes Router Besitzters ... so sehen das ja auch die Gerichte ... sonst wären wir in dem Punkt ja wieder gleich mit Amerika ... (wenn du nicht sagst das ich muss dann Verklag ich dich und bekomm für meine Dummheit/Faulheit oder Unwissenheit auch noch Geld von dir) bzw. der alte Spruch ... "Unwissenheit schützt vor Strafe nicht" hat auch hier wieder seine Berechtigung.
Das mag jetzt alles hart klingen aber es ist so ... und wenn das nicht so wäre dann hätte ich keine Arbeit und das Board hier würde vllt. nicht existieren.
neoLitic hat folgendes geschrieben:
Von daher ist das ein Punkt denn wir eig. nicht weiter behandeln müssen ... entweder jeder kümmert sich um die entsprechenden neuen FW Updates oder eben nicht bzw. in wenigen fällen wird sowas evtl. auch der Provider machen.
Moin neoLitic
Es wäre technisch kein Problem wenn ein Router selbstständig nach Updates aus dem Land suchen würde wo es er im Einsatz ist. Die Option für die Eingabe einer Hersteller URL und Besitzer Email Adresse würde für so ein "Update Info Feature" doch ausreichen.
Ok also Info Feature ... das würde bedingen das man entweder in die Konfiguration ab und an schaut oder smtp eingerichtet wird.
AVM löst diese zwar auch so das man duch suchen einer akuelleren Firmware überprüfen kann ob es etwas gibt aber solange sätze wie "Firmware Update auf eigene Gefahr" den normalen 08/15 user verschrecken wird wohl nicht jeder seine FW updaten.
neoLitic hat folgendes geschrieben:
Ok also Info Feature ... das würde bedingen das man entweder in die Konfiguration ab und an schaut oder smtp eingerichtet wird.
AVM löst diese zwar auch so das man duch suchen einer akuelleren Firmware überprüfen kann ob es etwas gibt aber solange sätze wie "Firmware Update auf eigene Gefahr" den normalen 08/15 user verschrecken wird wohl nicht jeder seine FW updaten.
@neoLitic
Welchen Weg welcher Hersteller da gehen könnte ist eigentlich wurscht. Die Hauptsache ist doch das so etwas zur Verfügung steht und sei es über ein Tool welches im OS läuft. Ansonsten machen doch die etlichen Firmwareaktualisieren welche die Hersteller auf ihren Servern stellen doch gar keinen Sinn.
Ob jemand dann (wenn er über die Existenz einer neuen Firmware informiert wurde) ein Firmwareupgrade vornimmt oder nicht hat damit erst einmal gar nichts zu tun.
Wenn ich mir die etlichen Webseitenstatisken und die Software auf den Freundes, Kunden etc. Rechnern ansehe dann bin ich oftmals schon erstaunt darüber mit welchen uralt Browser, PlugIns etc. die meisten Anwendern im Internet unterwegs sind.
Gleiches gilt auch für die Router Firmwares. Wenn mit einem Router alles läuft ist es ja auch OK. Aber wenn es sich um eine gravierende Sicherheitslücke handelt, dann bekommen die 99% der (Standard-)Anwender es doch gar nicht mit das eine der/seiner Sicherheit dienende neue Firmware zur Verfügung steht.
Ich habe gerade (wenn auch mit Schwierigkeiten) zwei Dir 655 ans Netz gebracht...allerdings mit der neusten Firmware die den Fehler hoffentlich nicht mehr enthält.....
Trozdem finde ich die Reaktionszeit von D-Link gar nicht so schlecht.
Fehler und insbesondere alte Fehler zuzugeben fällt nicht leicht und schadet natürlich dem Renomee eines Netzwerkausstatters erheblich.
Gerade deshalb würde ich jetzt ein offensives Umgehen mit der Sicherheitslücke begrüssen. Ich meine damit die Sicherheitslücke muss publik gemacht werden und die Verbreitung der neuen Firmware vorangetrieben werden, um evt. Schaden der Endkunden und den damit verbundenen Renomeeverlust zu minimieren.
