[Problem] Achtung LCR Sicherheitsproblem mit aktueller Firmware 5.50 !!!

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
M

megakeule

Mitglied
Mitglied seit
25 Jan 2005
Beiträge
375
Punkte für Reaktionen
40
Punkte
28
@Harald,

Bitte nimm den direkten Link zum LCR von der Fritzbox Login Seite weg!
Seit der 5.50er Firmware kommt man bei der Fernwartung direkt auf die Login-Page um sich zu authentifizieren, so als ob man von intern auf die Box zugreift. Die Fritzbox selbst ist über das (bei mir starke) Fernwartungspasswort gesichert, aber den LCR kann man mit dem (bei mir schwachen) internen Passwort direkt aufrufen. Manche Nutzer haben möglicherweise gar kein interens Passwort gesetzt...

Nochmal:
- Alle Versionen vor 5.50 fragen in einen extra Dialog den Fernwartwungs User/Passwort ab, BEVOR man die eigenliche Login Seite sieht.
- Seit Version 5.50 kommt man direkt auf die Login Seite, wo der Link zum LCR direkt angeklickt werden kann und dann nur das Fritzbox PW eingegeben werden muss.

Kurz: Der LCR Link muss von der Loginseite weg!

Gruss,
die Keule
 
Update:
Der LCR link läßt sich leider auch über die dyndns-Addresse im Format: https://meineAdresse.dyndns.org/cgi-bin/tsb/index.html direkt aufrufen.
Im Gegensatz zu den Versionen <5.50 erscheint der https-Passwort-Dialog nicht mehr. Damit ist das BoxPasswort der einzige Schutz, wenn es denn gesetzt ist.
 
Es wird immer besser:
Slebst wenn man das Fritzbox-Passwort ändert, um zum Beispiel ein stärkeres Passwort zu verwenden, kann man sich mit dem alten Passwort immernoch am LCR anmelden. Keine Ahnung, wie man das PW des LCR ändern kann/soll. Jedenfalls folgt es nicht mehr den Fritzbox Passwort!
 
@megakeule
ich haben den LCR zwar nicht mehr auf der Box.
Aber ich denke du hast das Passwort für den Benutzer und nicht das der Box geändert.

Ich denke das der LCR das reine Fritzbox-Kennwort nutzt. Auch wenn es für den "normalen Zugang" deaktiviert wurde
 
Hallo,
bei mir wird nach überhaupt keinem Passwort für den LCR gefragt wenn ich per Fernkonfig. reinkomme. Man kann sozusagen direkt, bevor man sich authtifiziert in den LCR abbiegen. Das war auch intern schon immer störend bzgl. Gästen usw. Aber war für mich jetzt nicht so sicherheitsrelevant wie wenn jeder sich einloggen kann.
Wenn ich auf Konfiguration gehe sagt mein Browser, dass die Daten trotz verschlüsselter Verbindung unverschlüsselt übertragen werden.
 
Tieflieger schrieb:
@megakeule
Aber ich denke du hast das Passwort für den Benutzer und nicht das der Box geändert. Ich denke das der LCR das reine Fritzbox-Kennwort nutzt. Auch wenn es für den "normalen Zugang" deaktiviert wurde
Zum Vergrößern anklicken....

Nein, kann eigentlich nicht sein. Ich habe noch nicht auf das neue Login (Benutzername+Passwort) umgestellt. Ich benutze weiterhin das alte Schema, bei dem man intern nur nach dem Passwort gefragt wird. Dies ist das selbe Passwort das auch bei Telnet abgefragt wird.

Ich glaube langsam, der LCR hat noch ein weiteres Problem welches verhindert, dass Konfig-Änderungen gespeichert werden können. So wird bei mir weiterhin der LCR-Eintrag in der Menu-Struktur angezeigt, obwohl ich das angeschaltet habe und trotz reboot und cache-löschen. Kann sein, dass er aus dem gleichen Grund die Änderung des Boxpasswortes nicht berücksichtigt?
 
@megakeule

ich finde deinen Ton etwas eigenwillig mit leichtem Touch ins Unverschämte.

Kein Stück Software is perfekt. Und da AVM intern umstellen vornimmt und Harald die Reverse-Entwicklung dann betreiben muss is das nicht einfach.

Ausserdem darfst du nicht vergessen das die Programmierung des LCR eine 1-Mann-Show ist.
Bitte schreib etwas freundlicher.

Netter Umgangston herrscht hier und vorallem Harald gegenüber für seine tolle Arbeit.

zu dem LCR-Link verschwinden lassen:

Du kannst per Telnet dich auf die Box verbinden und dann den Link aus der entsprechenden Datei entfernen. Anleitung wie man solche Dateien bearbeitet per Telnet findest du per Google oder hier per Forumssuche :)

Damit is aber nu der Link erstmal weg also was kosmetisches ;) Man soll ja seine DynDns-Adresse nicht in der Welt rausposaunen ;)
 
BurningCrash schrieb:
@megakeule
ich finde deinen Ton etwas eigenwillig mit leichtem Touch ins Unverschämte.
Bitte schreib etwas freundlicher.
Netter Umgangston herrscht hier und vorallem Harald gegenüber für seine tolle Arbeit.
Zum Vergrößern anklicken....

Ich finde deine Anschuldigungen weit unverschämter als meinen Ton. An dem kann ich nämlich so absolut gar nichts unverschämtes sehen und eigenwillig wird ja wohl noch nicht verboten sein, in diesem Forum, oder ist mir da was entgangen?

Im oberen Teil meines Posts antworte ich auf einen direkte Frage an mich und im unteren stelle ich fest, dass der LCR (bei mir) seit Version .50 Konfig-Änderungen ignoriert. Weder reagiert er auf das neue Fritzbox Passwort das ich gesetzt habe, noch entfernt er die Links, wenn ich den Haken bei den Einstellungen rausnehme. Das ist ein Bug der neu ist und solange Harald sich dazu nicht äussert, kann ich auch nicht wissen ob das Problem nur bei mir besteht oder ob es mit den AVM Änderungen zu tun hat.

Das neue Login-Verfahen hat AVM mittlerweile übrigens bestens dokumentiert.

Das man ein Sicherheitsproblem mit deutlichen, vieleicht etwas markigen Worten anspricht, ist ja hoffentlich in auch ein deinen Augen nicht unverschämt oder beleidigend. An keiner Stelle habe ich dabei irgendetwas gefordert!

Und wie ich meine Dyn-Dns Addresse "in die Welt posaune" das lass doch bitte auch meine Sache sein! Was für ein Schachsinn zu glauben die sollte/könnte man geheim halten...
 
Wegen dem LCR:

Wenn ich Harald richtig verstanden habe schreibt er gerade den LCR wohl teilweise oder komplett um und bei einer 1-Mann-Show dauert das selbst.

Zur 05.50:

AVM hat so einiges verändert nicht nur das Login-Verfahren. Daher wenn du nur die Box geupdatet hast und nicht den LCR dann liegt das an den Veränderungen von AVM ;)


Zum Rest:

Es wirkt so auf mich und das war meine Meinung die ich freundlich ausgedrückt habe. Mit dem sollte/könnte is jedem das seine. War ja nur ne Idee ;) (Achtung Smilieeinsatz ;-) )


Workaround:
Wurde von mir in Post #7 angesprochen ;)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 558 (Mitglieder: 0, Gäste: 558)

Neueste Beiträge

Statistik des Forums

Themen
245,745
Beiträge
2,239,022
Mitglieder
372,918
Neuestes Mitglied
Bladekilt
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück