Mir bereiten Versionen über 6.30 WLAN Probleme, daher nutzt mir die 6.80 nicht. Da nutzt mit "das vermeintliche Wissen".
[Info] Neue Sicherheitshinweise von AVM
- Ersteller PeterPawn
- Erstellt am
Verstehe gar nichts
Ich mache kein Update nur um des Updaten willens.
Schon gar nicht bei AVM. Denn die Features an den die Softwareschmiede die letzten 2 Jahre rumgebastelt hat brauch ich keines Falls.
Noch dazu machen diese Features wieder neue Lücken/Fehler auf.
Schreibt jetzt AVM alles hin was behoben ist oder verschweigt AVM was und wenn ja warum ?
Immer noch Dreck am Stecken. Würde mich nicht wundern.
Und nochmal, wo ist er dicke Hund begraben, der AVM berühmt machte.
AVM schreibt nichts darüber
Zumindest verschweigt AVM noch, was in 6.80 behoben ist. Das kann kritisch sein oder auch nicht. Und Sicherheitslücken sind meist länger bestehend, keine erst mit der letzten Version (hier 6.50) hinzugekommenen Regressions.
AVM hat über das im Februar 2014 bereitgestellte Sicherheits-Update bis Juni 2016 geschrieben. Inzwischen ist das aber total überholt und deshalb nicht mehr vorhanden.
Die Lücke besteht, kein Zweifel.
Sie ist aber nur dann effektiv für einen Angriff nutzbar, wenn das Zertifikat fehlerhaft ist.
Sie ist aber nur dann effektiv für einen Angriff nutzbar, wenn das Zertifikat fehlerhaft ist.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Genau, AVM ist auf der sicheren Seite, die Klienten nicht.
Was mich zu der Frage führt: Wie sieht es aus, wenn die Fritz!Box ein IP-Klient (W-LAN Repeater) ist ?
...davon hab ich 3 Stück.
Was mich zu der Frage führt: Wie sieht es aus, wenn die Fritz!Box ein IP-Klient (W-LAN Repeater) ist ?
...davon hab ich 3 Stück.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Habe ich da irgendetwas verpaßt und hat AVM jetzt tatsächlich eine eigene Policy für "security incidents" veröffentlicht? Wo wäre die genau zu finden?
Ansonsten wurde das Problem ja tatsächlich als "responsible disclosure" behandelt (das ist sicherlich auch bei AVM im Text gemeint, auch wenn "responsive disclosure" eine mögliche Vorgehensweise beim UI-Design ist und damit sogar noch in den "IT-Bereich" fallen könnte) ... nur war AVM halt kein Mitglied der Gruppe von Herstellern, die darüber benachrichtigt wurden (siehe www.krackattacks.com):
Erstens hätte man das bei AVM auch selbst feststellen können, wenn man die Webseite bis zum Ende gelesen hätte (hat man das tatsächlich getan und "beschwert" sich trotzdem, wird das ja nur um so witziger) und zweitens muß man sich wohl kaum wundern, wenn die anderen Kinder einen nicht mehr zum Spielen einladen, nur weil man ohnehin immer den eigenen Kopf durchsetzen will und das alles anders macht als die halbe Branche. Wenn sich AVM irgendwann mal an die "Bräuche" hält (bzw. an die veränderten Bedingungen und Gegebenheiten der heutigen Zeit anpaßt), sieht das ggf. auch wieder anders aus.
Allerdings ist AVM eben so klein und außerhalb von D (bzw. dem deutschsprachigen Raum und einigen wenigen "Inseln" in der Welt) auch so "unbedeutend", daß man es nicht mal auf die Liste der betroffenen Hersteller beim CERT/CC schafft: https://www.kb.cert.org/vuls/id/228519 - auch nicht in der "ausführlicheren" Variante hier: https://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4 ... da kann man dann (in der Spalte "Date Notified") auch gleich sehen, daß eben eine ganze Reihe von Herstellern tatsächlich schon länger benachrichtigt waren und damit die "Vorwürfe" von AVM in weiten Teilen der Grundlage entbehren.
Ist schon korrigiert. Da haben sie diesmal schneller auf deinen Einwurf reagiert.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Bei mir noch nicht: https://avm.de/aktuelles/kurz-notiert/2017/wpa2-luecke-fritzbox-ist-sicher/
Ich habe AVM bisher halt nicht als übermäßig "responsive" wahrgenommen, auch wenn man beim Melden von Problemen "responsible" vorging.
Ich habe AVM bisher halt nicht als übermäßig "responsive" wahrgenommen, auch wenn man beim Melden von Problemen "responsible" vorging.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Komisch ... ich hatte einen IE11 (in einer Windows7-VM und auch noch mit der Einstellung "Do not save encrypted pages to disk") verwendet und auch die Browser-Instanz neu gestartet (weil das ohnehin aus einem VMware-Snapshot heraus erfolgte, auf den ich immer wieder zurücksetzen lasse beim Beenden der VM) - mir fehlt gerade die Phantasie, wo da ein Cache irgendwelche älteren Dateien ausliefern könnte.
Aber Du hast recht ... wenn ich das mit einem FF in einem anderen System öffne, ist es tatsächlich geändert. Anhand der Uhrzeit (14:02 Uhr laut Meta-Daten der Typo3-Seite) war das dann aber bereits "in Arbeit", als ich den Beitrag oben schrieb ... der ging ja dann erst zwei Minuten später "online".
Aber Du hast recht ... wenn ich das mit einem FF in einem anderen System öffne, ist es tatsächlich geändert. Anhand der Uhrzeit (14:02 Uhr laut Meta-Daten der Typo3-Seite) war das dann aber bereits "in Arbeit", als ich den Beitrag oben schrieb ... der ging ja dann erst zwei Minuten später "online".
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Gut ... die Frage, welches Datum jetzt für welche Aktion genau steht, kann ich auch nicht beantworten. In den Meta-Daten der Seite steht halt:
und wenn das keine Änderung "in Etappen" war, sollte auch zu diesem Zeitpunkt ja irgendetwas in der Seite passiert sein. Die erste Version, auf der #70 basiert, war garantiert schon älter als zwei Minuten, als ich auf "Antwort erstellen" gedrückt habe (ca. 4-5 Minuten habe ich bestimmt zum Schreiben gebraucht - erst recht für Beiträge mit Links zu anderen Quellen; auch wenn ich das i.d.R. nicht "mitstoppe").
Code:
<meta name="date" content="2017-10-17T12:02:00+02:00"/>
eisbaerin
IPPF-Urgestein
- Mitglied seit
- 29 Sep 2009
- Beiträge
- 11,377
- Punkte für Reaktionen
- 1,064
- Punkte
- 113
Bist du dir da jetzt ganz sicher, daß du die 2 Worte nicht verwechselt hast?
Also wenn ich die austausche, dann ergibt es für mich einen Sinn.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Nein, bin ich natürlich nicht ... aber wenn ich "responsible" mit "verantwortungsvoll/verantwortungsbewußt" übersetze und "responsive" mit "reagieren(d)", dann paßt dieser Satz deutlich zu meinen eigenen Erfahrungen. Bis man von AVM eine Reaktion erhält, vergeht deutlich mehr Zeit als (z.B. vom BSI) empfohlen und zwar gerade dann, wenn man selbst sich zuerst nur vertraulich an AVM gewandt hat und nicht gleich damit "an die Öffentlichkeit" gegangen ist.
Man bezeichnet "responsible disclosure" ja auch als "coordinated disclosure" ... aber wie soll man etwas koordinieren, wenn der eine "Kommunikationspartner" eher "unresponsive" ist? Das ist genau das Problem, auf welches ich hier hinauswollte.
Wenn das also nichts mit (von mir nicht verstandener) Ironie zu tun hatte, dann verstehe ich nicht, warum für Dich der Tausch einen Sinn ergibt.
Man bezeichnet "responsible disclosure" ja auch als "coordinated disclosure" ... aber wie soll man etwas koordinieren, wenn der eine "Kommunikationspartner" eher "unresponsive" ist? Das ist genau das Problem, auf welches ich hier hinauswollte.
Wenn das also nichts mit (von mir nicht verstandener) Ironie zu tun hatte, dann verstehe ich nicht, warum für Dich der Tausch einen Sinn ergibt.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Zumal das ja gerade mal gar nichts daran ändert, daß auch ein WLAN-Client (also eine STA) angegriffen werden könnte (und zwar durchaus von einem Angreifer im WLAN, der seinerseits das WPA2-Kennwort selbst - berechtigterweise - kennt) und da von dort zum FRITZ!Box-GUI dann eben keine HTTPS-Verbindung erzwungen wird, wäre eine FRITZ!Box spätestens auf dem Umweg über das "Abgreifen" von Admin-Credentials ebenfalls wieder gefährdet.
Es ist also sehr nett, wenn AVM da betont, daß eigentlich alle wichtigen Vorgänge heutzutage auch eine Ende-zu-Ende-Verschlüsselung verwenden ... das AVM-GUI der FRITZ!Box macht das genau nicht (auch wenn es möglich ist, sofern der Benutzer sich selbst darum kümmert).
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,202
- Punkte für Reaktionen
- 589
- Punkte
- 113
Und ich füge hinzu...
Den sicheren lokalen HTTPS Zugang verhindert, wenn man ihn für den lokalen Zugriff auf Port 443 setzt und sie ihn dann, bei Benutzung ihrer "MyFRITZ!App 2" bei Aktivierung der Heimnetzverbindung für den Zugriff aus den Internet (Fernzugriff) auf eine beliebige, nicht zu erratende hohe Portnummer unüberlegt "scharfschalten", obwohl der Benutzer überhaupt keinen "Fernzugriff" benötigt, da er ja stattdessen VPN (die Heimnetzverbindung) nutzen möchte.
erik
IPPF-Promi
- Mitglied seit
- 30 Nov 2004
- Beiträge
- 6,334
- Punkte für Reaktionen
- 388
- Punkte
- 83
Hä? Irgendwie komme ich bei diesem Schachtelsatz nicht mit. Kannst Du das mal bitte etwas ausführlicher erläutern, am besten in mehreren Sätzen? Danke.
Zurzeit aktive Besucher
Keine Mitglieder online.
Neueste Beiträge
-
Selbständige Portfreigabe lässt sich nicht deaktivieren- Letzte: NDiIPP
-
FRITZ!Box 7590 - INHAUS - Smart24P1 - 7.90 - Sammelthema
- Letzte: gerstemann
-
Unsurpassed Сasual Dating - Actual Girls
- Letzte: dvdGonzo
-
AVM Geofencing - Smart Home: Fragen
- Letzte: sentry80
-
FRITZ!Box 5530 Fiber / FRITZ!OS 7.80 vom 30.01.2024
- Letzte: Erforderlich
-
-
Wahlscheibentelefon an FRITZ!Box 7590
- Letzte: KunterBunter