Hallo zusammen,
ich hab mich grad das erste mal auf meine 7390 von außen einklingt, seit ich das LCR von Telefonsprarbuch auf der Box am laufen hab.
Der LCR ist richtig geil. *g*
Ein dank dem Programmierer!
Aber...
Also box aufgerufen, und siehe da, mann kann direkt in den LCR einsteien. ok. denke, ich, probier ich mal. Oh schreck, alles ungeschützt, keine PW abfragen usw.
OK, gleich mal das Passwort aktiviert, ohne session cookies. Wir nutzen wegen NAS und SMB Shares die Username/Passwort login Matrix von AMV.
Bei Zugriff über DynDNS dienste oder via IP zur Fritzbox muss mann an der Box den Username von Hand eingeben. Im LCR erscheint jedoch das dropdown menue von der AMV internen Anmeldung.
Das finde ich SEHR bedenlich, da dem Angreifer nun schon mal 50% der Infos bereit stehen.
Was aber noch viel schlimmer ist, es gibt keine blockierte Zeit für einen erneuten Login versuch. d.h. brutforce is wellcome!
Gibts da einen patch um das zu ändern? Ich hab nix gefunden, was mich jetzt schwer wundert, ihr seid hier doch sonst auf Zack, aber evenutell hab ich auch einfach nur falsch gesucht.
Wenns da nix gibt, muss ich das LCR schnellstens entfernen.
Gerne stell ich einem "erfahrenen" User hier oder dem Urheber des LCRs einen dyn-zugang zu meiner box bereit um sich das life anzusehen.
Danke
Gruß
Mannebk
ich hab mich grad das erste mal auf meine 7390 von außen einklingt, seit ich das LCR von Telefonsprarbuch auf der Box am laufen hab.
Der LCR ist richtig geil. *g*
Ein dank dem Programmierer!Aber...
Also box aufgerufen, und siehe da, mann kann direkt in den LCR einsteien. ok. denke, ich, probier ich mal. Oh schreck, alles ungeschützt, keine PW abfragen usw.
OK, gleich mal das Passwort aktiviert, ohne session cookies. Wir nutzen wegen NAS und SMB Shares die Username/Passwort login Matrix von AMV.
Bei Zugriff über DynDNS dienste oder via IP zur Fritzbox muss mann an der Box den Username von Hand eingeben. Im LCR erscheint jedoch das dropdown menue von der AMV internen Anmeldung.
Das finde ich SEHR bedenlich, da dem Angreifer nun schon mal 50% der Infos bereit stehen.
Was aber noch viel schlimmer ist, es gibt keine blockierte Zeit für einen erneuten Login versuch. d.h. brutforce is wellcome!
Gibts da einen patch um das zu ändern? Ich hab nix gefunden, was mich jetzt schwer wundert, ihr seid hier doch sonst auf Zack, aber evenutell hab ich auch einfach nur falsch gesucht.
Wenns da nix gibt, muss ich das LCR schnellstens entfernen.
Gerne stell ich einem "erfahrenen" User hier oder dem Urheber des LCRs einen dyn-zugang zu meiner box bereit um sich das life anzusehen.
Danke
Gruß
Mannebk
