ACHTUNG: Sicherheitsproblem (gefunden unter aktuelle BETA 84.05.09-21499, FB 7390)

ezbyiv

Neuer User
Mitglied seit
28 Okt 2005
Beiträge
83
Punkte für Reaktionen
0
Punkte
0
Hallo,

habe die BETA 84.05.09-21499 auf meiner 7390.

Wer auf seinem USB-Port Daten hat, die nicht an die Öffentlichkeit dürfen, der sollte die Fernwartung DEaktivieren!

In diese Firmware wurden Teile von myFritz eingeplegt,
jedoch ist die Authentifizierung nicht durchgängig.
So ist es möglich, die letzen Teile der Anrufliste anzusehen, die Anzahl der nicht gelöschten Sprachnachrichten zu lesen und vor allem die NAS-Liste Einzulesen.

Aufrufen der eigentlichen Dateien war mir bisher zum Glück noch nicht möglich.
Des weiteren zeigt die Box nach meinen bisherigen Erkenntnissen nur die Namen der Teilnehmer an, keine Nummern.


AVM wurde von mir soeben per Kontaktformular benachrichtigt.



Mal hoffen, dass am myFritz schnellstmöglich gearbeitet wird, sonst gibt das noch ein großes Problem...



Wie gesagt, wer Prekäre Daten (vielleicht sogar die Eseldonwloads auf der USB-Platte =( ) an die Box gelemmt hat sollte schnellstmöglich die Fernwartung deaktivieren!


nas breach 2.jpgnas breach 1.jpg

Edit: habe keine Kategeorie für Firmware gefunden, deshalb leider unter AVM-Software

Edit2:[SIZE=2pt]KunterBunter[/SIZE] hatte einen kleinen aber bösen Fehler bemerkt, Editiert. DANKE
 
Zuletzt bearbeitet:

informerex

IPPF-Urgestein
Mitglied seit
20 Apr 2005
Beiträge
17,182
Punkte für Reaktionen
54
Punkte
48
hast du mal den direkten/internen Link für myFritz in der Fritz!Box
(lt. https://myfritz.net/ - Sie sind noch nicht für MyFRITZ! angemeldet? Über die FRITZ!Box-Benutzeroberfläche ist die Anmeldung unter >Internet >Freigaben >MyFRITZ! jederzeit möglich.)

möchte mal schauen, ob es in der 6360 Firmware schon vorhanden, aber noch nicht aktiv ist.
Thx

//edit:
Danke Hanzz, leider noch nicht vorhanden/aktiv:
Luacgi not readable filename=/internet/myfritz.lua real_filename=/usr/www/kabelbw//internet/myfritz.lua
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
26,428
Punkte für Reaktionen
606
Punkte
113
Die IP-Adresse gehört schon mal AVM.
 

ezbyiv

Neuer User
Mitglied seit
28 Okt 2005
Beiträge
83
Punkte für Reaktionen
0
Punkte
0
Ich finde zwar die Seite zum Aktivieren (http://fritz.box/internet/myfritz.lua) , kann aber auf übernehmen klicken wie ich will - ich komme bei meiner Gerätekonfiguration auf der gleichen Seite wieder raus ohne angekreuztes Kästchen.

Und an dem Sicherheitsproblem lässt sich leider auch nichts damit ändern :<
Scheint wohl tatsächlich eine Zeile in der .htaccess Falsch geschrieben zu sein, die anstatt der 401 Unauthorized die Daten der myfritz ausgibt :/
 
3CX

Statistik des Forums

Themen
238,645
Beiträge
2,115,598
Mitglieder
361,503
Neuestes Mitglied
Maxlon

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via