Alt 30.01.2013, 00:26   #1 (permalink)
Moderator
 
Benutzerbild von AlBarto
 
Registriert seit: 12.2007
Beiträge: 3.291
Schwere UPnP-Lücke in Hunderten von Routermodellen

Bitte beachten! Ich pinne es oben fest. Alle die sich vielleicht sorgen machen.

libupnp: Schwere UPnP-Lücke in Hunderten von Routermodellen - Golem.de

Es darf gerne diskutiert werden.
__________________
TX-L42ETW60/BDP-7300/Dreambox 8000HD//SONY MDR 1 und XPERIA Z//Front:nubox 381, Rear: DS301, Center: CS411, Subwoofer: AW441; AV:Onkyo TX-NR609
AlBarto ist offline   Mit Zitat antworten
 
Anzeige
 
News
Alt 30.01.2013, 00:39   #2 (permalink)
Lexikon
 
Benutzerbild von hopper
 
Registriert seit: 04.2003
Ort: San Francisco | Sunnyvale
Beiträge: 20.833
AW: Schwere UPnP-Lücke in Hunderten von Routermodellen

Was soll man da diskutieren. Ich hab das immer sofort ausgeschaltet. Datenaustausch-und Steuerungsprotokoll ohne Authentifizierung? Ein Protokoll, dass rein der Bequemlichkeit dient? Unabhängig von den gefundenen Lücken in der Standard-Library, die meisten Router leiten upnp Anfragen ja auch ins Internet oder lassen aus dem Internet kommende upnp-Anfragen durch. Jetzt haben die halt den Salat. Und weil die Router-Firmware von vielen Geräten gar nicht aktualisiert werden kann, hilft wohl in vielen Fällen nur, Hardware entsorgen. Die Hersteller sind schon lange insolvent.
__________________
Ausgelöscht - wir gehören nicht mehr zur Familie :p
hopper ist offline   Mit Zitat antworten
Alt 30.01.2013, 00:49   #3 (permalink)
Lexikon
 
Benutzerbild von hopper
 
Registriert seit: 04.2003
Ort: San Francisco | Sunnyvale
Beiträge: 20.833
AW: Schwere UPnP-Lücke in Hunderten von Routermodellen

Der eigentliche Skandal ist eher ein andere. Rapid7 stellt die Software Metasploit. Und die hatten mal Langeweile, nichts kam im Fernsehen also hat man gewürfelt. Und upnp hat dabei gewonnen. Also hat man sich die Source der Standardbibliothek abgeschaut und an einem Wochenende mit Static-Code-Analysis Tools zig Fehler gefunden. Und diese Schwachstellen veröffentlicht.

Ich bin absolut sicher, dass andere Organisationen das schon vorher gemacht haben. Und die Lücken werden garantiert schon seit Jahren ausgenutzt. Dieses billige Code kopieren ohne ihn zu verstehen wird immer gefährlicher. 50 Byte via Netzwerk an einen Samsung Fernseher gesendet und der muss anschließend zum Hersteller eingeschickt werden, um Teile der Platine auszutauschen. Mal sehen, wann man die ersten Autos so manipulieren kann. Mit einfachsten Tricks, wenn man mal aus Langeweile sich die Source von Standard-Bibliotheken anschaut, und nach kurzer Zeit diverse Standardfehler entdeckt.
__________________
Ausgelöscht - wir gehören nicht mehr zur Familie :p
hopper ist offline   Mit Zitat antworten
Antwort

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an



Alle Zeitangaben in WEZ +1. Es ist jetzt 11:10 Uhr.


Powered by vBulletin® Version 3.8.7 (Deutsch)
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Content Relevant URLs by vBSEO 3.6.0 PL2
© Auerbach Verlag, Leipzig
Twitter