@k4y0z:
Ist mir schon alles klar und bekannt ... ich gehe auch grundsätzlich nicht auf explizite, generell gefaßte NDAs ein (ich habe sogar einen entsprechenden Entwurf von AVM hier vorliegen (den darf ich allerdings nicht veröffentlichen), aber ich habe ihn auch Anfang 2015 nach erbitterten Diskussionen nicht unterschrieben wegen seines Inhalts), aber zwischen einem "buy-out" (also der Überlassung wirklich aller Rechte (auch des Rechts zur späteren Veröffentlichung) gegen Zahlung eines Geldbetrags) und einem "bug bounty reward" (wo die "Ehre" zumindest noch dem Finder bleibt, wenn der Hersteller dazu hinterher selbst veröffentlicht und sich dabei "bedankt") macht AVM auch keinen Unterschied.
Den Fehler mit so einem "buy-out" habe ich in der Vergangenheit für drei Lücken insgesamt gemacht (Gesamtertrag 8000 EUR, damit auch mal eine Größenordnung klar wird - reich wird man damit also auch nicht, wenn man die Zeit für solche Analysen dagegen setzt oder gar die Kosten für eine Vollzeitstelle mit entsprechend qualifiziertem Personal damit vergleicht) - im Ergebnis klafften alle drei dann über lange Zeit weiterhin in der 6360 (genau so lange, wie dort die 06.06 fast überall noch im Einsatz war) und auch in der vor etwas mehr als einem Jahr veröffentlichten 06.06 für die 7270v2/v3 waren sie (trotz minimalem notwendigen Aufwand) nicht behoben und sind es natürlich immer noch nicht, wobei eine Lücke - der direkte Aufruf von "firmwarecfg" zum Installieren eines Updates - bei der 7270 irrelevant ist (da gibt es die Lua-Seiten zum Aufruf auch ohne Verrenkungen) und inzwischen bei der 6490 ja auch "Berühmtheit" erlangt hat. Das ist sicherlich auch der Tatsache geschuldet, daß AVM wohl selbst die KNB nicht darauf aufmerksam machte (ähnlich wie bei den Zertifikaten), daß da mind. drei Sicherheitslücken behoben wurden, die das Eindringen in eine 6360 ermöglichten.
Wenn ich so etwas hier im IPPF an und an mal ausführlicher beschreibe (so ist auch #1228 zu verstehen), dann auch deshalb, weil mir immer wieder die Frage gestellt wird, ob man solche Lücken nicht besser vertraulich melden sollte (z.B. auch
hier "öffentlich").
Da ich genau das bisher immer getan habe (und erst nach diversen, sich anschließenden Tritten in meine Gesäßgegend durch AVM dann im Nachhinein Einzelheiten dazu von mir veröffentlicht wurden) und es eigentlich immer zu sehr späten, unkooperativen bzw. eben auch zu gar keinen Reaktionen (wie bei der "provideradditive.tar"-Lücke) seitens AVM kam, habe ich inzwischen tatsächlich auf "90 days grace period" "umgeschaltet" ... das heißt noch nicht, daß ich immer sofort den konkreten Exploit veröffentliche, aber ich behalte die Rechte zur Veröffentlichung und lasse mich nicht mehr auf solche "buy-outs" ein. Wieviel ich dann jeweils wann preisgebe, hängt u.a. von den Auswirkungen des Problems ab und von der Wahrscheinlichkeit, daß mir ein anderer mit einer Veröffentlichung zuvorkommen könnte (das ist nun mal so in der Branche, daß man als Zweiter nur noch derjenige ist, der irgendetwas "nachplappern" kann).
Eine (auch extern auszunutzende)
DoS-Möglichkeit hatte gestern ihr fünfmonatiges Jubiläum der Meldung an AVM - und da AVM auf meine erneute Anfrage (vom Mittwoch nachmittag) zum ungefähren Release-Termin der neuen Version für die 7490 nicht geantwortet hat, wird es in der nächsten Woche (die Feiertage nahen und da will ich dann auch nicht unbedingt "arbeiten") nun tatsächlich die Veröffentlichung mit allen Einzelheiten dazu geben - da ist es mir dann auch wieder egal, ob das nun für alle Modelle gefixt ist oder nicht; da lasse ich mir auch nicht die Verantwortung für eventuell entstehende Schäden zuschieben, wenn AVM sich entsprechend lange gar nicht bewegt hat.
Ab dem Erscheinen der neuen Version kann sich jedenfalls jeder durch den Vergleich der alten mit der neuen Version dieselben Informationen besorgen (theoretisch ginge das zwar schon mit den Labor-Versionen, aber ich wollte AVM wenigstens die Chance für eine koordinierte Veröffentlichung eines Updates für die betroffenen Modelle lassen) und dann bin ich am Ende wieder nur "Zweiter" bei der Veröffentlichung - wie es bei der Zertifikat-Geschichte mit dem "cmcertgen" gerade der Fall war, da hat mich AVM sogar noch per E-Mail am 26.08.2016 "zurückgepfiffen", obwohl da vermutlich die laufenden Recherchen von heise.de schon bekannt waren.
Die Erfahrung lehrt also (und deshalb habe ich die hier erfolgte, prompte Reaktion mit einem gewissen Erstaunen konstatiert), daß es bei AVM immer eine halbe Ewigkeit dauert, bis überhaupt reagiert wird (abseits einer "Eingangsbestätigung", die häufig eben auch nur ein Textbaustein ist), dann eine Weile gar nichts passiert (die Entwickler untersuchen derweil das Problem, wenn sie nicht wichtigere Aufgaben haben) und dann kriegt man (mit ein wenig Glück auch rechtzeitig) eine Information, wenn ein erster Fix vorliegt. Alles weitere (inkl. der eigenen "Vorbereitungen" für eine spätere Veröffentlichung) kann man in der Kommunikation mit AVM komplett vergessen ... da hat man bei AVM sehr eigene, feste Vorstellungen (die mit denen einer "Branche" und denen des BSI durchaus nicht übereinstimmen) und die will man durchsetzen - notfalls durch "Totstellen". Das tue ich mir nicht länger an und daher war das bei dieser Lücke (die nun wirklich leicht zu beseitigen war) meinerseits ein "Versuchsballon" für künftiges Vorgehen.
Inzwischen werden die (von mir zu findenden/gefundenen) Lücken auch Stück für Stück weniger ... da muß ich am Ende sogar selbst überlegen, welche Lücken ich nun preisgebe und welche ich lieber für mich behalte - ich habe letztens bei einer 6490 (aus der Ferne) feststellen müssen, daß es tatsächlich nur noch eine einzige gut getestete, uralte Lücke gab (schon im Sept. 2014 "telefonisch" an AVM gemeldet - die wird vermutlich auch niemals beseitigt), mit der ich aus dem Stand in eine 06.63 eindringen konnte - da das kein akzeptabler Zustand für mich war, brachte eine neue, intensivere Suche dann diese (eben auch erst neu eingebaute) Möglichkeit mit dem Export-Kennwort ans Licht. Wenn ich (unseriös) schätzen sollte, würde ich auf einen Aufwand von ca. 4 Wochen pro verbleibender Lücke bei der Suche tipppen (AHA und die KiSi (contfiltd + User-Verwaltung) habe ich noch gar nicht weiter angesehen) - der steigt natürlich mit jedem Fund dann weiter an, weil man eben nicht einfach "weitersuchen" kann (oder sollte), wie diese neu hinzugekommene Lücke recht gut zeigte.
-Jedenfalls bin ich noch nicht dazu gekommen, den KDG-Anschluß wieder in Betrieb zu nehmen ... mal sehen, ob das am Wochenende etwas wird, VF/KDG hat mich schon per E-Mail daran erinnert, daß da noch etwas zu tun wäre.
@Kirandia:
Ich zermartere mir das Hirn ... "VD" kann ich noch als Schreibfehler anstelle von "VF" für "Vodafone" einordnen (weil das hinterher auch noch einmal als "VF" im Text auftaucht), aber WTF (what the f*ck) ist denn bitte "WT"? WunderTüte? Ich komme einfach nicht drauf ... weil "WT" mit "wilhelm.tel" zu "übersetzen", macht ja nun gar keinen Sinn, denn das ist ja kein spezielles Branding, sondern nur eine "provider additive"-Konfiguration. Dann könnte man ja auch von "PC" (Primacom) oder "TC" (Telecolumbus) oder jedem anderen kleineren Provider schreiben.