Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Fünf von sechs Routern…

Fünf von sechs betroffene Router ist unrealistisch

  1. Thema

Neues Thema Ansicht wechseln


  1. Fünf von sechs betroffene Router ist unrealistisch

    Autor: Hauke 05.10.18 - 21:18

    Hier wurde wohl geguckt ob alle bekannten Sicherheitslücken in den verwendeten Open Source Bibliotheken behoben wurden, z.B. indem auf einen aktuelle Version aktualisiert wurde.

    Ich kann mir schwer vorstellen, dass 20% der Hersteller ein Firmware Update herausgeben nur weil eine Bibliothek, die sie verwenden eine Sicherheitslücke hat. Da (fast) alles Hersteller Linux Systeme verwenden müsste sie eigentlich so oft Updates bekommen wie eine Linux Distribution, also alle paar Tage, ich kennen keinen Hersteller der alle paar Wochen Updates herausbringt.

    Ich glaube eher das ihr automatisches Tool bei 20% der verwenden Geräte nicht richtig funktioniert hat.

    Sehr beliebt ist auch die Verwendung von Samba 3.0.37 oder älter, das ist die letzte Version unter der GPLv2, danach ist das Projekt auf GPLv3 umgestiegen und das mögen die Hersteller nicht, da sie dann den Besitzern ihrer Geräte erlauben müssten Samba gegen eine eigene Version auszutauschen und das nicht mehr mit Secure Boot und co. Verbindern dürfen.

    Hier ist eine Liste mit den Sicherheitslücken von Samba Version 3.0.37:
    https://www.cvedetails.com/vulnerability-list/vendor_id-102/product_id-171/version_id-86925/Samba-Samba-3.0.37.html

    Ein 2 Jahre alter Linux Kernel gilt auch als aktuell, damit meine ich nicht Kernel 4.9 sondern 3.10.100 oder so. Nur wenige Hersteller trauen sich ein Kernel Update auf eine neue Minorversion zu machen ein Major Update gibt es so gut wie gar nicht.

  2. Re: Fünf von sechs betroffene Router ist unrealistisch

    Autor: corruption 06.10.18 - 04:24

    Einige Hersteller machen automatisiert Updates im Hintergrund die du garnicht mitbekommst. Und diese sind für Security-Updates auch manchmal nicht abschaltbar. Diese Updates setzen eben nicht! auf die aktuellste Version einer Library, sondern patchen halt die Schwachstelle in der eingesetzten Version. Da die Tools dann oft Heuristiken anwenden, wird allein schon von einigen Scannern wegen der Version bemängelt, dass diese Schwachstelle vorhanden ist. (Diese kann und ist oft aber schon längst gepatcht!)



    3 mal bearbeitet, zuletzt am 06.10.18 04:32 durch corruption.

  3. Re: Fünf von sechs betroffene Router ist unrealistisch

    Autor: Slark 06.10.18 - 22:54

    corruption schrieb:
    --------------------------------------------------------------------------------
    > Einige Hersteller machen automatisiert Updates im Hintergrund die du
    > eingesetzten Version. Da die Tools dann oft Heuristiken anwenden, wird
    > allein schon von einigen Scannern wegen der Version bemängelt, dass diese
    > Schwachstelle vorhanden ist. (Diese kann und ist oft aber schon längst
    > gepatcht!)


    Sehr wichtiger Hinweis wieso diese Studie (und damit auch die Artikelüberschrift) sehr zweifelhaft ist. Der Scanner scheint nur die Versionsnummern zu suchen und nicht die Sicherheitslücken. Somit sind zumindestens einige der Ergebnisse der Studie übertrieben, da die verwendeten Komponenten gepatcht sind und auch nicht alle mit allen Möglichen Unterkomponenten gebaut wurden.

    Überlegt nur mal kurz ob die Floppy-Disk-Sicherheitslücke (siehe Linux CVEs der letzten Tage) wirklich relevant für die aufgelisteten Router sein wird (hoffentlich hat keiner der Router diesen toten Code eingebaut)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Winkelmann Group GmbH + Co. KG, Ahlen
  2. Pfennigparade SIGMETA GmbH, München
  3. Stadt Weil der Stadt, Weil der Stadt
  4. Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO, Esslingen am Neckar

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Benq 28 Zoll 4K UHD für 219,00€, AOC 27 Zoll Curved für 199,00€, Acer Predator 32 Zoll...
  2. 119,90€ (Bestpreis!)
  3. 89,90€ (Bestpreis!)
  4. 449,90€ (Release am 26. August)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Elektroauto Porsches Elektroauto Taycan im 24-Stunden-Dauertest
  2. Be emobil Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
  3. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Mercedes EQV Daimler zeigt elektrische Großraumlimousine
  2. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  3. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

  1. Telekom: 30 Millionen Haushalte mit Vectoring und FTTH erreicht
    Telekom
    30 Millionen Haushalte mit Vectoring und FTTH erreicht

    30 Millionen Haushalte können von der Telekom schnelles Internet bekommen. 1,1 Millionen davon sind für den Anschluss an das Glasfaser-Netz der Telekom vorbereitet.

  2. Google: Android Q heißt einfach Android 10
    Google
    Android Q heißt einfach Android 10

    Schluss mit den Süßigkeiten: Google bricht mit der zehn Jahre alten Tradition, seine Android-Versionen nach Naschwaren zu benennen. Aus Android Q wird dementsprechend einfach Android 10, dessen finaler Release in den kommenden Wochen erscheinen soll.

  3. Keine Gigafactory: Tesla will offenbar Autos in Niedersachsen bauen
    Keine Gigafactory
    Tesla will offenbar Autos in Niedersachsen bauen

    Der Elektroautohersteller Tesla erwägt den Bau einer Fabrik in Niedersachsen. Eine Giga-Fabrik für Akkuzellen und Batterien ist allerdings nicht geplant.


  1. 17:32

  2. 17:10

  3. 16:32

  4. 15:47

  5. 15:23

  6. 14:39

  7. 14:12

  8. 13:45