Sicherheits Problem hin oder her Menschen machen Fehler so ist das nun mal aber

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Typograf

Typograf

Neuer User
Mitglied seit
10 Dez 2008
Beiträge
56
Punkte für Reaktionen
0
Punkte
6
Sicherheits Problem hin oder her Menschen machen Fehler so ist das nun mal aber.


Ich möchte da mal den AVM macherneinen Danke ausprechen.

Denn sie haben sich des Problems angenommen und nicht bis Montag gewartet.

Also nocheinmal besten dank an die Mitarbeiter von AVM.
 
Seit wann kennen die Entwickler diesen Bug?
 
Naja - IMHO wäre das Mindeste, wenn AVM den geschädigten Usern die entstandenen Kosten erstattet !

Schließlich haben die AVM-Programmierer die Sache verbockt - die User haben einfach nur darauf vertraut, das die Software sicher ist - was sie ja offensichtlich nicht war.
 
Das man aus Angst vor Trittbrettfahrern keine genauen Details veröffentlichen will, verstehe ich ja.

ABER: Zumindest wäre es langsam mal ganz nett zu erfahren, welche Firmware(s) es KONKRET betrifft.
 
bluegate schrieb:
Seit wann ... diesen Bug?
Zum Vergrößern anklicken....

Wenn es immer noch um die versteckte Formularfelder geht
<input type="hidden" name="id" value=....>
Zum Vergrößern anklicken....
schon eine Weile. :(

2012
2011

Ich bin, wie sicherlich viele hier, Fritz!Box-Fan!
Die Möglichkeit durch ständig neue Updates ist Vorbildlich!!!

Hoffen wir, dass AVM nach diesen Schreck die Ursachen kommuniziert und eventuell vergessene Formularseiten noch einmal checkt.
Sicherheit und der Druck, immer wieder neue Ideen bis zur nächsten Event einzubauen vertragen sich nicht. Da sind die Programmierer nicht die (alleinigen) Sündenböcke.
Es muss auch Softwareentwickler geben, die nach Sicherheitsfehler suchen. (Auch in alten Code.)
Aber warten wir erst einmal ab, wie es weiter geht. Keine voreiligen Schlüsse.

Gruß Axim
 
Axim88 schrieb:
Die Möglichkeit durch ständig neue Updates ist Vorbildlich!!!
Zum Vergrößern anklicken....
vorbildlich auch die Kommunikation sowie schnelle Reaktion, denn nur so kann der Schaden für alle minimiert werden.
Mir würde spontan kein Unternehmen einfallen, welches in dieser Professionalität vorgegangen wäre.

... und so ein "Seitenhieb" dürfte AVM aufgerüttelt haben, zukünftig noch besser aufzupassen und zu prüfen, denn immerhin hat das Unternehmen einen Namen zu verlieren.
auf der anderen Seiten nehmen die User dies auch nochmals zum Anlass, die eigene Sicherheit zu überdenken - sprich nicht alle Passwört gleich und kein 1234 o.ä.
 
GottSeth schrieb:
Naja - IMHO wäre das Mindeste, wenn AVM den geschädigten Usern die entstandenen Kosten erstattet !
Zum Vergrößern anklicken....
Ja Klar.
Und Microsoft zahlt die 100 Euro für gesperrte PC's durch den "Bundestrojaner". Träum weiter.

Andere Hersteller reagieren weis Gott langsamer. D-Link etc.
Die Telekom schert sich auch nicht um abgelaufene Sicherheitszertifikate ihrer Speedport Boxen und rät statt dessen ihren Kunden den Browser (auf Firefox) zu wechseln.

AVM ist schon okay. Besser geht's nimmer.
 
Zuletzt bearbeitet:
Al Bundy schrieb:
Andere Hersteller reagieren weis Gott langsamer. D-Link etc.
Zum Vergrößern anklicken....

D-Link baut auch keine Boxen, wo Hacker von Außen auf die Telefonfunktion zugreifen können !

Wenn man so was auf den Markt bringt, muß man auch dafür sorgen das es entsprechend sicher ist - oder den Kunden über die Risiken informieren - Beides hat AVM nicht gemacht !

Wenn ein Hersteller ein fehlerhaftes Produkt auf den Markt bringt, muß er auch für die Schäden haften, die durch normalen Gebrauch entstehen.

Wenn ein Autohersteller ein Auto auf den Markt bringt, das wegen einem Konstruktionsfehler reihenweise in Flammen aufgeht, kann er seine Haftung auch nicht auf das Auto an sich beschränken - die abgebrannte Garage gehört zu dem verursachten Schaden einfach mit dazu.
 
Nöö, Folgeschäden sind immer ausgeschlossen...

Wenn zudem die Provider rechtzeitig vom Hack informiert wurden zahlen die die Rechnungen für die Mehrwertdienste auch nicht, also ist der Schaden relativ gering...
 
