ACHTUNG: Sicherheitsproblem (gefunden unter aktuelle BETA 84.05.09-21499, FB 7390)

ezbyiv

Neuer User
Mitglied seit
28 Okt 2005
Beiträge
83
Punkte für Reaktionen
0
Punkte
0
Hallo,

habe die BETA 84.05.09-21499 auf meiner 7390.

Wer auf seinem USB-Port Daten hat, die nicht an die Öffentlichkeit dürfen, der sollte die Fernwartung DEaktivieren!

In diese Firmware wurden Teile von myFritz eingeplegt,
jedoch ist die Authentifizierung nicht durchgängig.
So ist es möglich, die letzen Teile der Anrufliste anzusehen, die Anzahl der nicht gelöschten Sprachnachrichten zu lesen und vor allem die NAS-Liste Einzulesen.

Aufrufen der eigentlichen Dateien war mir bisher zum Glück noch nicht möglich.
Des weiteren zeigt die Box nach meinen bisherigen Erkenntnissen nur die Namen der Teilnehmer an, keine Nummern.


AVM wurde von mir soeben per Kontaktformular benachrichtigt.



Mal hoffen, dass am myFritz schnellstmöglich gearbeitet wird, sonst gibt das noch ein großes Problem...



Wie gesagt, wer Prekäre Daten (vielleicht sogar die Eseldonwloads auf der USB-Platte =( ) an die Box gelemmt hat sollte schnellstmöglich die Fernwartung deaktivieren!


nas breach 2.jpgnas breach 1.jpg

Edit: habe keine Kategeorie für Firmware gefunden, deshalb leider unter AVM-Software

Edit2:[SIZE=2pt]KunterBunter[/SIZE] hatte einen kleinen aber bösen Fehler bemerkt, Editiert. DANKE
 
Zuletzt bearbeitet:

informerex

IPPF-Urgestein
Mitglied seit
20 Apr 2005
Beiträge
17,173
Punkte für Reaktionen
53
Punkte
48
hast du mal den direkten/internen Link für myFritz in der Fritz!Box
(lt. https://myfritz.net/ - Sie sind noch nicht für MyFRITZ! angemeldet? Über die FRITZ!Box-Benutzeroberfläche ist die Anmeldung unter >Internet >Freigaben >MyFRITZ! jederzeit möglich.)

möchte mal schauen, ob es in der 6360 Firmware schon vorhanden, aber noch nicht aktiv ist.
Thx

//edit:
Danke Hanzz, leider noch nicht vorhanden/aktiv:
Luacgi not readable filename=/internet/myfritz.lua real_filename=/usr/www/kabelbw//internet/myfritz.lua
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
24,660
Punkte für Reaktionen
331
Punkte
83
Die IP-Adresse gehört schon mal AVM.
 

ezbyiv

Neuer User
Mitglied seit
28 Okt 2005
Beiträge
83
Punkte für Reaktionen
0
Punkte
0
Ich finde zwar die Seite zum Aktivieren (http://fritz.box/internet/myfritz.lua) , kann aber auf übernehmen klicken wie ich will - ich komme bei meiner Gerätekonfiguration auf der gleichen Seite wieder raus ohne angekreuztes Kästchen.

Und an dem Sicherheitsproblem lässt sich leider auch nichts damit ändern :<
Scheint wohl tatsächlich eine Zeile in der .htaccess Falsch geschrieben zu sein, die anstatt der 401 Unauthorized die Daten der myfritz ausgibt :/
 
3CX

Neueste Beiträge

Statistik des Forums

Themen
235,934
Beiträge
2,067,981
Mitglieder
356,993
Neuestes Mitglied
Goodmann8500