Der Satz "never change a running system" wird dennoch viele Leute davon abschrecken einen "Firmwareeingriff" vorzunehmen...aber dennen kann und wird man dann auch nicht helfen. Mindestens könnte sich D-Link jedoch auf die Fahne schreiben es versucht zu haben und durch einen offenen Umgang mit Problemen glänzen.
...ob sie das wohl tun... Zweifel
nobodys hat folgendes geschrieben:
1) Ich habe gerade (wenn auch mit Schwierigkeiten) zwei Dir 655 ans Netz gebracht...allerdings mit der neusten Firmware die den Fehler hoffentlich nicht mehr enthält.....
2) Trozdem finde ich die Reaktionszeit von D-Link gar nicht so schlecht.
3) Fehler und insbesondere alte Fehler zuzugeben fällt nicht leicht und schadet natürlich dem Renomee eines Netzwerkausstatters erheblich.
4) Gerade deshalb würde ich jetzt ein offensives Umgehen mit der Sicherheitslücke begrüssen. Ich meine damit die Sicherheitslücke muss publik gemacht werden und die Verbreitung der neuen Firmware vorangetrieben werden, um evt. Schaden der Endkunden und den damit verbundenen Renomeeverlust zu minimieren.
5) Der Satz "never change a running system" wird dennoch viele Leute davon abschrecken einen "Firmwareeingriff" vorzunehmen...aber dennen kann und wird man dann auch nicht helfen. Mindestens könnte sich D-Link jedoch auf die Fahne schreiben es versucht zu haben und durch einen offenen Umgang mit Problemen glänzen.
...ob sie das wohl tun... Zweifel
Moin nobodys
1) Das hoffe ich für dich, für alle anderen und auch für mich als DIR-655 Besitzer. :wink:
2) Wenn eine Firma etwas bewusst implementiert, dann weiss sie auch sehr schnell wie es zu entfernen ist. Und genau deswg. konnte D-Link den Code für das HNAP Protokoll so schnell auch entfernen.
3) Richtig, allerdings hätte D-Link die (Endverbraucher-) Risiken bei den Implementationen des HNAP Protokolls doch wissen müssen. Die u.a. Cisco Dokumentationen zum HNAP sind eindeutig doch klar beschrieben. Wenn also eine Firma bewußt so etwas in ihren Firmwares implementiert dann kennt sie auch die Dokumentationen und somit auch die Risiken.
4) Das sehe ich genauso wie du. Die Frage ist nur: Macht D-Link das auch oder wird da evtl. auch nach dem Motto: "Lassen wir mal Gras drüber wachsen" verfahren!?
5) Wenn eine Firma ihre Endkunden auf oder über welchen Weg auch immer ehrlich, richtig und zeitnah aktuell informiert, dann wird das Gro der Endkunden auch die Empfehlungen der Firma nachgehen. Das Problem ist doch, dass D-Link (scheinbar) gar nicht in der Lage ist ihre Endkunden per z.B. Email zu informieren, oder informieren zu wollen. Eine weichgespülte, verwirrende und nicht den kompletten Tatsachen entsprechende Stellungnahme auf der Dt. D-Link Seite, wird doch kaum einer lesen. Erst recht nicht diejenigen die keine Veranlassung haben die dt. D-Link Webseite zu besuchen.
"Ich bin erschüttert darüber das D-Link sowas nicht vorher getestet hat auch keine aktuellen zeitnahen Stellungnahmen und Informationen dazu veröffentlicht"
bei uns abgestimmt haben, dann sagt das schon einiges aus.
Da wir davon ausgehen, dass auch D-Link bei uns mitliest und von diesem Thread somit auch Kenntnis hat, verwundert es uns, dass D-Link uns bis heute keine aktuelle Stellungnahme für die betroffenen Routern mit Links zu allen bisher sicherheitsbereinigten Firmwares zwecks einer hiesigen Veröffentlichung zur Verfügung gestellt hat.
Verfasst am: 16.02.2010 23:36 Titel: Hat D-Link wie zugesichert wirklich die HNAP Lücke in den HNAP Bug Fixed Firmwares geschlossen - oder nicht?
Hat D-Link wie zugesichert wirklich die HNAP Lücke in den HNAP Bug Fixed Firmwares geschlossen - oder nicht?
Das ist auch für mich die aktuelle Frage, denn wie ein User aus dem D-Link Hausforum herausgefunden hat, scheint die Lücke bei der akt. DIR-655 EU Firmware ja noch zu bestehen.
mainbrain hat folgendes geschrieben: Hallo gemeinde,
ich habe hier folgenden Fall:
einen D-Link DIR-655 rev A2 FW 1.31EU
Ich habe den Router mit 1.31 geflasht und dann einen Reset gemacht. Anschließend habe ich ihn von Hand konfiguriert. Dann habe ich auf meinem Linuxsystem das exploit von SourceSec.com getestet.
Ergebnis ist, das ich mit dem Befehl ./hnap0wn 192.168.0.1:8099 xml/GetWLanSecurity.xml GetDeviceSettings immer noch meine WPA passfrase im klartext bekomme.
Kann dass bitte mal jemand nachvollziehen(ausprobieren)
./hnap0wn 192.168.0.1:8099 xml/Reboot.xml GetDeviceSettings
Startet den Router neu, was schon fast praktisch ist
edit:
so scheinbar haben sie den bug mit dem user behoben, aber mit dem GetDeviceSettings komme ich immer noch an sensible daten. Habe eben noch mal den router neu geflasht und auf werkseinstellungen gebracht.(mittels reset knopf) Und trotzdem noch das selbe. Also gehe ich mal davon aus, dass ich alles richtig gemacht habe und schaue mal was der kundensupport sagt.
Selbst der D-Link Hausforum Moderator rudert inzwischen, im Gegensatz zu seinen etlichen vorherigen Äußerungen zu der D-Link HNAP Sicherheitslücke, nun mit Vollgas, als er hätte er Kreide gegessen, zurück.
lizzi555 hat folgendes geschrieben: Das ist natürlich unschön.
Ich habe kein Linux hier und hätte, auch wenn .., das nicht nachgeprüft.
Ich bin aber davon ausgegangen, dass HNAP nicht mehr einfach von jedem benutzt werden kann.
Zitat: Zitat:
2. In der Antwort deines Routers befinden sich unter Umständen Folgende Sachen unverschlüsselt im Klartext.
DEIN WEP/WPA/WPA2 PASSWORT
DEINE PPPOE ZUGANGSDATEN
Das unter Umständen ist leider wieder nicht sicher
Wenn die Daten wirklich im Klartext rauskommen sollten, wäre das übel.
Wenn ...
Aber da das jetzt an das HQ - ja Head Quarter gegangen ist, wird D-Link sich wohl bemühen müssen.
Ich habe von dem ganzen Kram eh nie viel gehalten. Die Geräte, die ich beruflich unter mir hatte wurden per Konsole und Telnet konfiguriert.
Ein Webmenü ist da schon Luxus
Aber gerade in den USA z.B. nutzen viele das Network Magic, dass das ganze Heimnetzwerk mit HNAP Unterstützung verwalten kann.
Also wird sowas halt eingebaut...
Ich bin mal gespannt, was da rauskommt.
Trotzdem bleiben meine Router am Netz.
lizzi555 hat folgendes geschrieben: Aber da das jetzt an das HQ - ja Head Quarter gegangen ist, wird D-Link sich wohl bemühen müssen.
Quelle für die Zitate und zum Nachlesen:
Sollte es tatsächlich so sein, dass D-Link zwar eine komplette Entfernung der HNAP Sicherheitslücke in den mit angeblich HNAP bereinigten Firmwares zugesichert, aber tatsächlich gar nicht vorgenommen hat, dann wäre das aus meiner Sicht schon ein harter Tobak. Genau genommen wäre es, wenn das zutreffend sein sollte, schon eine vorsätzliche Täuschung der Endkunden.
Die dann rechtliche Bewertung überlasse ich anderen und stimme in diesem Fall dem D-Link Hausforen Moderator ""lizzi555" zu seiner folgenden endlich mal richtigen Aussage zu dieser von D-Link eingebauten HNAP Sicherheitslücke zu:
lizzi555 hat folgendes geschrieben: Nicht schlecht - da weiß man alles.
Sowas wie HNAP gehört nicht auf ein Netzwerkgerät mit Internetzugang.
Quelle: http://forum.dlink.de/phpbb2/viewtopic.php?t=16200
Telefon Support
|