Google ist das Hackertool zum Herausfinden von Fritz!Box Adressen.
Testet also schön mit Google ob euere Box suchbar ist.
Suchstrings:
site:*.myfritz.net
site:*.dyndns.org
site:*.no-ip.org
...u.s.w.
Habt ihr eigene Webserver am Laufen und könnt ans HTML ran, dann hilft:
HTML: 
<head>
<meta name="robots" content="noindex, nofollow" />
</head>
Der Googlebot hält sich sogar daran. ;)

AVM hats auch im "Sicherheitslückenfirmwareupdate" versäumt.
Auch ist bei deaktiviertem Fernzugang über die öffentliche IPv6
Adresse Port 80 der Fritz!Box freigegeben.
Deswegen musste ich leider IPv6 Internetzugang abschalten.
 
Zuletzt bearbeitet:
Hans Juergen schrieb:
Nöö, Folgeschäden sind immer ausgeschlossen...

Wenn zudem die Provider rechtzeitig vom Hack informiert wurden zahlen die die Rechnungen für die Mehrwertdienste auch nicht, also ist der Schaden relativ gering...
Zum Vergrößern anklicken....

Träum weiter :)

Nach dem Hinweis von AVM habe ich den Fernzugang meiner 7170 abgeschaltet. Nun Frage ich mich wie es weiter geht?

Ich habe eine 7170 hinter einer Kabel-BW-Fritzbox laufen. Mein Fernzugangsport war abweichend von Port 443 eingestellt und der Port 443 war ungenutzt bzw. gesperrt. Bisher erschien noch kein entsprechendes Sicherheitsupdate für meine 7170. Wird da noch was kommen weil ich über kurz oder lang meinen Fernzugang wieder nutzen möchte bzw. muß? Oder soll ich wegen diesem Programmierfehler von AVM jetzt meine funktionierende 7170 aus für mich nicht nachvollziehbaren Sicherheitsgründen wegen dem "End of Service" in die Tonne treten? Wäre dies ein versteckter Mangel an der Ware der auch nach Ablauf der üblichen Garantiefrist bei AVM zu reklamieren ist?

Wie groß ist/war die Gefahr tatsächlich? Muß ich jetzt die VPN-Zugangsdaten und auch das Passwort der im Push-Service genannten Mailadresse ändern? Was kann sonst noch passieren? Bin ich überhaupt betroffen oder mache ich mir damit nur eine Menge Arbeit für nichts?

Fragen über Fragen und keine Antworten von AVM. Insgesamt keine besonders schöne Situation aber vermutlich immer noch beser als überhaupt keine Info über die Gefahr von AVM ...
 
Zuletzt bearbeitet:
so wie das klingt vermute ich das es nur Fritz!OS Router betrifft (also 05.xx). Also mit dem neuen UserManagement. Damit sind ide 71xx Boxen ja raus.
 
Auch ist bei deaktiviertem Fernzugang über die öffentliche IPv6
Adresse Port 80 der Fritz!Box freigegeben.
Deswegen musste ich leider IPv6 Internetzugang abschalten.
Zum Vergrößern anklicken....

Kannst du dazu mehr Details geben? Ist über Port 80 via IPv6 irgendein Dienst erreichbar?
 
Ausserdem ist es seit 6.01 bei meiner Fritz über https wieder RC4 aktiviert.
 
Fritzbox 3272 OS 6.03:

Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5


Fritzbox 3270 OS 5.50 (war bei der 3272 auch so)

Accepted SSLv3 256 bits DHE-RSA-AES256-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 128 bits DHE-RSA-AES128-SHA
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits RC4-SHA
Accepted SSLv3 128 bits RC4-MD5
Accepted SSLv3 40 bits EXP-RC4-MD5
Accepted TLSv1 256 bits DHE-RSA-AES256-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 128 bits DHE-RSA-AES128-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits RC4-SHA
Accepted TLSv1 128 bits RC4-MD5
Accepted TLSv1 40 bits EXP-RC4-MD5
 
pirast schrieb:
Kannst du dazu mehr Details geben? Ist über Port 80 via IPv6 irgendein Dienst erreichbar?
Zum Vergrößern anklicken....

Ja, kann ich... mom...
Internet --> Zugangsdaten --Reiter--> IPv6: [x] Unterstützung für IPv6 aktiv
Internet --> Online-Monitor: Internet, IPv6 (da steht die Adresse)
...die kopieren und zwischen zwei [] im Browseradresszeile einfügen, RETURN drücken, voilá:
IPv6_internet_bug_01.png
(jetzt aber schnell wieder abschalten)
Ohne aktivierten Fernzugang, myfritz oder irgendwelche Portfreigaben.
Das ist das HTTP Webinterface, nicht HTTPS!

Gib mir deine IPv6 Adresse, dann post ich einen Screenshot von deiner Box.
EDIT: Nach Test war schnell klar, dass es doch internes Routing war.
 
Zuletzt bearbeitet:
Bist du sicher, dass die Weboberfläche dann auch von außen erreichbar ist (dass es von innen via IPv6 der Fall ist, konnte ich bestätigen)? Zumindest in meinem Test war das nicht der Fall.
 
Um sicher zu gehen können wir beide ja mal unsere IPv6 Adressen austauschen und testen.
Mein erster Verdacht war auch: Die externe IPv6 wird intern geroutet.
 
Habe dir mal eine PM mit meiner IPv6 geschickt...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 631 (Mitglieder: 1, Gäste: 630)

Neueste Beiträge

Statistik des Forums

Themen
246,584
Beiträge
2,254,412
Mitglieder
374,474
Neuestes Mitglied
Ruckerpatsy57
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück