Hallo,
ich habe bei meiner FritzBox festgestellt, dass wenn ich den folgenden Link öffne http://fritz.box/cgi-bin/webcm?sid=0000000000000000&getpage=../html/index_inhalt.html mir in der URL Leiste mein DSL-User angezeigt wird (ohne mich eingeloggt zu haben). Zeigt auch das Bild im Anhang.
Nun der Mailverkehr mit AVM:
29.6
Erst einmal Einsendung via Webformular:
Produkt : FRITZ!Box Fon WLAN 7270
Anwendungsbereich : Benutzeroberfläche http://fritz.box
Betriebssystem : andere
Fehlerbeschreibung:
mir ist ein Fehler im Webinterface aufgegfallen, mit welchem es ggf.
möglich ist, die gesamte Konfiguration der Box auszulesen, ohne ein
Passwort eingeben zu müssen.
Wenn man in seinen Browser folgende URL aufruft
http://fritz.box/cgi-bin/webcm?sid
Firmware-Version FRITZ!Box : 74.04.80
Mit Computer verbunden via : LAN
Einsatzland : Deutschland
DSL-Provider : 1&1 Internet
Bezugsquelle : DSL-Anbieter
Power/DSL : leuchtet
Internet-LED : leuchtet
Festnetz-LED : aus
WLAN-LED : leuchtet
Info-LED : aus
--------------------------------------
29.6:
Guten Tag Herr xxx,
vielen Dank für Ihre Anfrage.
Ich konnte das Problem bei mir (zum Glück) nicht reproduzieren.
Bitte beschreiben Sie, was genau passiert:
* Ihre FRITZ!Box ist, nehme ich an, mit Kennwort geschützt. Die
Benutzeroberfläche ist zunächst nicht geöffnet.
* Wenn Sie fritz.box eintippen, kommen Sie zur
Kennworteingabe-Aufforderung.
* Wenn Sie aber nicht das Kennwort eintippen, sondern die genannte URL,
dann kommen Sie auf die Oberfläche, ohne Kennworteingabe?
Falls ja, führen Sie bitte folgenden Test aus:
* Gehen Sie ganz normal auf die FRITZ!Box-Oberfläche und ändern Sie das
FRITZ!Box-Kennwort in ein ganz neues, das Sie noch nie verwendet haben.
* Schließen Sie die FRITZ!Box-Oberfläche.
* Warten Sie ca. 5 min.
* Geben Sie nun direkt die URL <http://fritz.box/cgi-bin/webcm?sid> ein.
* Kommen Sie jetzt immer noch auf die Benutzeroberfläche, oder scheitert es
jetzt?
Freundliche Grüße aus Berlin
--------------------------------------
30.6
Hallo,
anscheinend ist die URL etwas zerhackstückelt worden: "h t t p : / / f r i t z . b o x / c g i - b i n / w e b c m ? s i d = 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 & g e t p a g e = . . / h t m l / i n d e x _ i n h a l t . h t m l" (natürlich ohne Leerzeichen auch im Anhang)
nach dem Aufrufen komme ich auf die Passwortabfrage, allerdings ist der DSL-User in der Adressleiste sichtbar (siehe Anhang).
Auch ihre Anleitung hat leider nicht geholfen.
Mfg
--------------------------------------
10.7:
Guten Tag Herr xxx,
vielen Dank für Ihre Rückmeldung.
Ich habe Ihre Daten an die zuständige Abteilung unseres Hauses
weitergeleitet und melde mich bei Ihnen, sobald ich etwas höre.
Freundliche Grüße aus Berlin
--------------------------------------
15.7
vielen Dank für Ihre Rückmeldung.
Da nun - auch bei diesem "Link" - die Kennwortabfrage gestartet wird, gehe
ich davon aus, dass zuvor der Browser das alte Kennwort gespeichert hatte
und daher die Kennwortabfrage "übersprungen" wurde. Ihre FRITZ!Box ist nun
also wieder sicher - oder sehen Sie weitere Gefahren? Wenn ja, könnten Sie
daher mit Ihren eigenen Worten beschreiben, worin sie konkrete Gefahren in
Nutzungsszenarien der FRITZ!Box sehen?
Freundliche Grüße aus Berlin
--------------------------------------
15.7
Hallo,
können sie keine Anhänge öffnen? Ich werde ja zu einer Passwortabfrage weitergeleitet, aber in der URL-Leiste ERSCHEINT DER PPPOE USER!.
Mfg
--------------------------------------
19.7
Allerdings kann ich aus den mir vorliegenden Informationen die Problematik
nicht klar nachvollziehen.
1) Wo und wie zeigt sich hier eine Sicherheitslücke?
2) Wo wird denn der Link zum "anklicken" angeboten?
3) Leider erschließt sich mir aus dem Link nicht, welche konkrete Gefahr
Sie für sich sehen.
4) Könnten Sie daher mit Ihren eigenen Worten beschreiben, worin sie
konkrete Gefahren in Nutzungsszenarien der FRITZ!Box sehen?
Freundliche Grüße aus Berlin
--------------------------------------
Wie soll ich denen die Problematik beschreiben, dass die die verstehen?
Ich hab denen die URL in einer Textdatei und das Bild im Anhang 2x geschickt.
ich habe bei meiner FritzBox festgestellt, dass wenn ich den folgenden Link öffne http://fritz.box/cgi-bin/webcm?sid=0000000000000000&getpage=../html/index_inhalt.html mir in der URL Leiste mein DSL-User angezeigt wird (ohne mich eingeloggt zu haben). Zeigt auch das Bild im Anhang.
Nun der Mailverkehr mit AVM:
29.6
Erst einmal Einsendung via Webformular:
Produkt : FRITZ!Box Fon WLAN 7270
Anwendungsbereich : Benutzeroberfläche http://fritz.box
Betriebssystem : andere
Fehlerbeschreibung:
mir ist ein Fehler im Webinterface aufgegfallen, mit welchem es ggf.
möglich ist, die gesamte Konfiguration der Box auszulesen, ohne ein
Passwort eingeben zu müssen.
Wenn man in seinen Browser folgende URL aufruft
http://fritz.box/cgi-bin/webcm?sid
Firmware-Version FRITZ!Box : 74.04.80
Mit Computer verbunden via : LAN
Einsatzland : Deutschland
DSL-Provider : 1&1 Internet
Bezugsquelle : DSL-Anbieter
Power/DSL : leuchtet
Internet-LED : leuchtet
Festnetz-LED : aus
WLAN-LED : leuchtet
Info-LED : aus
--------------------------------------
29.6:
Guten Tag Herr xxx,
vielen Dank für Ihre Anfrage.
Ich konnte das Problem bei mir (zum Glück) nicht reproduzieren.
Bitte beschreiben Sie, was genau passiert:
* Ihre FRITZ!Box ist, nehme ich an, mit Kennwort geschützt. Die
Benutzeroberfläche ist zunächst nicht geöffnet.
* Wenn Sie fritz.box eintippen, kommen Sie zur
Kennworteingabe-Aufforderung.
* Wenn Sie aber nicht das Kennwort eintippen, sondern die genannte URL,
dann kommen Sie auf die Oberfläche, ohne Kennworteingabe?
Falls ja, führen Sie bitte folgenden Test aus:
* Gehen Sie ganz normal auf die FRITZ!Box-Oberfläche und ändern Sie das
FRITZ!Box-Kennwort in ein ganz neues, das Sie noch nie verwendet haben.
* Schließen Sie die FRITZ!Box-Oberfläche.
* Warten Sie ca. 5 min.
* Geben Sie nun direkt die URL <http://fritz.box/cgi-bin/webcm?sid> ein.
* Kommen Sie jetzt immer noch auf die Benutzeroberfläche, oder scheitert es
jetzt?
Freundliche Grüße aus Berlin
--------------------------------------
30.6
Hallo,
anscheinend ist die URL etwas zerhackstückelt worden: "h t t p : / / f r i t z . b o x / c g i - b i n / w e b c m ? s i d = 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 & g e t p a g e = . . / h t m l / i n d e x _ i n h a l t . h t m l" (natürlich ohne Leerzeichen auch im Anhang)
nach dem Aufrufen komme ich auf die Passwortabfrage, allerdings ist der DSL-User in der Adressleiste sichtbar (siehe Anhang).
Auch ihre Anleitung hat leider nicht geholfen.
Mfg
--------------------------------------
10.7:
Guten Tag Herr xxx,
vielen Dank für Ihre Rückmeldung.
Ich habe Ihre Daten an die zuständige Abteilung unseres Hauses
weitergeleitet und melde mich bei Ihnen, sobald ich etwas höre.
Freundliche Grüße aus Berlin
--------------------------------------
15.7
vielen Dank für Ihre Rückmeldung.
Da nun - auch bei diesem "Link" - die Kennwortabfrage gestartet wird, gehe
ich davon aus, dass zuvor der Browser das alte Kennwort gespeichert hatte
und daher die Kennwortabfrage "übersprungen" wurde. Ihre FRITZ!Box ist nun
also wieder sicher - oder sehen Sie weitere Gefahren? Wenn ja, könnten Sie
daher mit Ihren eigenen Worten beschreiben, worin sie konkrete Gefahren in
Nutzungsszenarien der FRITZ!Box sehen?
Freundliche Grüße aus Berlin
--------------------------------------
15.7
Hallo,
können sie keine Anhänge öffnen? Ich werde ja zu einer Passwortabfrage weitergeleitet, aber in der URL-Leiste ERSCHEINT DER PPPOE USER!.
Mfg
--------------------------------------
19.7
Allerdings kann ich aus den mir vorliegenden Informationen die Problematik
nicht klar nachvollziehen.
1) Wo und wie zeigt sich hier eine Sicherheitslücke?
2) Wo wird denn der Link zum "anklicken" angeboten?
3) Leider erschließt sich mir aus dem Link nicht, welche konkrete Gefahr
Sie für sich sehen.
4) Könnten Sie daher mit Ihren eigenen Worten beschreiben, worin sie
konkrete Gefahren in Nutzungsszenarien der FRITZ!Box sehen?
Freundliche Grüße aus Berlin
--------------------------------------
Wie soll ich denen die Problematik beschreiben, dass die die verstehen?
Ich hab denen die URL in einer Textdatei und das Bild im Anhang 2x geschickt.
