Alle Jahre wieder ... (oder waren es nur Wochen?)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
PeterPawn

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,149
Punkte für Reaktionen
1,705
Punkte
113
https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

... und das nun wieder, nachdem AVM bei den letzten Labors mal so richtig aktuell und die 1.0.1o dort überall enthalten war (zumindest bei der 7490, woraus ich kühn auf alle Modelle schließe).

Erst mal abwarten, was das jetzt wieder für ein Problem ist, aber bei POODLE, FREAK, LogJam & Co. kann ich mich nicht an eine solche Ankündigung erinnern. Wenn allerdings die älteren Versionen nicht betroffen sind, sollte es weniger ein grundsätzliches Problem des Protokolls als vielmehr eines der Umsetzung sein.
 
Inzwischen ist ja klar, worin das Problem besteht ... ein Angreifer kann ein eigenes Zertifikat (auch self-signed) als "von einer vertrauenswürdigen CA ausgegeben" faken, was den "Überprüfenden" in einer verwundbaren Version verwirrt.

Das Problem besteht wohl noch nicht allzu lange in den 1.0.1- und 1.0.2-Zweigen von OpenSSL ... ich hoffe, daß das jetzt nicht für AVM zum Grund wird, künftig wieder so lange mit Updates des SSL-Stacks zu warten, wie das in der Vergangenheit der Fall war.

Nun ist die FRITZ!Box nicht in allzu vielen Fällen auf eine gültige "certificate chain" angewiesen (als Server versteht sie keine Client-Zertifikate soweit ich weiß - ob das beim VPN mit den Relikten vom Access-Server geht, weiß man ja nicht genau), aber beim TR-069 ist das schon der Fall und da ist die FRITZ!Box der Client. Auch beim Zugriff auf den MyFRITZ!-Dienst durch die Box wird gegen ein in die Firmware eingebautes CA-Zertifikat von AVM (/etc/jason_root_ca.pem, Key-ID: 79:A9:BB:E9:C1:7D:B6:83:E4:28:29:B5:68:08:34:B2:67:7D:40:4F) geprüft, ob die Identität des Servers stimmt.

Wenn es also einem Angreifer auf diesem Wege gelingt, sich als ACS auszugeben, erlangt er damit auch die Möglichkeit, die Konfiguration auszulesen und zu ändern. Das hatten wir (oder meinetwegen ich, falls sich da jemand "ausgenommen" wissen will) in einem anderen Thread im AVM-Bereich zumindest bis zum Prima-facie-Beweis mal durchdekliniert ... hier kann man also nur darauf hoffen, daß AVM für die "release candidates" der 06.25er-Reihe noch einmal nachlegt.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 713 (Mitglieder: 28, Gäste: 685)

Neueste Beiträge

Statistik des Forums

Themen
244,837
Beiträge
2,219,253
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück