Heimnetzwerke - WIFI, LAN, Router und Co 16.255 Themen, 77.761 Beiträge

News: Offen wie ein Scheunentor!

Router von D-Link mit schwerer Sicherheitslücke.

xafford / 29 Antworten / Baumansicht Nickles

Fast jeder hat einen Router Zuhause stehen, kaum jemand macht sich Gedanken über ihn - der DSL-Router. Diese kleinen Computer auf denen in der Regel eine Linux-Variante läuft und das heimische Netzwerk mit dem Internet verbinden sind mittlerweile die gängige Schnittstelle die das private Netz vom Internet abschotten und somit vor Zugriffen von Außen schützen sollen.

DIR-600 Router (Quelle: www.d-link.de)
Wenn in diesen Geräten Sicherheitslücken auftauchen ist dies meist aufgrund der Verbreitung und der zentralen Funktion sehr unangenehm, so auch im aktuellen Fall von D-Link und der beiden Router DIR-300 und DIR-600. Laut dem Security Consultant Michael Messner weißen diese beiden Geräte auch in der aktuellsten Firmware-Version eine (bzw. mehrere) schwere Sicherheitslücken auf. So speichern die Geräte zum Beispiel das Root-Passwort im Klartext in der Datei /etc/passwd (nachdem dieses Problem wohl schon einmal beseitigt gewesen war). Dies ist unschön, aber noch vergleichsweise harmlos verglichen mit dem anderen Problem auf dies Messner stieß:

Beide Geräte akzeptieren Kommandos aus dem Internet ohne Authentifizierung und führen diese mit Root-Rechten aus.

Richtig gelesen. Ohne Kenntnis eines Benutzernamens oder Passwortes kann jede Person weltweit via Internet jeglichen beliebigen Befehl auf diesen kleinen Linux-Rechnern mit vollen Root-Rechten ausführen, die Kenntnis der IP-Adresse des Gerätes reicht (oder einfach ein Scan im Internet nach verwundbaren Geräten).

Was man damit alles anstellen kann ist fatal. Angefangen vom unbrauchbar machen der Geräte, über die Änderung von DNS-Einstellungen um Benutzer auf gefälschte Seiten umzuleiten bis hin zur Installation eigener Module zum Protokollieren des Datenverkehrs und den Einbruch in das interne (eigentlich meist durch NAT unsichtbare) Netzwerk.

Laut eigener Aussage hat Messner die Firma D-Link bereits im Dezember 2012 auf die Lücken aufmerksam gemacht, jedoch hielt D-Link diese für nicht schwerwiegend genug um sie beseitigen zu wollen. Somit kann man aktuell nur vom Einsatz der betroffenen Geräte abraten da es keinen bekannten Workaround hiergegen gibt.

xafford meint:

Sicherheitslücken kommen vor, auch bei Routern - davor ist niemand gefeit. Das mag unschön sein, passiert jedoch immer einmal wieder. Gravierend wird es, wenn diese Sicherheitslücken über das Internet ausnutzbar sind und katastrophal wenn dies auch noch ohne die Notwendigkeit einer Anmeldung geschehen kann.

Aber so richtig zum GAU wird es, wenn ein Hersteller keine Anstrengungen unternimmt eine so schwerwiegende Lücke zeitnah zu stopfen und seine Kunden im Regen stehen lässt - und in diesem Fall ist es nicht einmal mehr Regen, denn diese Geräte sind aktuell nur als Scheunentore zu bezeichnen und es ist nur eine Frage der Zeit bis die ersten automatisierten Angriffe auf die Geräte los gehen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Systemcrasher xafford

„Router von D-Link mit schwerer Sicherheitslücke.“

Optionen
Aber so richtig zum GAU wird es, wenn ein Hersteller keine Anstrengungen unternimmt eine so schwerwiegende Lücke zeitnah zu stopfen und seine Kunden im Regen stehen läss

Tja, da wird sich der Hersteller im Schadensfall wahrscheinlich aur eine heftige Klagewelle mit Tsunamiähnlichen Ausmaßen einstellen müssen. Grob fahrlässige Unterlassung etc.
Wenn ich Rentner bin, dann nörgele ich den ganzen Tag. Das wird bestimmt lustig. :)
bei Antwort benachrichtigen
mi~we xafford

„Router von D-Link mit schwerer Sicherheitslücke.“

Optionen

Jetzt scheint aber doch Bewegung in die Sache zu kommen. Angeblich will D-Link noch heute(!!) ein Firmware-Update rausbringen:
http://heise.de/-1798853

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
xafford mi~we

„Jetzt scheint aber doch Bewegung in die Sache zu kommen. ...“

Optionen

Was mich daran nur stört ist das "angeblich" und auch das "noch heute" hätte eher ein "letzten Dezember" sein sollen...

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
mi~we xafford

„Was mich daran nur stört ist das "angeblich" und auch das ...“

Optionen

Dazu hätte man die Sache wohl viel früher publik machen müssen. So ein wenig negative Presse bringt die Firmen doch oft erstaunlich schnell auf Trab!

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
xafford

Nachtrag zu: „Router von D-Link mit schwerer Sicherheitslücke.“

Optionen

UPDATE: D-Link hat nun doch schnell reagiert und aktuelle Firmware-Versionen für die betroffenen Geräte veröffentlicht, welche die Sicherheitslücke beseitigen sollen. Die Updates sind über die Support-Seiten von D-Link verfügbar und sollten umgehend eingespielt werden.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Alter68er xafford

„UPDATE: D-Link hat nun doch schnell reagiert und aktuelle ...“

Optionen
bei Antwort benachrichtigen
Klaus119 xafford

„Router von D-Link mit schwerer Sicherheitslücke.“

Optionen

Soweit bin ich gar nicht gekommen!

Der von Kabeldeutschland beigestellte Router hat es nicht geschafft, verlustfrei innerhalb meines kleinen Hauses zu arbeiten. Ein PC-Fachverkäufer hat meine Erfahrung bestätigt und diese Marke bereits seit Monaten aus seinem Angebot entfernt.

bei Antwort benachrichtigen
schuerhaken xafford

„Router von D-Link mit schwerer Sicherheitslücke.“

Optionen

Hallo, Xafford,

wie viele
, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , (Kommata)
soll ich Dir schenken, damit Du auch mal an sie denkst?

Und da gibt es auch noch die Singulars und Plurals, die man beachten kann.
Aber wir wollen jetzt nicht alles auf einmal...

bei Antwort benachrichtigen
Die Doppelbacke schuerhaken

„Hallo, Xafford, wie viele, , , , , , , , , , , , , , , , , , ...“

Optionen
Die Wörter Singulars & Plurals gibt es nicht. Glashaus und so ;)
bei Antwort benachrichtigen
PeterP1 Die Doppelbacke

„Die Wörter Singulars & Plurals gibt es nicht. Glashaus und ...“

Optionen
Die Wörter Singulars & Plurals gibt es nicht.

Ganz so einfach ist es nicht. Solange es den Genitiv gibt, gibt es auch denjenigen des Plurals :-)

Gruß
Peter
bei Antwort benachrichtigen
aldebuedel PeterP1

„Ganz so einfach ist es nicht. Solange es den Genitiv gibt, ...“

Optionen

Der Plural eines Plurals (hier dein Genitiv) ist nicht logisch, ebenso der Plural des Singulars. Verhält sich ähnlich wie die Komparation eines Superlativs. Gibt es nicht.

Aber trotzdem ein guter Einwand.

bei Antwort benachrichtigen
mi~we aldebuedel

„Der Plural eines Plurals (hier dein Genitiv) ist nicht ...“

Optionen

Aber zumindest gibt es den Plural von Plural: PluraleLächelnd

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
aldebuedel mi~we

„Aber zumindest gibt es den Plural von Plural: Plurale“

Optionen

Ja, das ist richtig.

bei Antwort benachrichtigen
jueki mi~we

„Aber zumindest gibt es den Plural von Plural: Plurale“

Optionen
Aber zumindest gibt es den Plural von Plural: Plurale
Falsch.
Das heißt "Pluralers".Zunge raus Das ist Standart!

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
groggyman jueki

„Falsch. Das heißt "Pluralers". Das ist Standart! Jürgen“

Optionen

Hallo

Habt ihr alle kein Internet oder ist euer Browser defekt ?

Plural

-groggyman-

bei Antwort benachrichtigen
jueki groggyman

„Hallo Habt ihr alle kein Internet oder ist euer Browser ...“

Optionen
Habt ihr alle kein Internet oder ist euer Browser defekt ?
Da kannste mal sehen -
"lateinisch: pluralis, von plus = mehr"
Brauchste vom Lateinischen "pluralis" nur das i in ein e zu tauschen - schon hast du das teutsche "Pluralers".
Stimmt doch, oder hab ich Rechd?

