1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…

Fünf von sechs betroffene Router ist unrealistisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Fünf von sechs betroffene Router ist unrealistisch

    Autor: Hauke 05.10.18 - 21:18

    Hier wurde wohl geguckt ob alle bekannten Sicherheitslücken in den verwendeten Open Source Bibliotheken behoben wurden, z.B. indem auf einen aktuelle Version aktualisiert wurde.

    Ich kann mir schwer vorstellen, dass 20% der Hersteller ein Firmware Update herausgeben nur weil eine Bibliothek, die sie verwenden eine Sicherheitslücke hat. Da (fast) alles Hersteller Linux Systeme verwenden müsste sie eigentlich so oft Updates bekommen wie eine Linux Distribution, also alle paar Tage, ich kennen keinen Hersteller der alle paar Wochen Updates herausbringt.

    Ich glaube eher das ihr automatisches Tool bei 20% der verwenden Geräte nicht richtig funktioniert hat.

    Sehr beliebt ist auch die Verwendung von Samba 3.0.37 oder älter, das ist die letzte Version unter der GPLv2, danach ist das Projekt auf GPLv3 umgestiegen und das mögen die Hersteller nicht, da sie dann den Besitzern ihrer Geräte erlauben müssten Samba gegen eine eigene Version auszutauschen und das nicht mehr mit Secure Boot und co. Verbindern dürfen.

    Hier ist eine Liste mit den Sicherheitslücken von Samba Version 3.0.37:
    https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html

    Ein 2 Jahre alter Linux Kernel gilt auch als aktuell, damit meine ich nicht Kernel 4.9 sondern 3.10.100 oder so. Nur wenige Hersteller trauen sich ein Kernel Update auf eine neue Minorversion zu machen ein Major Update gibt es so gut wie gar nicht.

  2. Re: Fünf von sechs betroffene Router ist unrealistisch

    Autor: corruption 06.10.18 - 04:24

    Einige Hersteller machen automatisiert Updates im Hintergrund die du garnicht mitbekommst. Und diese sind für Security-Updates auch manchmal nicht abschaltbar. Diese Updates setzen eben nicht! auf die aktuellste Version einer Library, sondern patchen halt die Schwachstelle in der eingesetzten Version. Da die Tools dann oft Heuristiken anwenden, wird allein schon von einigen Scannern wegen der Version bemängelt, dass diese Schwachstelle vorhanden ist. (Diese kann und ist oft aber schon längst gepatcht!)



    3 mal bearbeitet, zuletzt am 06.10.18 04:32 durch corruption.

  3. Re: Fünf von sechs betroffene Router ist unrealistisch

    Autor: Slark 06.10.18 - 22:54

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Einige Hersteller machen automatisiert Updates im Hintergrund die du
    > eingesetzten Version. Da die Tools dann oft Heuristiken anwenden, wird
    > allein schon von einigen Scannern wegen der Version bemängelt, dass diese
    > Schwachstelle vorhanden ist. (Diese kann und ist oft aber schon längst
    > gepatcht!)


    Sehr wichtiger Hinweis wieso diese Studie (und damit auch die Artikelüberschrift) sehr zweifelhaft ist. Der Scanner scheint nur die Versionsnummern zu suchen und nicht die Sicherheitslücken. Somit sind zumindestens einige der Ergebnisse der Studie übertrieben, da die verwendeten Komponenten gepatcht sind und auch nicht alle mit allen Möglichen Unterkomponenten gebaut wurden.

    Überlegt nur mal kurz ob die Floppy-Disk-Sicherheitslücke (siehe Linux CVEs der letzten Tage) wirklich relevant für die aufgelisteten Router sein wird (hoffentlich hat keiner der Router diesen toten Code eingebaut)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ING-DiBa AG, Frankfurt
  2. bizIT Firma Hirschberg, Berlin
  3. Landeswohlfahrtsverband Hessen (LWV), Kassel
  4. SHW Automotive GmbH, Tuttlingen, Aalen-Wasseralfingen, Bad Schussenried

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 398,15€ (Bestpreis!)
  2. 798,36€ (Bestpreis!)
  3. 661€ (mit Rabattcode "YDE1NUMXRJSHH3QM" - Bestpreis!)
  4. (u. a. Oculus Go 64GB für 178,45€, PS4 1TB Ghost of Tsushima Bundle mit 2. Dualshock 4 für 328...


Haben wir etwas übersehen?

E-Mail an news@golem.de