AVM Sicherheitshinweise für die 6.30 wurde mit Inhalt gefüllt

megakeule

Mitglied
Mitglied seit
25 Jan 2005
Beiträge
375
Punkte für Reaktionen
40
Punkte
28
AVM hat die Sicherheitshinweise zu den Fixes in Version 6.30 mit Informationen zu den gefixten Sicherheitslücken ergänzt.

Quelle: https://avm.de/service/sicherheitshinweise/

Sicherheitsverbesserungen FRITZ!OS 6.30
Beschreibung
- Veraltetes RC4-Verschlüsselungsverfahren wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
- Veraltetes SSLv3-Protokoll wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
- HTML-Injection-Möglichkeit bei der Verwendung der Funktion "Push Mail" behoben. Vielen Dank an D. Schliebner für die Meldung.
- Bei dem Versuch, eine präparierte Firmware-Datei manuell einzuspielen, wird die Ausführung von Befehlen verhindert. Das Einspielen einer Firmware-Datei erfordert eine vorherige Anmeldung auf der FRITZ!Box-Oberfläche. Vielen Dank an RedTeam GmbH für die Meldung.
- Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.

FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490
Behoben mit FRITZ!OS 6.30
 
Rein gefühlt würde ich sagen, hier fehlt: "Vielen Dank an PeterPawn (wiss. MA bei IPPF.eu)"
 
@MuP
jep diesbzgl. :rock:
 
Tatsächlich wurde zur 06.30 noch eine weitere - nicht aufgeführte - Lücke geschlossen. Deren Entdeckung und ihre Details hat AVM aber von mir mit einer Bug-Bounty-Prämie "gekauft". Ob sie also Details veröffentlichen oder nicht, liegt im Ermessen der AVM GmbH, die Lücke ist jedenfalls in der 06.30 geschlossen, das kann ich versichern.

Da ich mich mit der Bug-Bounty-Prämie auch zum Schweigen über die Details verpflichtet habe, kann ich dazu nichts weiter schreiben, das Problem besteht in älterer Firmware für EOS-Boxen auch noch fort, daher kann ich durchaus nachvollziehen, daß AVM zu dieser Lücke nichts schreibt - schon die Andeutung der Richtung, in der zu suchen wäre, könnte zum Ausnutzen der Lücke führen - von extern zwar nicht ganz einfach, aber eben auch nicht ausgeschlossen.

Weitere Lücken werden mit der 06.36 dann geschlossen ... was am Ende das Fazit für einzelne Probleme ist, kann man eben erst mit dem Vorliegen einer Release-Version endgültig feststellen. Jede Woche (inzwischen vielleicht jeden Werktag, wenn das so weitergehen sollte und die Labor-Version von heute sich nicht als Hoax herausstellen sollte) alles komplett zu testen, scheitert schon daran, daß ich immer noch auf meine Reserve-7490 warte und auch derzeit nur einen einzelnen DSL-Anschluß habe, der auch "arbeiten" muß und nicht nur zum Testen herhalten kann.
 
Das nenne ich mal offene Informationspolitik von AVM. Da bleibt ja außer großartigen Ankündigungen nicht viel übrig.
Bei den EOS Geräten scheinen sie es diesmal nicht eilig zu haben, sonst gäbe es ja schon lange Updates. Sieht so aus, als ob sie deine Lücke niemals veröffentlichen, da das ja ohne Update der EOS Geräte ein zu großes Risiko wäre.

Weckt nicht gerade Vertrauen. Wer weiss vieviele Lücken es noch gibt, von denen wir nichts wissen...
 
Einen Tod muß man an der Stelle sterben ... die EOS-Boxen sind nun mal ein Fakt, den man nicht ohne weiteres vom Tisch kriegt. Für AVM wäre es zwar vielleicht ein Leichtes, einfach die Lücke zu veröffentlichen und EOS ist eben EOS, sollen die Leute halt neue Router kaufen (komischerweise klappt das bei anderen Geräten ja auch in wesentlich kürzeren Abständen) - das kurbelt dann auch gleich noch den Absatz an.

Aber es gibt vermutlich immer noch zu viele ältere Geräte in freier Wildbahn, einige hier haben sogar noch 7170 am Laufen ... aber wirklich zählen dürften die diversen 7270v2-Boxen bei KDG (HomeBox 1) oder auch bei älteren 1&1-Kunden. Für die wurde ja sogar noch AHA funktionsfähig nachgebaut ... die jetzt auf einen Streich zum alten Eisen zu deklarieren, ist vermutlich auch nicht ganz so einfach.

Wenn irgendwann wieder eine Lücke im Ausmaß der webcm-Probleme auftauchen sollte, wird AVM die sicherlich auch bei den 7270-Modellen noch fixen (vermutlich sogar bei v1 noch) ... die von mir angesprochene Lücke braucht schon spezielle Umstände, um von extern genutzt zu werden und daher halte ich die Sicherheit der Boxen bei den Kunden auch nicht für so gefährdet, daß ein Aufschrei durch die Reihen gehen muß.

Ich denke, man darf AVM da immer noch etwas Vertrauensvorschuß einräumen ... allerdings werden wir tatsächlich von wirklich kritischen Lücken sicherlich auch weiterhin nichts erfahren - die Natur der webcm-Lücke kam ja auch erst ans Licht, nachdem die Fehlerbehebung durch AVM analysiert wurde. Ich würde sogar annehmen, daß AVM diesen Fehler kein zweites Mal macht ... sollte so ein Fall erneut auftreten, wird es sicherlich weitere zusätzliche Änderungen geben, die eine Ermittlung der genauen Ursache einer behobenen Schwachstelle schwerer machen.

Auf der anderen Seite ist eine Politik, die nicht EOS-Geräte automatisch auch zu Elektro-Schrott degradiert, auch gar nicht so schlecht ... gesetzt den Fall, nur 5 Prozent der in D eingesetzten (DSL-)FRITZ!Boxen wären bereits EOS und in so einem Falle zu ersetzen ... das macht bei ~20 Mio. DSL-Anschlüssen, >50% AVM-Anteil (10 Mio. FRITZ!Boxen) immer noch ca. 500.000 FRITZ!Boxen, die dann auf einen Schlag durch andere (noch unterstützte) Modelle zu ersetzen wären. Dafür dürften die Produktionskapazitäten vermutlich gar nicht reichen.

Es hat also alles seine zwei Seiten ... wobei eben auch die Publikation, wie Kunden sich vor einem bekannten Problem schützen können (workaround), selbst wenn die Firmware wg. EOS nicht mehr aktualisiert wird, eine denkbare Alternative wäre - das machen andere Hersteller jedenfalls so.
 
Zumal dass ja mit RC4, SSL v2/v3 ect. ja nicht so neu ist, sag nur POODLE, BEAST, Heartbleed ect. was es da so für Lücken im SSL gab/gibt.
 
Hallo,

da bleibt für mich eine wichtige Frage?
Bei der Lücke die PeterPawn entdeckt hat, besteht nur Sorge bei Boxen die den DSL-Anschluss machen oder auch bei Client-Boxen?

Ich denke viele von uns nutzen die älteren Boxen im Client oder Repeater Modus.
 
Zuletzt bearbeitet:
Moins

XSS Attacken finden im LAN statt.
...auch wenn der Schadcode aus dem Internet stammt.

Aber immer wieder: Passt auf wo ihr eure USB-Sticks reinsteckt :D

Es gab auch mal eine Zeit, da waren selbstgebrannte CDs auch (ab und zu) mal verseucht.
 
Zuletzt bearbeitet:
Tatsächlich wurde zur 06.30 noch eine weitere - nicht aufgeführte - Lücke geschlossen. Deren Entdeckung und ihre Details hat AVM aber von mir mit einer Bug-Bounty-Prämie "gekauft". Ob sie also Details veröffentlichen oder nicht, liegt im Ermessen der AVM GmbH, die Lücke ist jedenfalls in der 06.30 geschlossen, das kann ich versichern.

Da ich mich mit der Bug-Bounty-Prämie auch zum Schweigen über die Details verpflichtet habe, kann ich dazu nichts weiter schreiben, das Problem besteht in älterer Firmware für EOS-Boxen auch noch fort, daher kann ich durchaus nachvollziehen, daß AVM zu dieser Lücke nichts schreibt - schon die Andeutung der Richtung, in der zu suchen wäre, könnte zum Ausnutzen der Lücke führen - von extern zwar nicht ganz einfach, aber eben auch nicht ausgeschlossen.

Dann hoffen wir mal dass die Lücke keiner durch Vergleichen von 06.24 und 06.30 aufdeckt ...

Noch so eine Sicherheitslücke a la "webcm" muss echt nicht sein.

EDIT: lol der "webcm" ist in der 06.30 komplett verschwunden? Oder bin ich nur zu blöd den zu finden?
 
Zuletzt bearbeitet:
Heute hat die RedTeam GmbH, der AVM in den Sicherheitshinweisen dankt, ihrerseits die betreffenden Lücken auf "full disclosure" veröffentlicht:

http://seclists.org/fulldisclosure/2016/Jan/12
http://seclists.org/fulldisclosure/2016/Jan/13

Dieser Prozess des Auspackens von Updates war schon länger angreifbar, den offensichtlichsten Fehler dabei hat AVM schon vor längerem durch das nachträgliche zwangsweise Überschreiben der /var/post_install aus dem originalen var.tar-Archiv im SquashFS-Image entschärft. Wenn das Image eine Datei /var/post_install enthielt, war ansonsten früher die Übernahme der FRITZ!Box direkt beim anschließenden Neustart möglich, bei dem ja genau diese /var/post_install ausgeführt wird.

Gelöst wurde dieses Problem nunmehr (weitgehend jedenfalls), indem das Entpacken nicht mehr mit dem Wurzelverzeichnis als Basis ausgeführt wird, sondern mit /var/packet /var/unpack ... damit landet der Inhalt des Images unter /var/packet/unpack/var/irgendwas und wird anschließend (nach erfolgreicher Signaturprüfung) nach /var verschoben.

Der zweite Bug ist allerdings besonders schön, auch in der Herleitung aus den Infineon-Quellen, die im Rahmen von DD-WRT veröffentlicht sind (bei AVM sind sie nicht Bestandteil des Source-Pakets). Glückwunsch an RedTeam GmbH, das war wirklich eine reife Leistung und es zeigt eben wieder mal überdeutlich, daß die Argumentation "Der Port ist doch nur von innen erreichbar." zwar richtig sein mag, daß aber Angriffe aus dem LAN in der heutigen Zeit eben genauso ins Kalkül zu ziehen sind bei der Bewertung der Sicherheit der Firmware eines Routers.

Was mich aber wieder erschüttert, ist die Timeline des ersten Bugs ... das ist mehr als ein ganzes Jahr und das bei einem Fehler, der immerhin mit "medium risk" eingeschätzt wird. Da ja die Anzeige der Seite mit der fehlgeschlagenen Signaturprüfung in diesem Falle ebenfalls schon unter der Kontrolle des Angreifers erfolgt (einen ähnlichen Vorschlag hatten wir hier mal diskutiert, wenn auch erst für die "Neustart wird jetzt ausgeführt"-Seite), ist es aber auch wieder ein Zeichen, daß man eben immer selbst in so ein Image für ein "Pseudo-Update" hineinsehen sollte (wenn man vorhaben sollte, die fehlerhafte Signatur zu ignorieren), egal ob es nun das "Telnet-Image" aus dem LCR-Thread ist oder mein "modfs-starter". Wenn einem jemand ein X für ein U vormachen kann, was in so einem Image enthalten sein soll, befindet man sich immer in der Hand des "Angreifers".

Zumindest sollte der beschriebene Angriff auf den Prozess des Entpackens eines Update-Images nicht über TR-069 funktionieren, denn auch dort wird (meistens jedenfalls, der Bug bei der 06.05 der 7270 wurde ja mit der 06.06 auch beseitigt) die Signaturprüfung wohl durchgeführt und mangels Mitwirkung des Benutzers an dieser Stelle hilft es dem Angreifer auch nicht, daß er den HTTP-Server für das GUI (bzw. dessen Seiten) unter seiner Kontrolle hat - die fehlgeschlagene Signaturprüfung führt zur Wiederherstellung der /var/post_install aus der /var.tar und einem anschließenden Neustart, ohne daß die enthaltene /var/install oder irgendein anderes File unterhalb von /var da noch eine Rolle spielen.

Warum so etwas aber eben nicht nur mit einem Menschen vor einem Browser funktioniert, sondern auch aus einem automatischen Prozess auf einem anderen angegriffenen Host im LAN heraus möglich ist, habe ich oft genug versucht zu beschreiben. Insofern ist zwar die lokale Anmeldung mit SID besser als irgendeine andere mit Cookies (oder gar Telnet mit Klartext-Übertragung von Benutzername und Kennwort), aber solange ein lokaler Angreifer an so eine Session-ID gelangt (ob im Browser seines Opfers, wo dann zugegebenermaßen nicht mal TLS hilft, allerdings ist es dann auch eher ein Problem des Browsers als der Firmware oder durch Belauschen der Kommunikation eines autorisierten Benutzers mit der FRITZ!Box, weil da in der Regel eben kein TLS verwendet wird), sind solche Lücken aus dem LAN eben immer noch ein dankbares Ziel. Das wird man zwar nicht generell verhindern können, aber man muß eben den schmalen Grat zwischen Sicherheit und Bequemlichkeit für den Benutzer finden und der ist keinesweg unverrückbar und breit wie die Chinesische Mauer, der verschiebt sich bei immer ausgefeilteren Angriffen eben ständig und dieser Entwicklung muß man dann auch Rechnung tragen.

Was mich hingegen tatsächlich (positiv) überrascht, ist die Veröffentlichung der beiden Bugs mit CVE-Nummern auf Full Disclosure. Es gab zwar vor fast 10 Jahren schon einmal zwei entsprechende Einträge zu FRITZ!Boxen dort (aus dem Kopf, suche ich jetzt nicht) ... aber seitdem hat es sowohl AVM verstanden, solche Meldungen dort zu vermeiden als auch niemand anderes seinerseits (ob nun nach Meldung an AVM oder nicht - das ist reine Frage des eigenen Standpunkts zum Thema "full vs. responsible disclosure" und die will ich gar nicht neu diskutieren, ein Papier des BSI zur Erklärung hatte ich auch mal irgendwo verlinkt) dort entsprechende Veröffentlichungen vorgenommen. Das machte ja gerade das "Raten" so schwer, welche Fehler denn nun mit welcher Version beseitigt wurden und welche nach wie vor noch in den Tiefen der Firmware schlummern.
 
Zuletzt bearbeitet:
FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490Behoben mit FRITZ!OS 6.30

Also ist im Umkehrschluß meine 7390 mit 6.20 sicher, weil ein Update auf 6.30 für diese Lücke nicht nötig ist laut Meldung?

Viele Grüße

#50
 
Da steht aber auch:
Product: AVM FRITZ!Box 7490, possibly others
Affected Versions: versions prior to 6.30 [0]

Und 6.20 ist Prior 6.30 ;)
 
Die Meldung "7490, possibly others" wurde am 12. Januar veröffentlicht.

"possibly others" wurde am 13. Januar detailliert spezifiziert.
Ebenfalls ohne die "veraltete" 7390.

Die 7390 wird aber auch nicht mehr auf den Produktseiten von AVM gelistet:

http://avm.de/produkte/fritzbox/
 
Danke für die Infos! Da die Box aber noch aktuelle Firmwares erhält, ist das nun wohl endgültig der Grund, auf eine aktuelle Version zu gehen. ;)
 
Weiss jemand, ob diese Luecken bei der 7270 mit der FW 6.0.6 geschlossen wurden?

MfG
sulihari
 
Hallo Peter,dafür hat doch AVM dich.:p
Das meinte ich gar nicht ... ich kenne das bloß von mir selbst, daß ich bei jeder neuen Version meine eigenen Tests erst einmal abspulen muß. Ich habe es nun wieder (teilweise) schriftlich und fernmündlich von AVM (für früher gemeldete Bugs), daß man gar nicht daran denkt, dem Meldenden für solche Bugs seinerseits eine Information zukommen zu lassen, ob man solche Bugs überhaupt fixen will und wenn ja, wann das sein wird oder ob man das überhaupt als Fehler wahrnimmt. Das hat sich zwar im Sommer etwas verschoben in der Reaktion, aber für früher gemeldete Probleme kann ich selbst zumindest weiterhin nur bei jeder neuen Ausgabe testen, ob sich etwas getan hat und meine Liste Punkt für Punkt durchgehen.