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mi~we jueki

„Da kannste mal sehen - "lateinisch: pluralis, von plus = ...“

Optionen

Jetzt bin ich aber gespannt, wie du

Rechd
begründest.Zwinkernd
"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
jueki mi~we

„Jetzt bin ich aber gespannt, wie du begründest.“

Optionen
Jetzt bin ich aber gespannt, wie du Rechd begründest.
Ganz einfach: das t hatte ich für "teutsch" verbraucht.
Also war das d übrig. Und wir wollen doch effizient sein, oder trifft das nur für Seven of Nine zu?
Sieht man doch. Das man da erst nachfragen muß, ts, ts, ts.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mi~we jueki

„Ganz einfach: das t hatte ich für "teutsch" verbraucht. ...“

Optionen

Dass man da erst nachfragen muß
Oder hattest du das zweite s auch schon anderweitig verbraucht?Lachend

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
jueki mi~we

„Dass man da erst nachfragen muß Oder hattest du das zweite ...“

Optionen
Oder hattest du das zweite s auch schon anderweitig verbraucht?
Ja, dies habe ich tunlichst unterlassen.
In einer Zeit, wo die Operette "Zigeunerbaron" zum Beispiel aus Korrektnes in "Roma&Sinti- Baron" umgetauft werden muß, kann das SS am Ende eines Wortes auch fehlverstanden werden.
Und das sollten wir wohl fürsorglich vermeiden.

Jürgen

PS: damit sollten wir aber das gar lustige Schullehrerspiel in einem Technikforum benden.
Sonst muß ich mit dadsächlich noch einen Chirurgen suchen, der mir die entsprechende Körperöffnung (die unterhalb der Nase) weiter schlitzt, damit ich noch breiter grinsen kann.
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mi~we jueki

„Ja, dies habe ich tunlichst unterlassen. In einer Zeit, wo ...“

Optionen

Hast Recht, man soll ja auch nicht zu viel an einem Tag lernen.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
jueki mi~we

„Hast Recht, man soll ja auch nicht zu viel an einem Tag lernen.“

Optionen
Hast Recht, man soll ja auch nicht zu viel an einem Tag lernen.
Richtig. Das schätikt die Neuronen.
Und auch, ganz wichtik, eine lustige Flachserei beenden, bevor daraus grimmiger Ernst wird.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
mi~we jueki

„Falsch. Das heißt "Pluralers". Das ist Standart! Jürgen“

Optionen

Ha! Und das behauptet einer, der Standard falsch schreibt.Lachend

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
gelöscht_84526 mi~we

„Ha! Und das behauptet einer, der Standard falsch schreibt.“

Optionen

....und "das" nicht von "dass" unterscheiden kann. :-)

bei Antwort benachrichtigen
mi~we gelöscht_84526

„....und "das" nicht von "dass" unterscheiden kann. :-)“

Optionen

Dabei ist das doch gar nicht so schwer:
"Das s im das, es bleibt allein, passt dieses, jenes, welches rein."Zwinkernd
Erstaunlich, dass er sich das nicht merken kann...

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
jueki mi~we

„Ha! Und das behauptet einer, der Standard falsch schreibt.“

Optionen
Ha! Und das behauptet einer, der Standard falsch schreibt
Schon wieder falsch. Aber entschuldbar, steht ja sogar falsch im Duden.
Standart ist eine feste, verbindliche Festlegung. Eine harte Bestimmung!
Also kann man dieses Wort keinefalls mit einem pappigen, weichen d schreiben - nur mit einem harten t.
Weiß doch jeder...
Und genau das wurde schon vor 5, 6 Jahren bewiesen, hier:

http://www.nickles.de/forum/festplatten-pruefen-optimieren-probleme-loesen/2007/s-m-a-r-t-538309269.html

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
PeterP1 aldebuedel

„Der Plural eines Plurals (hier dein Genitiv) ist nicht ...“

Optionen

Ich weiß selbst, daß das eine Griffelspitzerei ist. Aber die Rede war von Wörtern, nicht vom Mehrzahl-s. Das bleibt falsch, auch wenn man es im Neudeutschen manchmal anders sieht.

Gruß
Peter

bei Antwort benachrichtigen
aldebuedel PeterP1

„Ich weiß selbst, daß das eine Griffelspitzerei ist. Aber ...“

Optionen

Hallo PeterP,

meine Nachricht schrieb ich mit einem Schmunzeln. Das Problem ist: Ich mag keine Smileys und werde deswegen oft missverstanden. Ich sollte mich wirklich mit diesen Dingern anfreunden.

Viele Grüße,
aldebuedel

bei Antwort benachrichtigen
PeterP1 aldebuedel

„Hallo PeterP, meine Nachricht schrieb ich mit einem ...“

Optionen
:-))  ich mache das auch lieber so ...

Gruß
Peter
bei Antwort benachrichtigen