1. Foren
  2. Kommentare
  3. PC-Hardware-Forum
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: AVM warnt vor…

Gibt bereits ein Firmwareupdate, das die Lücke fixt.

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: Lala Satalin Deviluke 05.02.14 - 10:14

    Unitymedia hat das heute morgen versucht auszurollen, jedoch ist da was schief gegangen. :D Ganz Unitymedia mit Fritzbox haben gerade kein Internet, einschließlich mir. Macht mir aber nichts, ist bald gefixt.

    Grüße vom Planeten Deviluke!



    1 mal bearbeitet, zuletzt am 05.02.14 10:14 durch Lala Satalin Deviluke.

  2. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: Anonymer Nutzer 05.02.14 - 12:27

    Welche Lücke? Was für ein Update?

    http://www.avm.de/de/News/artikel/2014/sicherheitshinweis_telefonmissbrauch.html?linkident=kurznotiert

    Wer den Zugang zu seiner Fritzbox via Internet freigegeben und wer seine Daten, also Benutzername, Passwort und URL (dyndns etc.) Dritten (auf welche Wege auch immer) bekanntgegeben hat, ermöglicht Dritten damit, die Fritzbox zu konfigurieren.

    Lösung: Sicherstellen, dass Dritten derlei Daten künftig nicht mitgeteilt werden, dann die Zugangsdaten ändern. Oder den Zugang via Internet nicht freigeben (wenn es nicht benötigt wird).

    Was da zu "fixen" ist, erschließt sich mir nicht.



    1 mal bearbeitet, zuletzt am 05.02.14 12:30 durch chol_4C.

  3. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: Lala Satalin Deviluke 05.02.14 - 12:35

    Und wieso gibt es dann ein Firmwareupdate?

    Grüße vom Planeten Deviluke!

  4. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: Anonymer Nutzer 05.02.14 - 14:14

    > Und wieso gibt es dann ein Firmwareupdate?

    Erneut (sorry): was für ein Update? Was wurde wo veröffentlicht?

    Lt. AVM-Seite wurde bspw. das letzte Update (6.01) für die frei verkäufliche (V)DSL-Box 7390 am 5.12.2013 veröffentlicht. Also keine aktuellen Firmwareversionen aufgrund von "Sicherheitslücken".

    Auf den gebrandeten Unitymedia-Boxen läuft sogar noch 5.50. Die Version wurde von AVM bereits vor einem Jahr veröffentlicht. Unitymedia ist halt nicht so erpicht darauf, den Kunden die Vorteile zu bieten, welche AVM mit der 6er-Firmware ermöglicht. Da gibt es zur "kostenlosen" Fritzbox dann die Firmware, die Unitymedia gern hat.

    > Ganz Unitymedia mit Fritzbox haben gerade
    > kein Internet, einschließlich mir.

    Nö. Wir nutzen Unitymedia ebenfalls über eine Fritzbox 6360. Läuft auch heute wie verrückt.

    Wie gesagt: keine Firmware dieser Welt kann verhindern, dass ein unberechtigter Nutzer mit den korrekten Zugangsdaten, welche dieser vorm berechtigten Nutzer erhalten hat, sich bei einem Gerät anmeldet. Das ist kein Sicherheitsloch. Und so steht es auch nirgendwo. Oder?

    Ganz simpel: entweder keinen Zugriff von außen auf die Konfiguration der Box erlauben oder aber sicherstellen, dass die Zugangsdaten niemand Unbefugter in die Hände bekommt.

  5. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: 0xDEADC0DE 05.02.14 - 17:58

    chol_4C schrieb:
    --------------------------------------------------------------------------------
    > Wie gesagt: keine Firmware dieser Welt kann verhindern, dass ein
    > unberechtigter Nutzer mit den korrekten Zugangsdaten, welche dieser vorm
    > berechtigten Nutzer erhalten hat, sich bei einem Gerät anmeldet. Das ist
    > kein Sicherheitsloch. Und so steht es auch nirgendwo. Oder?
    >
    > Ganz simpel: entweder keinen Zugriff von außen auf die Konfiguration der
    > Box erlauben oder aber sicherstellen, dass die Zugangsdaten niemand
    > Unbefugter in die Hände bekommt.

    Natürlich geht das: 2-Faktor-Authentifizierung. Diese "Sicherheitslücke", die keine zu sein scheint, ist schon eine, wenn man seinen Router über das Internet zugänglich machen will oder muss. Man kann auch anderweitig an Benutzername und Passwort gelangen, oft reicht das Standardpasswort bei älteren Geräten völlig aus. Keinen Zugriff zu erlauben ist ein ehrlich gesagt blöder Tipp, sorry!

  6. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: echnaton192 06.02.14 - 00:00

    Oh Mann. Es ist ganz einach: Zugriff auf Fritzbox nur über vpn. Der https-Zugriff ist unsicher, das war jedem mit fünf pfennig Gehirn klar.

    Wozu will jemand zwei-Faktor-Authentifizierung, wenn vpn die Probleme löst, ohne dass man seine Telefonnummer irgendwem bekannt gibt?

    Faulheit und Datenschutz ist eigentlich egal? Dacht ichs mir.



    1 mal bearbeitet, zuletzt am 06.02.14 00:01 durch echnaton192.

  7. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: 0xDEADC0DE 06.02.14 - 09:40

    echnaton192 schrieb:
    --------------------------------------------------------------------------------
    > Oh Mann. Es ist ganz einach: Zugriff auf Fritzbox nur über vpn. Der
    > https-Zugriff ist unsicher, das war jedem mit fünf pfennig Gehirn klar.

    Der HTTPS-Zugriff ist überhaupt nicht unsicher, was schreibst du da für einen Quatsch? Das Problem haben ALLE Webseiten mit HTTPS, also auch GMX, Amazon, eBay & Co. Wir sollen jetzt auch dadrauf sicher per VPN zugreifen, stimmts? Auf manche Dienste muss man eben direkt per HTTP(S) zugreifen und wenn das nicht innerhalb einer VPN-Verbindung möglich ist, kann man auch keine nutzen. .. Wie war das? Ach ja, oh mann!

    > Wozu will jemand zwei-Faktor-Authentifizierung, wenn vpn die Probleme löst,
    > ohne dass man seine Telefonnummer irgendwem bekannt gibt?

    Was heißt hier "irgendwem"? Man hinterlegt die Mail-Adresse oder Telefonnummer in der Konfiguration der FritzBox oder ähnlichem Gerät.

    > Faulheit und Datenschutz ist eigentlich egal? Dacht ichs mir.

    Kauf dir lieber ein Fernglas, dann siehst den Horizont besser. Engstirnigkeit ist dein Problem.

  8. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: bofhl 07.02.14 - 12:22

    0xDEADC0DE schrieb:
    --------------------------------------------------------------------------------
    > echnaton192 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Oh Mann. Es ist ganz einach: Zugriff auf Fritzbox nur über vpn. Der
    > > https-Zugriff ist unsicher, das war jedem mit fünf pfennig Gehirn klar.
    >
    > Der HTTPS-Zugriff ist überhaupt nicht unsicher, was schreibst du da für
    > einen Quatsch? Das Problem haben ALLE Webseiten mit HTTPS, also auch GMX,
    > Amazon, eBay & Co. Wir sollen jetzt auch dadrauf sicher per VPN zugreifen,
    > stimmts? Auf manche Dienste muss man eben direkt per HTTP(S) zugreifen und
    > wenn das nicht innerhalb einer VPN-Verbindung möglich ist, kann man auch
    > keine nutzen. .. Wie war das? Ach ja, oh mann!

    Bitte informier dich mal was VPN und HTTPS heißt und kann!
    Und ob HTTPS sicher ist oder nicht hängt sehr stark von der benutzten SSL-Protokoll-Version und des Zertifikats ab!
    Bei VPN kann ich bestimmen, welche Geräte sich anbinden dürfen - bei HTTPS kann jeder kommen wer Lust hat! Zusätzlich gibt es zw. HTTPS und VPN eine gewaltigen Unterschied: bei HTTPS werden nur die Nutzdatenpakte bei der HTTP-Kommunikation encodiert - bei VPN wird die gesamte IP-Kommunikation "versteckt", unabhängig was darin gerade transferiert wird. D.h. man sieht nicht mehr, welches Protokoll tatsächlich benutzt wird, auf welches Port man sich verbindet und was geschickt wird.

    >
    > > Wozu will jemand zwei-Faktor-Authentifizierung, wenn vpn die Probleme
    > löst,
    > > ohne dass man seine Telefonnummer irgendwem bekannt gibt?
    >
    > Was heißt hier "irgendwem"? Man hinterlegt die Mail-Adresse oder
    > Telefonnummer in der Konfiguration der FritzBox oder ähnlichem Gerät.

    Bei einigen Providern liegen die notwendigen Daten direkt beim Provider - so auch bei Unitymedia! -, der Benutzer/Kunde hat oft keine Möglichkeit die entsprechenden Daten zu ändern (sprich er hat kein Passwort um in seiner Fritzbox was in diesen Bereich zu ändern)! Der Grund ist der, dass der Provider von sich aus Updates einspielt.

  9. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: desmaddin 07.02.14 - 20:30

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Bitte informier dich mal was VPN und HTTPS heißt und kann!

    Der Unterschied ist eindeutig: VPN kannst du von den meisten Rechnern aus nicht nutzen, weil man erst irgendeine Software installieren muss. Und wenn ich nicht mal eben schauen kann ob etwas eingegangen ist brauche ich auch keine IMHO auch keine Fernwartung.

    Im Übrigen hinkt der Vergleich allgemein. Wenn jemand die entsprechenden Zugangsdaten (und nichts anderes verwendet die FritzBox) klaut, ist es Wurst ob man VPN oder HTTPS klaut.

  10. Re: Gibt bereits ein Firmwareupdate, das die Lücke fixt.

    Autor: 0xDEADC0DE 09.02.14 - 10:39

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Bitte informier dich mal was VPN und HTTPS heißt und kann!

    Sorry, aber ich kenne die Unterschiede. Natürlich ist VPN sicherer als eine "nur" verschlüsselte Verbindung. HTTPS generell als "unsicher" hinzustellen ist aber nach wie vor Unsinn.

    > Bei VPN kann ich bestimmen, welche Geräte sich anbinden dürfen - bei HTTPS
    > kann jeder kommen wer Lust hat! Zusätzlich gibt es zw. HTTPS und VPN eine
    > gewaltigen Unterschied: bei HTTPS werden nur die Nutzdatenpakte bei der
    > HTTP-Kommunikation encodiert - bei VPN wird die gesamte IP-Kommunikation
    > "versteckt", unabhängig was darin gerade transferiert wird. D.h. man sieht
    > nicht mehr, welches Protokoll tatsächlich benutzt wird, auf welches Port
    > man sich verbindet und was geschickt wird.

    Das hilft dir alles nichts wenn die Ursache des Problems ein Trojaner auf deinem Client ist, der eine Sicherheitslücke der Fritz!Box ausnutzt.

    > Bei einigen Providern liegen die notwendigen Daten direkt beim Provider -
    > so auch bei Unitymedia! -, der Benutzer/Kunde hat oft keine Möglichkeit die
    > entsprechenden Daten zu ändern (sprich er hat kein Passwort um in seiner
    > Fritzbox was in diesen Bereich zu ändern)! Der Grund ist der, dass der
    > Provider von sich aus Updates einspielt.

    Es geht mir hier nicht um "Provider", sondern um Endgeräte der Benutzer. Mag sein, dass manche Provider-Geräte das so machen, aber die schließe ich explizit aus. Auf einem gewöhnlichen DSL-Router liegen die Daten offline im Speicher des Gerätes selbst.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Softwareentwickler (gn)
    ESG InterOp Solutions GmbH, Wilhelmshaven
  2. Software Engineer DevOps (m/w/d)
    ASM Assembly Systems GmbH & Co. KG, München
  3. IT Service Manager (m/w/d)
    8com GmbH & Co. KG., Neustadt
  4. (Senior) Strategic Workforce Planner - Shared Services (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 49,99€ statt 74,99€
  2. 919.90€ statt 1.289,80€
  3. 83€ statt 99,99€
  4. 79€ statt 99,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de