Ich weiß zum Beispiel bis heute nicht, ob AVM irgendwann mal etwas an der Initialisierung des PRNG in der Firmware gemacht hat oder jemals etwas an dieser Stelle unternehmen wird oder ob das tatsächlich nicht notwendig ist (das Problem habe ich nicht nur im IPPF beschrieben, sondern auch AVM "gemeldet") ... die Zeichenkette "string to make the random number generator think it has entropy" aus den OpenSSL-Beispielen/-Tests ist jedenfalls in der libikeossl.so bei der 06.50 der 7490 immer noch so vorhanden ... sie hat also den Sprung auf eine neue Kernel-Version schadlos überstanden. Jetzt müßte man natürlich für den validen Nachweis, daß diese Zeichenkette nach wie vor verwendet wird als "Entropie-Quelle", zwar hingehen und die Library in einen eigenen Wrapper verpacken und die Aufrufe der Funktionen
Code:
InitOsslCrypto()
DH_GenerateSharedSecret(st_DHValues*, unsigned short, int)
DH_GeneratePrivatAndPublicValue(st_DHValues*, int, int)
ASN1DN_2_String(unsigned char*, int, char*, int) (die sicherlich eher keinen PRNG braucht)
mitloggen ... aber zumindest zur 06.20 hin hat AVM diese Library auch definitiv noch einmal angefaßt, denn es finden sich neue Symbole (primeX) für die hinzugefügten DH-Groups. Ich habe jedenfalls nirgendwo den Hinweis gelesen, daß die Entropie des PRNG jetzt sichergestellt wird in neuen Firmware-Versionen ... und genau solche Fälle mein(t)e ich mit dem "Raten". Es ist vollkommen unklar, ob AVM das überhaupt als Problem sieht, es anhand der Quelltexte ausschließen kann oder ob es behoben wurde und nur noch diese dämliche Zeichenkette als Überbleibsel existiert (das wäre ein merkwürdig optimierender Compiler, der eine ungenutzte Zeichenkette in die erzeugte Objektdatei schreibt).

Andererseits könnte durchaus auch mein Sarkasmus-Detektor defekt sein und Du meintest das am Ende anders ... dann wäre mir das aber auch egal, selbst wenn ich nur der "Rufer in der Wüste" wäre.

Insofern erstaunt mich die Timeline für den Update-Bug eben besonders, weil einige der mir vorliegenden E-Mails genau auch aus diesem Zeitraum (September 2014 bis Dezember 2015) stammen - offenbar hat AVM aber der RedTeam GmbH entsprechend geantwortet - ja, wenn ich die Timeline richtig interpretiere, haben die Leute dort sogar innerhalb von einem Monat eine fehlerbereinigte Version für weitere Tests erhalten. Nun mag ich ja auch besonders ungeduldig sein, aber wenn zwischen der Meldung von RedTeam (16.10.2014) und der ersten Reaktion von AVM (11.11.2014) auch schon fast vier Wochen liegen (so liest sich die Timeline für mich jedenfalls), dann finde ich persönlich das einfach zu viel Zeit, die da vergeht. Das sind dieselben Zeiträume, die andere Hersteller aus China oder Taiwan (die Diskussion, ob das eins ist, spare ich mir) oder Malaysia oder Korea usw. auch an den Tag legen.

Wenn man sich jetzt aber vor Augen hält, seit wann der Bug mit konkreter Fehlerbeschreibung durch RedTeam vorlag (16.10.2014) und wann dann die gefixte Version erschien (16.07.2015), dann gab es zwischendrin noch weitere Release-Versionen (für mehrere Modelle, aber die konkreten Termine habt ihr beim ruKernelTool vermutlich viel genauer, als ich die jetzt ermitteln könnte), die wohl nach wie vor angreifbar waren.

Egal, wie man die Schwere des Fehlers einschätzen mag, relativiert das doch die von AVM bei "webcm-Gate" gezeigte Geschwindigkeit bei der Fehlerbehebung erheblich. Man kann/muß sicherlich nicht jeden kleinen Bug sofort mit einer "Sonderausgabe" fixen, aber gerade dieser offensichtliche Bug mit dem Auspacken nach /var war lange bekannt und hätte schon für so viele andere Angriffe mißbraucht werden können (auch die /var/assume_all_access_from_homenetwork, mit der man die Prüfung externer Zugriffe auf dieselben Voraussetzungen beschränken konnte, wie sie für internen Zugriffe gelten, im Extremfall eben auf gar keine Prüfung -> keine Anmeldung im Heimnetz) landete nach einem solchen mißglückten Auspacken ja dort, die wurde aber irgendwann nach der 06.30 erst "abgeschafft" (endlich) - jedenfalls taucht sie im ctlmgr der 06.50 nicht mehr auf), so daß das Schließen an dieser Stelle lange überfällig war. Die Bemühungen zum "Flicken" dieser fundamentalen Lücke durch das nachträgliche Ersetzen der /var/post_install:
Code:
rm -rf /var/post_install ; ( cd / ; tar xf /var.tar ./var/post_install )
in firmwarecfg stehen ja auch klar dafür, daß man zumindest um das Problem des Entpackens dorthin wußte - nur hat man eben anstelle der generellen Überarbeitung auf "Reparaturen" gesetzt, die aber durch neue Ideen dann auch wieder ausgehebelt werden können.

Wenn von AVM die notwendige Geschwindigkeit (nun mag man noch darüber streiten, was da angemessen wäre, 9 Monate sind es m.E. eben nicht und wenn es für ältere Geräte gar keine 06.30 mehr gibt, bleiben die eben angreifbar auf diesem Weg) nur dann umgesetzt wird, wenn so ein Fehler bereits aktiv ausgenutzt wird oder zumindest öffentlich bekannt ist (bis zum Ausnutzen ist es dann schon noch ein weiterer gewaltiger Schritt), ist das wieder ein gewichtiges Argument für "full disclosure" von Beginn an - da beißt für mich die Maus keinen Faden ab, auch wenn ich nicht per se zu den Befürwortern einer radikalen "full disclosure"-Philosophie gehöre (wie viele Unterstützer der BSD-Projekte).

Nur dann wird der Hersteller (der das natürlich keinesfalls als "angenehm" empfindet, aus nachvollziehbaren Gründen) "unter Druck gesetzt" ... und das sollte man jetzt nicht mit "erpreßt" oder "genötigt" verwechseln - aber die (hoffentlich inzwischen hinfällige) Politik der stillschweigenden Fehlerkorrekturen rächt sich natürlich an dieser Stelle dann auch wieder, weil kein Nutzer (außer bei den beiden nunmehr von RedTeam inkl. PoC veröffentlichten Bugs) selbst prüfen kann, welchen Fehler AVM bei seinem Modell vielleicht schon mit einer kleineren Versionsnummer gefixt hat, weil das betreffende Update erst nach der späteren Version für eine der "Mainstream-Boxen" erschienen ist. Schon die Tatsache, daß bei den KNB ja wohl noch 06.2x-Versionen bei der 6490 im Einsatz sind, könnte ja jetzt einige Kunden auf dumme Gedanken kommen lassen ... immerhin gibt es dort aber das Update per Datei gar nicht erst (ein konformes Gerät erfordert auch ein anders signiertes Update (CVC) als es die AVM-DSL-Boxen erwarten/bieten und die 6490 hat diese höheren Weihen ja erhalten) und auch keinen "dsl_control", weil dieser "WAN-Teil" der Firmware eben nicht auf den Infineon-Quellen beruht (da ist ja gar kein Lantiq-SoC verbaut in so einer Kabel-Box).

Wenn hingegen die Versorgung mit der 06.30 schon das eindeutige Indiz dafür ist, welche Modelle AVM auch künftig mit Security-Fixes versorgen wird, dann kann sich jeder selbst ausrechnen, was es für seine eigene FRITZ!Box heißt - auch wenn es inzwischen wohl für weit mehr Modelle die 06.30 gibt, als ich überhaupt mitbekommen habe. Aber das zeigt auch wieder, daß eben das (unnötige) Verharren auf einer älteren Version auch für den Besitzer so einer Box ein unkalkulierbares Risiko wird, solange er nicht exakt weiß, welche Lücken geschlossen wurden und damit gar nicht selbst einschätzen kann (wenn er die Qualifikation dafür tatsächlich hat), wie weit ihn so ein Bug in seiner Umgebung tangiert.
 
Einer Firma, die nicht umgehend auf schwerwiegende Sicherheitsrisiken bei der Verwendung ihrer Produkte hinweist, würde ich nicht vertrauen.

Naja, Hauptsache der Quartalsgewinn steht.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,195
Beiträge
2,247,819
Mitglieder
373,748
Neuestes Mitglied
fanti88
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.