Umfrageergebnis anzeigen: Soll der komplette Exploit (Shell-Code oder HTML-Seite mit JS) veröffentlich werden?

Teilnehmer
90. Du darfst bei dieser Umfrage nicht abstimmen
  • Könnte schon lange veröffentlicht sein

    13 14,44%
  • Sollte jetzt veröffentlicht werden

    61 67,78%
  • AVM sollte über die Veröffentlichung entscheiden

    16 17,78%
Seite 3 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 41 bis 60 von 93

Thema: Disclosure or no disclosure?

  1. #41
    IPPF-Fan
    Registriert seit
    12.02.2014
    Beiträge
    149
    Ja klar. Das ist der Grund, für die ganze Diskussion.
    FRITZ!Box 7580 : 06.81
    1x FRITZ!Powerline 546E: 06.50, Powerline-Firmware: 1.3.0-00
    2x FRITZ!Powerline 520E: Powerline-Firmware: 5.3.1-03
    1x C4: 01.03.86
    5x Comet Dect: 03.68

  2. #42
    IPPF-Einsteiger
    Registriert seit
    19.10.2011
    Beiträge
    7
    @Goggo16

    Allerdings hätten wir dann hier die Zündschnur angesteckt. Nicht das so was dann auf uns hier zurueckschlaegt. (... nur so ein Gedanke ...)
    Guter Einwand, allerdings zieht Google die Veröffentlichung nach 90 Tagen auch knallhart durch...

    Was mich hier im Forum immer wieder wundert ist, dass von AVM keine offizielle Stimme dabei ist, die dann auch mal ein Statement abgibt.
    Das könnte für alle Beteiligten hilfreich sein.

    Bisher hatte ich als Anwender eigentlich immer ein recht positives Bild von AVM, es wäre schön wenn das so bleiben würde und AVM nun wirklich mal reagiert!!!

  3. #43
    IPPF-Fan
    Registriert seit
    12.02.2014
    Beiträge
    149
    Wenn man sowas nicht knallhart durchzieht, passiert auch überhaupt nichts. Und wenn einer einen Exploit finden kann, kann man davon ausgehen, dass es andere genauso können. Eine Nichtveröffentlichung verschafft also auch "unliebsamen" Nutzern der Lücke die Gelegenheit sie zu nutzen.
    FRITZ!Box 7580 : 06.81
    1x FRITZ!Powerline 546E: 06.50, Powerline-Firmware: 1.3.0-00
    2x FRITZ!Powerline 520E: Powerline-Firmware: 5.3.1-03
    1x C4: 01.03.86
    5x Comet Dect: 03.68

  4. #44
    IPPF-Fan
    Registriert seit
    27.08.2008
    Beiträge
    134
    Alles andere als veröffentlichen macht nun eh keinen sinn mehr, da hier sicherlich auch leute mit lesen die nun darauf gebracht wurden und selbst schon ordentlich am suchen sind, ist also eh nur eine frage der zeit bis die richtigen es rausbekommen durch den ganzen wirbel hier...
    IPv4: 40 Mbit/s :: 11 Mbit/s - Static IP
    FB 7490: 06.80-43382 INTERN
    FB 7330SL: Repeater FRITZ!OS 06.50
    Card: Broadcom 176.199

  5. #45
    IPPF-Fan
    Registriert seit
    12.02.2014
    Beiträge
    149
    Ja genau wir bösen wir. Da warten die anderen bösen nur drauf.


    Gesendet von iPhone mit Tapatalk
    FRITZ!Box 7580 : 06.81
    1x FRITZ!Powerline 546E: 06.50, Powerline-Firmware: 1.3.0-00
    2x FRITZ!Powerline 520E: Powerline-Firmware: 5.3.1-03
    1x C4: 01.03.86
    5x Comet Dect: 03.68

  6. #46
    IPPF-Fan
    Registriert seit
    27.08.2008
    Beiträge
    134
    So wars es nicht gemeint, verstehe das "gelaber" darüber nur net. avm gehört einfach mal ordentlich vors haus geschissen mit den mistigen firmwares, die sie zur zeit abliefern. (auch wenn ich die probleme nicht habe)
    bei anderen firmen gehts doch auch
    IPv4: 40 Mbit/s :: 11 Mbit/s - Static IP
    FB 7490: 06.80-43382 INTERN
    FB 7330SL: Repeater FRITZ!OS 06.50
    Card: Broadcom 176.199

  7. #47
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    Um es deutlich zu schreiben ... das ist "nur" eine Möglichkeit für DoS (also das "Außerbetriebnehmen" einer fremden Box). Damit ist keine Ausführung fremder Befehle oder gar fremder Programme auf einer FRITZ!Box möglich - eine derartige Lücke hätte ich bereits nach den erwähnten 90 Tagen offengelegt, wobei es dazu meiner Ansicht nach gar nicht erst kommen dürfte. Bei so einer Lücke würde ich dann nämlich tatsächlich davon ausgehen, daß sie von AVM (schon im eigenen Interesse) umgehend geschlossen wird, bevor der Nächste sie entdeckt und sie dann ausgenutzt wird.

    Einen Aspekt habe ich vielleicht auch noch nicht aufgezeigt, der für mich allerdings ebenfalls eine Rolle spielt ... was passiert eigentlich, wenn man eine derartige Lücke an AVM meldet, sich auf die "übliche Vorgehensweise" vertrösten läßt und dann kommt tatsächlich der nächste Sicherheitsforscher (ich tue mich mit dieser Bezeichnung immer etwas schwer, aber im Deutschen gibt es wohl nichts anderes für "security researcher", weil "Sicherheitsuntersucher" eher unüblich bis falsch ist und "Sicherheitsinspektor" eher einen "amtlichen" Charakter hat) daher, entdeckt dieselbe Lücke und macht sie (über das Darknet, also nicht zurückverfolgbar) bei einem Broker zu Geld. Dann sähe man sich sicherlich als der erste "Finder" auch dem Verdacht ausgesetzt, man wäre nun auch dieser "Unbekannte", der das an anderer Stelle ausnutzt und schon unter diesem (zusätzlichen) Aspekt ist es eben "nicht in Ordnung" von AVM, wenn man das Beheben gemeldeter Sicherheitsprobleme auf die lange Bank schiebt und damit den (ehrlichen) Finder, der seinerseits tatsächlich verantwortungsvoll handeln will (und handelt, denn er nutzt die weder selbst aus noch "verkauft" er sie an andere), dieser "Gefahr" (in einen solchen Verdacht zu geraten) aussetzt.

    Die Diskussion, wie weit man mit einer Veröffentlichung - durch die Information auch von "bad guys" - zum Ausnutzen solcher Probleme beiträgt oder nicht (die wird ja dann in erster Linie von Herstellern wie AVM gerne geführt in dem Bestreben, eine Veröffentlichung so weit wie möglich hinauszuschieben, am besten bis zum jüngsten Gericht), die führe ich auch nicht mehr ... gäbe es die Lücke gar nicht erst (der primäre Fehler ist deren bloße Existenz und schon der fällt i.d.R. nicht in den Verantwortungsbereich des Finders) oder wäre sie rechtzeitig durch den Hersteller geschlossen worden und die Kunden hätten dank passender Information so ein Update auch installiert (auch MS kann die Kunden nicht "zwingen", ein Update zu installieren), dann müßte man auch keine Diskussion darüber führen, weil so ein "bad guy" sie dann gar nicht mehr ausnutzen könnte.

    Der umgekehrte Fall, daß ein "bad guy" so ein Problem nicht auch alleine entdecken könnte, ist eben gerade nicht ausgeschlossen und damit ist es schon ein sehr fragwürdiger "Schachzug" eines jeden Herstellers, wenn er die Verantwortung für ggf. entstehende Schäden (sogar bei "full disclosure" ist das für mich fragwürdig, erst recht bei einem Angebot für "coordinated disclosure" seitens eines Finders) dann dem Finder "unterschieben" will. Meines Wissens ist die Praxis, den Überbringer einer schlechten Nachricht zu hängen, nicht mehr so üblich, wie das in früheren Zeiten der Fall gewesen sein mag und anstatt die Schuld auf jemand anderen zu schieben, sollte man lieber über den eigenen Anteil an dem Problem (es ist ein eigener Fehler und der wird durch "Aussitzen" nicht ungeschehen gemacht) nachdenken.
    Geändert von PeterPawn (01.02.2017 um 19:33 Uhr)

  8. #48
    IPPF Fünfhunderter
    Registriert seit
    12.09.2008
    Beiträge
    584
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Um es deutlich zu schreiben ... das ist "nur" eine Möglichkeit für DoS (also das "Außerbetriebnehmen" einer fremden Box). Damit ist keine Ausführung fremder Befehle oder gar fremder Programme auf einer FRITZ!Box möglich
    Peter, Asche auf mein Haupt. Ich haette nur Beitrag #1 noch genauer lesen muessen.

    Wenn das so ist, dann raus damit. Meine abgegebene Stimme ist hinfaellig.

    Sollte doch irgendwo ein DoS-Angriff einschlagen, dann trifft es nur AVM-Kunden ohne aktuellste Firmware auf der Fritzbox. Deren Klagelied wird nur in Richtung AVM gehen. Also genau das richtige Ziel.

    LG, Goggo
    Provider: T-Home Entertain mit VDSL50-VOIP
    Router: Fritzbox 7490 mit FritzOS 6.51 + Freetz
    Add-On: AVM 450e, AVM 510+540e, 3x Netgear GS108E
    Telefone: 2x Fritzfon C4, 3x Eurit 567 (MT-C); ".

  9. #49
    Admin-Team Avatar von foschi
    Registriert seit
    01.11.2004
    Ort
    Ruhrgebiet
    Beiträge
    4.355
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Soll/darf man etwas veröffentlichen, was als "proof of concept" einen DoS-Angriff auf verschiedene FRITZ!Box-Modelle mit Firmware < 06.80 illustriert? (Ab) Wann sollte man das machen?

    [...]

    Es geht um ein schon länger an AVM gemeldetes Problem und ich weiß recht genau, daß ich schon einmal einen entsprechenden Beitrag vorbereitet/geschrieben hatte, halt noch ohne konkreten Exploit und nur mit einer verbalen Beschreibung der Konsequenzen.
    Da muss ich als Admin des Forums die Frage stellen, warum Du das als "Sicherheitsberater" hier ausdiskutierst, und das Forum für Deine Zwecke benutzt?
    we are all but packets in the internet of life...

    Bitte Signaturen entsprechend den Regeln erstellen bzw. überarbeiten - Danke!

  10. #50
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    @foschi:
    Wenn meine Beweggründe dafür aus den bisher geschriebenen Beiträgen nicht ersichtlich sind oder es konkrete Fragen geben sollte (#49 sehe ich nicht als eine solche) und ich diese nicht beantworten kann, dann ist es vielleicht erforderlich, diesen Thread zu schließen, vielleicht gar zu löschen.

    Wenn das tatsächlich als "Mißbrauch" des Forums angesehen wird, eine solche Diskussion hier zu führen oder deren Notwendigkeit oder gar deren Legitimität in Frage zu stellen ist, dann liegt es in der Verantwortung der Administration (und selbstverständlich auch in deren Belieben), dieses zu unterbinden.

    Wenn es gar nicht um die Frage geht, ob man das überhaupt diskutieren muß und der Kern sich auf das "muß das hier sein" reduzieren läßt, bin ich für Vorschläge bzgl. alternativer Plattformen, die sich ähnlich intensiv mit den betroffenen Geräten befassen, durchaus offen. Hier dürfte sich im deutschsprachigen Raum das Gros der betroffenen Kunden versammeln, die sich überhaupt mit dem Thema "FRITZ!Box" befassen, daher erscheint mir die Wahl des IPPF als Plattform für eine solche Diskussion jetzt nicht so unüberlegt.

    Alternativen in Form von Mailing-Listen wie "full disclosure" sind mir durchaus bekannt ... aber in meinen Augen nicht das richtige Forum und dort stellt sich die Frage dann gar nicht erst, "wie weit" man gehen sollte - da gehört der PoC zur Meldung dazu.

    Wenn Du Deinerseits nur eine (von mir erbetene) Meinung zum Thema beisteuern wolltest, hätte ich den Passus "als Admin dieses Forums" vermutlich mißinterpretiert - wobei ich aus #49 auch Deinen eigenen Standpunkt zur aufgeworfenen Frage nicht entnehmen könnte (EDIT: dem Ergebnis der (namentlichen) Abstimmung nunmehr schon).
    Geändert von PeterPawn (01.02.2017 um 20:27 Uhr)

  11. #51
    IPPF-Fan
    Registriert seit
    15.06.2008
    Ort
    Berlin-Frohnau
    Beiträge
    444
    Veröffentlichen.

    Fehler passieren. Aber sobald ich Kenntnis davon habe, dann muss der Fehler beseitigt werden, oder eine gute Begründung geliefert werden warum es länger dauert.
    Alles andere ist Bequemlichkeit.

  12. #52
    IPPF-Fan
    Registriert seit
    27.05.2010
    Beiträge
    185
    AVM hat gestern (1.2.2017) die Seite "Sicherheitsinfos zu Updates" auf https://avm.de/service/sicherheitsinfos-zu-updates/ erweitert.
    Es gibt jetzt diese "Sicherheitsverbesserungen FRITZ!OS 6.80": "Die Punkte werden zu einem späteren Zeitpunkt veröffentlicht."
    Das ganze ist datiert auf den "15.12.2016"

  13. #53
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    Nun weiß man ja nicht so 100%ig, wann AVM die Angaben dort für die 06.50 "nachgereicht" hat ... bemerkt wurde es m.W. das erste Mal hier: http://www.ip-phone-forum.de/showthr...0007&p=2197028

    Vermutlich ist der neue Eintrag nun irgendwie auf das Erscheinungsdatum der 06.80 für die 7580 und 7560 "projiziert" (auch wenn es erst am 19.12.2016 "durch die Medien" ging) ... da wird man sich als 7490-Besitzer nun dran gewöhnen müssen, daß man nur noch "das alte Modell" besitzt und nicht mehr die Eckdaten dieser Firmware das Maß der Dinge sind.

    Ich weiß (mangels Test) auch nicht, ob die 7580 und die 7560 mit der Auslieferungsfirmware noch anfällig waren ... rein zeitlich hätte das Problem - so es jemals bestand, ich werde mir nun gleich mal über 1&1 eine 7580 bestellen lassen, dort sollte sie lieferbar sein - tatsächlich auch in der 06.51 für die 7560 (Release-Firmware der ersten Boxen irgendwann gg. Ende Juli 2016, soweit ich das ermitteln konnte) und in der 06.51 der 7580 (irgendwann Mitte Juli, aber bereits in Form von Geräten, also wohl eher nicht mehr "in time" zu korrigieren) bereits gefixt sein können - zumindest spätestens in der 06.53 für die beiden Modelle, die Ende Sept. 2016 erschien.

    Damit wäre das vermutlich noch etwas "diffus" bei der Einordnung bzgl. dieses Problems (#515119) gewesen und man hätte den Standpunkt vertreten können, daß diese beiden neuen Geräte nun nicht in die Kategorie derjenigen mit "reparierter Firmware" fallen und damit im Zusammenhang mit diesem "incident" auch nicht zu betrachten waren - zumindest dann, wenn das Problem bis zur 06.53 (rd. 2,5 Monate nach der Meldung an AVM) dann auch schon behoben war.

    Erst durch das von Dir "entdeckte" Datum bin ich jetzt noch einmal so richtig darauf aufmerksam geworden, daß es gar nicht klar ist, ob die 75x0-Modelle von derselben Lücke betroffen gewesen wären (die Information von AVM über den Fix in der Labor-Reihe bei der 7490 kam am 21.10.2016 per E-Mail, die Meldung meinerseits stammte vom 02.07.2016) und daß tatsächlich bereits anstelle der 7490 die 06.80-Version für die beiden 75x0-Modelle die erste gewesen sein könnte, bei der das Problem dann auch offiziell behoben war (dafür muß es natürlich erst einmal bestanden haben bei diesen Modellen, damit es behoben werden konnte und das gilt es nun zu überprüfen).

    Wäre das tatsächlich der Fall, dann hätte man bei AVM nicht die Benachrichtigung für das erste Modell mit dem Fix der Lücke an mich gesendet, sondern erst fünf Wochen später für das dritte - zwei Tage nach dem Erscheinen der Version für die 7490.

    Ich hatte zwar Ende November im Zusammenhang mit diesem Problem vielleicht explizit die 7490 erwähnt (obwohl es auch für 7390 und 7412 von mir getestet und entsprechend an AVM gemeldet wurde) in meiner Nachfrage, wie es denn nun weitergeht bei dieser "Nummer" 515119 ... denn die 7490 war ja zumindest in den offiziellen Laborreihen immer noch das Modell, für welches zuerst eine 06.80 zu erwarten gewesen wäre.

    Aber der Zusammenhang zu diesem Incident war sicherlich eher nicht zu verkennen (stand schon im Betreff der Nachfrage und ging auch aus dem Text eindeutig hervor) und anstatt der Mitteilung, daß die 7580 und die 7560 im Dezember wohl schon mit der 06.80 versorgt werden (die "Medien" berichteten wie gesagt über die 06.80 am 19.12.2016, da kam also offenbar etwas von AVM als Presseinformation) erhielt ich dann noch am 08.12.2016 die Information, daß ein Erscheinen im Dezember 2016 "für unwahrscheinlich gehalten wird" (wobei auch hier sehr genau auf die 7490 "geachtet" wurde in der Antwort und diese damit nicht einmal falsch war, was angesichts der vagen Angaben aber sicherlich auch beim Erscheinen der 06.80 für die 7490 am 10. oder 11.12.2016 gegolten hätte, selbst wenn das allen zuvor bei AVM angenommenen Wahrscheinlichkeiten vollkommen unerwartet zuwider gelaufen wäre).

    Bisher ging ich noch davon aus (und tue das bis zur definitiven Feststellung, daß die 7580 ebenfalls betroffen war (bis einschl. 06.53) und das auch dort in der 06.80 bereits abgestellt ist (was man anhand der Timeline (Fix Ende Okt., Release Mitte Dez.) nunmehr annehmen muß), auch noch weiterhin), daß AVM wirklich korrekt und ehrlich, über die "Termine" und die "Änderungen" im Zusammenhang mit dieser Meldung meinerseits, informierte - das war praktisch der "Minimalstandard", den man erwarten durfte bzw. den ich erwartet hatte anhand der ausgetauschten E-Mails.

    Nun bin ich ja doppelt neugierig geworden ... mal sehen, wie lange die 7580 braucht bis zu mir, die originale Firmware habe ich (als Recovery-Version) noch von der ersten Durchsicht im Juli des vergangenen Jahres und auch die 06.53 habe ich mir gut weggelegt.
    Geändert von PeterPawn (02.02.2017 um 02:47 Uhr)

  14. #54
    IPPF Dreitausend-Club Avatar von Wotan-Box
    Registriert seit
    14.01.2008
    Ort
    Hagen (Westf) / Bad Hönningen
    Beiträge
    3.361
    Die erste 06.80er für die 7490 war am 08.12.2016 auf dem AVM-Server
    FRITZ!Boxen: 7430 FW 146.06.80, 7570 FW 75.04.92, FRITZ!Fon 7150 FW 29.04.88 mit FRITZ!Mini unterstützung
    FRITZ!Powerline: 520E, 546E FW 118.06.50, FRITZ!DECT 200 FW 03.83
    Telefone: Gigaset S1c, MT-C, MT-D, MT-F, C4, C5, Speedphone 300, FRITZ!Mini, FRITZ!App
    DECT/WLAN Repeater: 7240 FW 73.06.06
    GSM-Gateway mit: FRITZ!Box 7490 und Huawei E1750
    Internet/VoIP-Provider u. Online-Speicher: 1&1 DSL-16000 an Centillium 16.189, Sipgate Basic, GMX 6GB

  15. #55
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    Bekannt.

    Aber "intern" ist ja noch nicht wirklich "Release" und ich habe AVM geglaubt (steht vermutlich auch irgendwo im Thread zur internen Version, wenn auch ohne "Quellenangabe" und nur als "wartet doch erst mal ab", als die ersten das schon für's nächste Wochenende einplanen wollten) - was die 7490 anbelangt ohnehin, das liegt aber u.a. auch daran, daß ich mir eine "spontane Freigabe" aus bereits anderswo angeführten Gründen (das geht beim sicherlich etwas erhöhten Supportaufkommen nach den ersten automatischen Updates schon los, auch so etwas will ja geplant sein) nicht so richtig vorstellen kann, wenn man die Konsequenzen zuvor durchdacht hat - und glaube bis zum Beweis des Gegenteils auch immer noch, daß es bei den 75x0-Modellen bereits in der 06.53 gefixt war und somit die Nachricht zur 7490 am 25.01.2017 auch in Ordnung war.

  16. #56
    IPPF-Fan
    Registriert seit
    27.05.2010
    Beiträge
    185
    Mir ist AVMs "phantasievoller" Umgang mit Datumsangaben schon öfter aufgefallen
    Dateien auf dem FTP haben schon mal ein Datum was Tage oder gar Wochen in der Vergangenheit liegt. Soll wohl irgendwie besser aussehen, oder so. Wobei das bei mir genau das Gegenteil bewirkt.
    Es werden auch mal heimlich images/recovery geupdated ohne Versionsänderung, zB von fritz.box_wlan_7390_84.05.20.recover-image und FRITZ.Box_7490.06.51.recover-image hab ich verschieden Versionen

  17. #57
    IPPF Zweitausend-Club Avatar von Daniel Lücking
    Registriert seit
    18.04.2008
    Ort
    Berlin
    Beiträge
    2.823
    @Peter Pawn

    Dann man dir auch irgendwie eine Direktnachricht zukommen lassen?
    1&1: Doppel-Flat 50.000 - UMTS (Smartphone+Stick) Webauftritte Daniel-Luecking.Berlin - Wo ist DanMac?

  18. #58
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    @Daniel Lücking:
    In meinem GitHub-Repo findet sich ein öffentlicher PGP-Schlüssel für dieses Pseudonym (allerdings - absichtlich - ohne Cross-Zertifizierungen durch Dritte), der mehrere denkbare E-Mail-Adressen enthält und bei Bedarf (oder auch generell) auch gleich zur Verschlüsselung einer Nachricht genutzt werden kann.

    Seitdem das bei GitHub funktioniert, signiere ich damit zwar auch Commits, aber der "tiefere Sinn" ist eigentlich die Publikation dieses Schlüssels für die E-Mail-Kommunikation (bzw. auch alles andere, was verschlüsselt werden kann), inkl. Signaturen über Texte oder Zeitstempel, wenn es mal um "Urheberschaft" und den Zeitpunkt einer Publikation gehen sollte.

    Da auf Key-Servern immer wieder mal auch Spam auftaucht, gibt es so wenigstens keine Verwechselungsmöglichkeiten und der Fingerabdruck (0DF4F707AC58AA38B35AAA0BC04FCE5230311D96) steht auch irgendwo hier im IPPF, so daß auch ein Austausch bei GitHub auffallen sollte.

    Direktnachrichten im IPPF habe ich - bis auf ein paar wenige Teilnehmer - irgendwann abgestellt, da die dann mehr Aufwand mit sich brachten als die öffentlich einsehbaren Beiträge - das ist wohl auch anderen so gegangen, die dann ihrerseits in ihren Signaturen immer explizit darauf hinweisen, daß Support ins Forum gehört. Außerdem ist E-Mail auch viel besser zu archivieren ...

  19. #59
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.535
    Ich habe am 09.02.2017 um 16:29 Uhr dann doch noch eine E-Mail von AVM erhalten, die wohl als Antwort auf meine E-Mail vom 25.01.2017 um 17:14 Uhr zu interpretieren ist.

    Der Grundtenor war der Vorwurf, ich würde die Schwächen bei AVM in der generellen Handhabung von Schwachstellen aus purer Sucht nach eigenem "Ruhm" kritisieren. Das schönste Zitat wäre folgendes:

    Zitat Zitat von AVM-Security
    Die moralische Verantwortung zur Frage, ob Sie die erhohte Gefahr fur FRITZ!Box Anwender durch die Veroffentlichung von Exploit-Code in Kauf nehmen, um damit Ihren "Fame" zu erhohen, den Sie durch uns mangels Credits bislang nicht ausreichend erhoht sahen, liegt ausschlie?lich bei Ihnen.
    Um das noch einmal ganz deutlich klarzustellen ... diese "credits" sind ein ganz normaler Vorgang in diesem Zusammenhang und meine Argumentation stützt sich auch nicht vorwiegend auf diese dankende Erwähnung eines Finders.

    Das ist nur der "Zuckerguß", der in ein entsprechendes Advisory gehört, mit dem der Hersteller selbst die Kunden auf potentielle Schwachstellen aufmerksam macht (das soll gar keinen Exploit-Code beinhalten) oder in ein Bulletin nach dem Schließen der Schwachstelle, wo der Hersteller ebenfalls wieder explizit die Kunden darauf hinweist, daß Schwachstellen behoben wurden.

    Und dafür reicht eben kein allgemeines "Wischi-Waschi" der Art "Wir empfehlen die Installation jedes Updates." - hallo, AVM, dann sorgt auch dafür, daß man sich nicht mit jedem neuen Update auch neue Probleme einhandelt und überdenkt einfach mal die Strategie, Schwachstellen-Behebung und neue Firmware-Feature direkt aneinander zu koppeln. Dann stellt sich vielleicht auch die Frage des "Aussitzens" nicht mehr, wenn man Security-Fixes unabhängig von - gewünschten oder unerwünschten, funktionierenden oder plötzlich wieder ganz andere Probleme bereitenden - Feature-Updates installieren kann.

    Geradezu wahnwitzig finde ich aber die Argumentation, mit der Veröffentlichung des konkreten Exploits würde ich jetzt die Verantwortung auf mein Gewissen laden, wenn in der Folge die Besitzer von FRITZ!Boxen angegriffen werden. Ich weiß nicht, ob man bei AVM wirklich so naiv und kurzsichtig ist, aber ich würde die Schuld für die immer noch fortbestehende Gefährdung der Kunden zunächst mal darin suchen, daß AVM sieben Monate von der Meldung bis zur Veröffentlichung eines Updates gebraucht hat.

    Da wirkt die Betonung, daß es sich beim "responsible" in "responsible disclosure" um einen Ausdruck der Verantwortung handelt, schon fast putzig ... diese "responsibility" gilt nämlich nicht nur für den Finder einer Schwachstelle (wie AVM das wohl gerne sehen möchte), sie beinhaltet auch eine Verantwortung des Herstellers, sich dann wirklich um die Beseitigung von Sicherheitsproblemen zu kümmern.

    Ansonsten tritt nämlich genau das wieder ein, was das BSI hier (Seite 4 oben) mit
    Zitat Zitat von BSI
    Eine Coordinated Disclosure ermöglicht die Diskussion von Schwachstellen, ohne dass Details zu ihrer Ausnutzung in falsche Hände geraten und eine unmittelbare Gefährdung bewirken. Jedoch verleitet dies Hersteller manchmal dazu, Risiken zu unterschätzen, Schwachstellen zu ignorieren oder die Entwicklung von notwendigen Patches hinauszuzögern.
    beschreibt und im Falle von AVM kann man das "manchmal" auch getrost streichen, wie ich aus eigener Erfahrung weiß (das ist ja hier nur eine extern auszunutzende Lücke, die ich gefunden habe).

    Hier habe ich letztens den Passus "[...] industry-standard disclosure policy adopted by Google's Project Zero: 90 days with 15 days of grace period if a fix is due to be released." gelesen ... das kann man nur unterstreichen.

    Ohne eine halbwegs rigide Haltung an dieser Stelle verkommt nämlich die eigentlich gute und nachvollziehbare, für beide Seiten von Nutzen seiende, "responsible disclosure" zu dem, was man hier bis ins Detail "vorexerziert" bekommt: Der Hersteller legt sich in die Hängematte, entscheidet alleine, wie relevant ein Problem ist (das Recht will ich ihm gar nicht absprechen, aber dann soll er sich auch seiner Verantwortung für die Verzögerung stellen und auch nicht "rumheulen", wenn jemand (lange angekündigte) Konsequenzen im Angesicht dieser Haltung zieht und eigentlich nur das macht, was ebenfalls im oben verlinkten BSI-Papier zu lesen ist:
    Zitat Zitat von BSI
    Stellt der betroffene Hersteller nach Ablauf einer bestimmten Zeitspanne, die im Ermessen des Entdeckers liegt, keinen Patch für die Schwachstelle zur Verfügung, so werden meist doch alle Details an die Öffentlichkeit gebracht [...].
    Dem ist wenig hinzuzufügen und was nun eine "bestimmte [oder angemessene] Zeitspanne" sein mag, kann man sicherlich auch kontrovers sehen ... die Frage, ob und warum AVM mit dem Verschieben der Behebung des Problems nun selbst entsprechende Verantwortung auf sich genommen hat, muß man dann aber eben auch stellen. Diese 90 Tage (+ 14 Tage, wenn der Hersteller wirklich die (in dieser Zeit liegende) Veröffentlichung eines Updates zusagt, was hier deutlich nicht der Fall war) waren jedenfalls mehr als um, als ich das erste Mal etwas in dieser Richtung verlauten ließ und die detailliertere Beschreibung hier in #1 habe ich sogar bis zum Erscheinen der 06.80 für die 7490 zurückgehalten.

    Ich weiß allerdings auch, wie AVM auf den Trichter kommt, ich würde mich über fehlende "credits" von dort aufregen ... ein entscheidender Teil meiner Argumentation war es nämlich, daß man aufgrund der fehlenden Kooperation von AVM bei einer Veröffentlichung und wegen des vollständigen Fehlens jeglicher belastbarer Informationen zu gefixten Lüclen sich als Finder selbst darum kümmern muß, weil von AVM nicht einmal diese "credits" zu erwarten sind.

    Das ist aber ein komplett anderer Zusammenhang und das eigentliche Ziel sind nicht diese "credits" (die sind eigentlich eine Selbstverständlichkeit), sondern eine ehrliche und ausführliche Information der Kunden. Wenn AVM das mit den "Advisories" selbst in die Hand nimmt (diese Seite kann das allerdings nicht sein, die ist nicht mal ein guter Witz und entgegen aller Hoffnungen will man bei AVM wohl an diesem Punkt stehenbleiben bzw. das sogar wieder zurückdrehen), dann stellt sich auch für den Finder nicht mehr die Frage, ob und wie genau er seinerseits irgendetwas veröffentlichen muß, wenn AVM solche Texte dann (wie es ebenfalls üblich ist) vor der Veröffentlichung abstimmt.

    Dann muß man sich auch nicht mehr um seinen "fame" sorgen, wenn AVM selbst das Rückgrat entwickelt und sich so verhält, wie man es heutzutage von einem Hersteller erwarten darf - dazu gehören dann auch die "credits", auf die ich ja aus AVM-Sicht so scharf bin.

    Das wäre allerdings in meinen Augen tatsächlich das Mindeste (und das sehe eben nicht nur ich so, ich verweise gerne noch einmal auf die "Handhabung von Schwachstellen"), wenn jemand Arbeit für AVM übernimmt (selbst wenn das AVM am Ende gar nicht passen mag und man lieber schiedlich, friedlich weiterwursteln will) und dann noch jede Menge zusätzliche Zeit in die vertrauliche Meldung solcher Schwachstellen investiert, während es der Hersteller nicht einmal für notwendig erachtet, abseits von Textbausteinen (und die Eingangsbestätigungen haben praktisch immer denselben Wortlaut) in halbwegs angemessenen Zeiträumen zu reagieren (und die Timelines der verschiedenen Meldungen kann sich jeder im GitHub-Repository ansehen).

    Unabhängig von dieser Frechheit seitens AVM, die für mich in der E-Mail bei der (bewußt?) falschen Darstellung meiner Motive zum Ausdruck kam, werde ich - trotz Ablauf der Umfrage - nicht sofort den Exploit veröffentlichen, sondern das noch einmal um 14 Tage nach hinten schieben. Man kann ja auch nicht ganz übersehen, daß AVM es diesmal tatsächlich schafft, die Modelle recht zügig nacheinander mit der neuen Version zu versorgen ... entweder man hält #515119 doch für folgenreicher, als es die schleppende Reaktion vermuten ließ oder es gibt noch ganz andere Lücken, die nun schnellstens auch bei den anderen Modellen in freier Wildbahn zu schließen sind.


    Auf den erneut angeführten Aspekt, ich könne mich ja selbst darum kümmern:

    1. eine Liste aller existierenden FRITZ!Box-Modelle zu erstellen
    2. diese um die Geräte zu kürzen, die bereits EOS sind und dann
    3. für den verbleibenden Rest selbst überwachen, ob und wann da nun ein Update herauskommt oder nicht

    will ich erst recht nicht weiter eingehen, das zeigt nur ein weiteres Mal, daß AVM hier irgendwo die Frage stellen will, wer Koch und wer Kellner ist und daß man dort an einer wirklichen Zusammenarbeit gar nicht interessiert ist. Das ist jedenfalls definitiv auch kein Ansatz, der einen dazu motivieren kann, auch in der Zukunft den Weg der "responsible disclosure" zu beschreiten - das Ergebnis ist dann nur noch mehr Arbeit und Aufwand, der einem von AVM aufgehalst wird ... vielleicht ja auch in der Hoffnung, man gäbe es dann eher auf (das habe ich in der Vergangenheit auch oft genug getan) und überlasse AVM einfach, ob und wann das behoben und kommuniziert wird. (Noch einmal: Das Recht der Entscheidung zum Zeitpunkt der Behebung hat AVM zweifellos - wer wollte dem Hersteller da Vorschriften machen -, aber die Entscheidungshoheit, wann ein Finder dann seinerseits veröffentlicht, haben sie dort nicht. Punkt. Auch wenn man dort immer wieder diese Behauptung aufstellen möchte ...).

    Wie auch immer ... die Argumentation seitens AVM, daß es nach der eigenen Erfahrung nicht lange dauert, bis solche Updates "rum" sind:
    Zitat Zitat von AVM-Security
    Einige Wochen bis wenige Monate nach einem Release erreichen wir eine durchaus beachtliche Update-Durchdringung der Gerate im Feld.
    teile ich ausdrücklich nicht, weil auch hier wieder (wie an jeder anderen Stelle auch) jede konkrete Angabe fehlt (Was ist den eine "akzeptable Durchdringung"? Wie und von wem wird die "gemessen"?) und damit ist man erneut komplett dem Hersteller "ausgeliefert" und daß der eben gerade nicht bereitwillig "mitarbeitet", habe ich vermutlich inzwischen oft genug betont.

    Auch sehe ich für die FRITZ!Box-Besitzer kein echte Gefahr, die von einem Ausnutzen der Lücke hinter #515119 ausgeht ... damit ist (nach meiner Kenntnis, wenn das anders wäre, hätte AVM es mir mitteilen können) keine Übernahme der FRITZ!Box und auch kein Auslesen irgendwelcher Daten möglich.

    Der angegriffene Benutzer würde also im Fall der Fälle nur das sehr deutlich vor Augen geführt bekommen, was AVM sich weigert, in unmißverständlicher Form zum Ausdruck zu bringen: Es gibt in der 06.80 behobene Sicherheitsprobleme, die einen DoS-Angriff auf eine FRITZ!Box (von extern oder über einen Browser im LAN, auf dem Javascript ausgeführt werden kann) ermöglichen.

    Wenn ein Kunde Probleme mit der 06.80 hat (und so richtig "rund" ist die ja wohl tatsächlich noch nicht, auch wenn ich selbst WLAN, DECT und SmartHome bei Tests gar nicht erst beachte), dann sollte er sich ganz genau überlegen, ob er zu einer früheren Version zurückkehrt. Ich kenne (von Relevanz, also mit einem Base-Score > 7) nur diese eine Lücke und kann damit auch nur hier die Aufgabe von AVM wahrnehmen und über diese eine Lücke aufklären.

    Sollte es tatsächlich weitere geben, wäre es ohne jede Diskussion die Aufgabe von AVM, auch über diese aufzuklären. Die Frage von AVM:

    Zitat Zitat von AVM-Security
    Bitte bedenken Sie, dass Sie in aller Regel nicht alle Sicherheitspunkte kennen, die behoben wurden. Anders gesagt: Ginge es um ein Update, in dem kein ihnen bekannter Schwachpunkt enthalten ware und somit auch keiner behoben ware, wurden sie dann vom Update abraten? Oder auf die Herstellerempfehlung verweisen?
    zielt jedenfalls wohl in diese Richtung und hier kann ich ganz klar sagen: Solange AVM der eigenen Verantwortung nicht gerecht wird und die Kunden über (behobene und ggf. noch offene, man muß die Details ja nicht ausufern lassen) Sicherheitsprobleme offen und ehrlich aufklärt, glaube ich persönlich dieser "Herstellerempfehlung" gar nichts mehr ... nicht zuletzt ist daran auch die Tatsache schuld, daß AVM dem Kunden gar keine Wahl läßt zwischen einer sicheren und einer funktionierenden FRITZ!Box.

    Wie soll denn ein Kunde ohne Kenntnis der Risiken für sich nun entscheiden, ob er lieber bei der 06.80 bleibt und irgendwelche "Kröten" bei der Funktion schluckt (manchmal ist da ja tatsächlich der Kauf eines anderen Gerätes zu überlegen) oder ob er lieber wieder auf eine frühere Version der Firmware wechselt, die aber wenigstens funktioniert. Die Antwort auf diese "Frage" hat mir AVM bisher noch nie gegeben, egal wie oft ich die Frage schon gestellt habe.

    Ich verschiebe also die Veröffentlichung des Exploit-Codes um weitere 14 Tage, solange man nicht jetzt umgehend wieder den Eindruck gewinnen muß, der Hersteller sinkt nun wieder in die Hängematte.

    Wenn AVM selbst dazu nichts "sagen" will, muß man halt den äußeren Anschein bewerten, auch auf die Gefahr hin, daß der falsch sein könnte - auch hier gibt es doch für den "gesunden Menschenverstand" gar keine Diskussion, wer die Verantwortung für Mißinterpretationen am Ende tatsächlich trägt, wenn der Hersteller sich hinstellt, die Arme verschränkt und "Ich sag' nichts." für eine sinnvolle Zusammenarbeit hält.

    Den Punkt mit der "Durchdringung" sehe ich absolut nicht und damit leite ich daraus auch keine zusätzliche "grace period" ab - das ist ohnehin vollkommen unüblich, daß man nun auch noch wartet, bis das Update im letzten Kuhkaff angekommen ist, vor allem dann, wenn es doch dem Anschein nach gar keinen wirklichen Grund gibt, es überhaupt zu installieren. Es ist ja u.a. auch eine Frage, wie ehrlich AVM das alles ggü. den Providern kommuniziert hat, die ihrerseits die Verwaltung der Updates für die Kunden machen .. das geht von DSL-Anbietern bis zu den KNB.

    Angesichts der wohl eher mangelhaften Kommunikation beim Problem der DOCSIS-Zertifikate traue ich AVM an dieser Stelle zugegebenermaßen auch nicht über den Weg, zumal ich einen weiteren Satz aus der E-Mail:
    Zitat Zitat von AVM-Security
    Wie bei jedem Release verweisen wir auf weitere Sicherheitspunkte, die erst zu einem spateren Zeitpunkt veroffentlicht werden. FRITZ!OS 06.80 empfehlen wir auch aus Sicherheitsgrunden. Dies wurde von der Presse auch gut aufgegriffen und meist schon in den Teaser-Texten genannt.
    eher für Wunschdenken halte ... bei den einfach mal herausgesuchten (vielleicht "reichweitenstärksten"?) Publikationen

    - https://www.heise.de/newsticker/meld...M-3576216.html
    - https://www.heise.de/newsticker/meld...h-3605362.html
    - http://www.chip.de/news/FritzOS-6.80...105616901.html
    - http://www.chip.de/news/FritzOS-6.80...107773427.html
    - http://www.computerbild.de/artikel/c...-17026265.html

    steht von behobenen Sicherheitsproblemen nichts im Teaser ... ja, es ist sogar im ganzen Artikel jeweils (als "behobenes Sicherheitsproblem") nichts zu finden.

    Liest man sich diese nur einmal durch, gewinnt man den Eindruck, die 2FA und die SIP-Kennworte wären die wichtigsten sicherheitsrelevanten Änderungen (so viel mehr gibt die jeweils von den Publikationen verlinkte "info.txt" bei AVM auch nicht her an Informationen) und wer bereits sinnvolle SIP-Kennwörter verwendet (das geht ja auch ohne Zwang) oder die 2FA ohnehin abschaltet, weil sie ihn nervt (s. entsprechende Thread auch hier im IPPF), der könnte ganz blauäugig auf die Idee kommen, daß er ja problemlos wieder auf die 06.60 oder so zurück könne.

    Das liegt zu einem guten Teil eben auch daran, daß AVM einige absolut notwendige Änderungen (z.B. am NAS bei der Protokollierung) gar nicht als ein behobenes Sicherheitsproblem einstuft, das wird als "Verbesserung" gefeiert. Das ist sicherlich auch eine Verbesserung, aber kann daraus jemand erkennen, daß es vorher ein Sicherheitsproblem gab? Wer das kann, hat meinen vollsten Respekt.

    Um auch der Frage zuvorzukommen, warum ich das hier so "öffentlich" austrage ... ich habe das jetzt fast 2,5 Jahre mit AVM wieder und wieder "hinter verschlossenen Türen" diskutiert und habe inzwischen einfach die Nase voll. Dann noch die oben zitierten Motive, die man mir unterstellt, und ich bin es wirklich leid, das immer weiter so fortzuführen, zumal man nicht einmal den Anschein des Überdenkens der eigenen Position bei AVM entdecken kann, ebensowenig wie eine Gegenargumentation, die dann auch mal bei der Wahrheit bleibt - sofern man eben überhaupt einer Antwort gewürdigt wird.

    Also bleibt mir nur, AVM "ans Licht der Öffentlichkeit" zu zerren und meinerseits zu verdeutlichen, wo ich Fehler sehe. Die muß man bei AVM nicht zwangsläufig ebenso einschätzen, aber ich stelle ja auch nicht nur irgendwelche wilden Behauptungen auf, ich begründe das ja (hoffentlich) auch jeweils nachvollziehbar und die (von mir immer wieder gerne zitierten) BSI-Dokumente (von denen das letztere zur Handhabung von Schwachstellen auch erst erschien, nachdem ich schon erbitterte Diskussionen genau in dieser Richtung mit AVM geführt hatte) sollten ein Übriges tun, wenn es darum geht, daß sich auch AVM-Kunden einen Eindruck davon verschaffen können, ob das wirklich alles Gold ist, was da glänzt.

    Das muß oder soll es auch nicht immer sein, aber die Argumentation, daß AVM immer noch der Einäugige unter den Blinden ist, nutzt dem angegriffenen Kunden am Ende auch nichts mehr, wenn die Bekundungen von AVM-Seite, wie wichtig man die Sicherheit doch nähme, nicht mit entsprechenden Taten auch untermauert werden. Am Schluß sind es ohnehin die AVM-Kunden, die einerseits mit ihrem Kaufverhalten darüber abstimmen, was sie von AVM halten und die dann aber im Fall der Fälle auch wieder den Ärger an der Backe haben, wenn es das nächste Problem vom "webcm"-Kaliber gibt und AVM auch dort dann den Fix lieber auf das nächste Feature-Update schiebt, immer in der Hoffnung, es würde schon niemand anderes die Lücke finden und mißbrauchen.

    Ich kann das Geschilderte alles mit E-Mails belegen (die Timelines stehen wie gesagt bei den Threats im Repository), es wird also auch kaum etwas von mir zu lesen geben, was "justiziabel" wäre. Vielleicht müßte das nicht im IPPF sein und ich könnte tatsächlich ein eigenes Blog zum Thema "FRITZ!Box-Sicherheit" aufmachen ... solange das aber nicht seitens der Administration hier tatsächlich als "Mißbrauch" gesehen wird, finde ich die hier hergestellte "Öffentlichkeit" sogar noch "human" - abgesehen davon, daß ich mich nun nicht auch noch zur eigenen Administration einer WordPress-Installation berufen fühle, die Dinger haben im Monatsrhythmus auch Sicherheitsprobleme.

    Und falls noch jemand wissen will, warum ich das überhaupt mache und mich so intensiv mit AVM-Firmware befasse ... wenn die Zahlen stimmen, werkelt mind. in jedem zweiten Privathaushalt eine FRITZ!Box (die unterschiedlichsten Modelle) und wenn es da tatsächlich Schwachstellen gibt, die angegriffen werden können, dann trifft das neben den Kunden, die sich dann auch gegen AVM oder ihren Provider wehren können, auch diejenigen, die von der Materie praktisch keine Ahnung haben und dann trotzdem vollkommen unverhofft mit einem Problem konfrontiert werden können, wenn ihre FRITZ!Box einem Fremden "in die Hände fällt".

    Nicht jeder Angreifer muß so geldgeil sein und sich so auffällig verhalten, wie es bei der "webcm"-Lücke praktiziert wurde. Wenn die FRITZ!Box plötzlich über den "Online-Speicher" die Fotos des Besitzers verschlüsselt (egal, ob das die bereits dort lagernden oder neu zu übertragende sind), dann ist das "Ransomware" reinsten Wassers.

    Wie schwer mag es wohl sein, eine FRITZ!Box mit einer "eigenen Firmware mit Sonderfunktionen" auszustatten, ohne daß der Besitzer das mitbekommt? Es gibt sicherlich immer Randbedingungen, die erfüllt sein müssen, damit so ein Schaden eintreten kann ... aber ich kann tatsächlich versichern, daß es (zumindest bisher) immer noch möglich ist (auch im "durchschnittlichen Haushalt") und wenn jemand daheim die neue FRITZ!Box auspackt, mit dem Ethernet-Kabel mit seinem (bereits infizierten) PC verbindet und sich an ihre Einrichtung macht, dann kann es bei einem Modell mit einem voreingestellten GUI-Passwort (die anderen sind auch keine wirkliche Hürde) schon längst wieder zu spät sein.

    Bisher sind die FRITZ!Box-Besitzer noch überwiegend glimpflich davongekommen, weil außerhalb Deutschlands eine FRITZ!Box immer noch ein Exot ist (auch das Speedport-Debakel war ja nun wohl nur ein "Versehen" und zielte eigentlich auf andere Geräte) ... das muß keinesfalls auf ewig so bleiben, wie uns die "webcm"-Lücke gelehrt hat und da ist es einfach "smarter", wenn man die Probleme schon dann beseitigt, wenn sie bekannt werden und nicht erst dann, wenn sie entweder ausgenutzt werden oder ohnehin wieder mal ein "Feature-Update" fällig ist.

    Dafür braucht es aber eben auch Sicherheitsupdates, die nicht erst irgendwelche (teils vom konkreten Kunden gar nicht gewollten) Funktionen nachrüsten, sondern ganz einfach bekannte Sicherheitsprobleme zeitnah beheben. Nichts anderes erwarte ich von AVM - neben einer "ordentlichen Kommunikation", wenn es um Sicherheitsprobleme (behoben oder nicht, man braucht sich nur bei anderen Herstellern umschauen, wie das geht) geht. Wenn ich das erreichen sollte (oder zumindest Fortschritte auf dem Weg zu diesem Fernziel), sind mir sämtliche "credits" seitens AVM auch egal, dann "klappere" ich schon selbst.

  20. #60
    IPPF-Fan
    Registriert seit
    05.10.2005
    Ort
    Saarland
    Beiträge
    330
    Ich kenne natürlich nicht den kompletten E-Mail Verkehr. Aber als Softwareentwickler kann ich nur sagen: Solche Fehler/Schwachstellen hätten bei uns sofort die höchste Eskalationsstufe und es würde sehr kurzfristig ein Update folgen. Als jemand der nicht so tief in der Materie drin ist als du, empfand ich die FRITZ!Box immer als die "sichere" eierlegende Wollmilchsau. In der Vergangenheit gab es schon öfter Sicherheitsprobleme mit anderen Routern und AVM hat kurz danach eine Pressemeldung veröffentlicht like "FRITZ!Boxen sind davon nicht betroffen, das haben wir schon lange gefixt".
    Ich finde es daher recht interessant diesen Thread hier zu verfolgen und kann beide Seiten teilweise verstehen.
    Ich verstehe wenn AVM sagt: "Vielen Dank, wir kümmern uns, halten Sie solange bitte die Füße still". Ich kann dich aber auch verstehen nach Wochen oder Monaten der Untätigkeit Unzufriedenheit aufkommt.
    AVM hat einen verdammt guten Ruf draußen und scheint jetzt ziemlich angepisst zu sein das jemand diesem Ruf schädigen will.

    Meine Meinung: Mit Recht! Ich würde hier lieber von dir einen Beitrag lesen in dem du bis in kleinste Detail der Details der Details (wie du das halt immer machst), erzählst, welche Sicherheitslücken es *gab* und wie schnell und souverän AVM reagiert hat. Ich war immer der Meinung AVM legt mehr Wert auf Sicherheit und Stabilität als auch Features. (Ich muss sagen, obwohl ich band steering, Box2Box VPN, DECT, ScmartHome und und und nutze, habe ich mit der 6.80 überhäuft keine Probleme). Es gab mal diese Aktion bei der AVM in recht kurzer Zeit für alle möglichen (auch alten Boxen) ein Update raus brachte weil es wohl eine größere Sicherheitslücke gab und ich dachte mir nur "vorbildlich".
    Ohne es zu wissen behaupte ich mal das AVM da früher anders reagiert hätte. Vielleicht braucht AVM von dir und anderen mal so einen Rempler um zu erkennen, dass die FRITZ!Box auch das halten muss was AVM verspricht. Es ist keine doch keine Schande 2 Wochen nach dem Update eine Version 6.82 zu veröffentlichen in dessen Changelog nur zu lesen ist: "Einige Sicherheitsprobleme behoben".

    Ich gehe sogar soweit und würde empfehlen für die Veröffentlichungen z.B. heise security oder ähnliche mit ins Boot zu nehmen. Dann steigt der Druck sowas zu fixen nämlich exponentiell.


    Gesendet von iPad mit Tapatalk
    ************* FBF's @Home **************
    DSL | VoIP: ....... inexio/QUiX - 41,7 MBit/11,0 MBit | inexio
    Router: ............. FRITZ!Box Fon WLAN 7490 [FRITZ!OS 06.80] - FRITZ!Fon C4/C3/MT-F
    SmartHome:...... 3x FRITZ!DECT 200 - 1x Comet DECT Heizkörperthermostat
    Software: ......... AVM TAPI
    Addon-Box: ...... FRITZ!WLAN Repeater 1750E im OG

Seite 3 von 5 ErsteErste 12345 LetzteLetzte

Ähnliche Themen

  1. [Info] GrandStream GXV3275 ist Thema auf "full disclosure"
    Von PeterPawn im Forum GS-Allgemein
    Antworten: 1
    Letzter Beitrag: 08.07.2015, 07:51
  2. Umfrage zu BS v8
    Von gismotro im Forum SOT / Streaming Client
    Antworten: 6
    Letzter Beitrag: 01.06.2009, 16:18
  3. Umfrage: Gigaset.NET
    Von VoIPMaster im Forum Gigaset
    Antworten: 8
    Letzter Beitrag: 09.04.2007, 12:20
  4. [SOT] Umfrage: Wer hat welche Box mit SOT
    Von karl2100 im Forum SOT / Streaming Client
    Antworten: 19
    Letzter Beitrag: 26.02.2007, 00:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •