Skysnake
Lötkolbengott/-göttin
Kritische Sicherheitslücke bei D-Link-Routern Update: D-Link bringt neue Firmware
Update2:
Wie heise.de berichtet, hat D-Link überraschend schnell neue Firmware Versionen für die betroffenen Geräte herausgebracht, welche das Problem beheben sollen. Es ist jedem zu empfehlen die neue Firmware unverzüglich zu installieren!
Hier sieht man wieder einmal, was medialer Druck bewirken kann. Erschreckend hierbei ist, das man ohne diesen medialen Druck anscheinend nicht gewillt war einen Fix zu bringen, der derart schnell zu erstellen war. Dies zeigt einmal mehr die Wichtigkeit, auch mit derartigen Problemen/Erkenntnissen an die Öffentlichkeit zu gehen, denn Hacker finden auch ohne den Gang an die Öffentlichkeit derartige Lücken früher oder später und bleiben dann unbemerkt, was dann zum Schaden von Betroffenen führt.
Man erinnere sich nur an den Fall einer alten Dame, die gar kei Internet nutzt, und dann wegen Filesharing verurteilt werden sollte, da ihre IP "eindeutig identifiziert" werden konnte. In anbetracht des aktuellen Falles kommt zumindest in mir bei solchen Argumentationen immer direkt der Zweifel hoch, und das ungute Gefühl, das viele Unschuldige bereits verurteilt worden, oder mit Abmahnschreiben massiv unter Druck gesetzt wurden, und aus Angst etwas bezahlt haben, wofür Sie keine Schuld tragen.
PS: Die Downloads liegen direkt auf den heise Servern. Daher bitte ich um Verständnis, dass ich diese nicht direkt verlinken kann/werde.
Quelle:
D-Link schließt hochkritische Router-Lücken | heise online
Danke auch an TempestX1 und Niza für den Hinweis auf das Update
Update:
Wie heise. de soeben berichtet, schaltet sich scheinbar auch das Landeskriminalamt Niedersachsen in den Fall ein. Laut heise hält das LKA die Schwachstelle für ein ernstzunehmendes Risiko und überprüfe derzeit, ob die Nutzer der Geräte zur "Gefahrenabwehr" gewarnt werden müssten.
Erschreckend bei der Meldung ist hierbei, das es den "Spezialisten [des LKA?] auf Anhieb 80 verwundbare D-Link-Router in Deutschland aufspüren" konnten.
Die ganze Angelegenheit scheint sich für D-Link wirklich zu einem Fiasko zu entwickeln. Sollte das LKA Niedersachsen an die Presse gehen, und eine öffentliche Warnung, z.B. in den Tagesthemen, aussprechen, dann ist wohl davon auszugehen, dass der Ruf von D-Link dauerhaften Schaden in Deutschland erhält.
Quelle: LKA wird wegen verwundbarer D-Link-Router aktiv | heise online
Orginal:
Heise.de berichtet aktuell über die Fund des Sicherheitsexperten Michael Messner, welcher bei den D-Link Routern DIR-300 und DIR-600 eine kritische Sicherheitslücke entdeckt hat, welche es nach Aussagen von heise Angreifern möglich macht, Befehle mit Root-Rechten auf dem Router aus zu führen, und so die absolute Kontrolle zu erhalten.
Schokierend hierbei ist, das laut Heise das root-Passwort des Routers, auf ihm läuft ein Linux, in "Klartext in der Datei var/passwd" gespeichert ist. Laut heise sei es für einen Angreifer aber gar nicht nötig, dieses zu erhalten, da er auch so alle Aktionen ausführen kann.
Zum völligen Sicherheitsgau wird die Situation dadurch, das heise Security ermitteln konnte, das die Angriffe sogar über das Internet möglich sind, wobei der Router nicht einmal direkt ans Internet angeschlossen sein müsste. Heise Security rät, "da man sich derzeit kaum vor Angriffen schützen kann", dass "die vernünftigste Lösung [sei Anmerkung], betroffene Router außer Dienst zu stellen"
Ein ganz schlechtes Licht auf D-Link wirft hierbei die Tatsache, das laut Messner D-Link zwar von ihm schon im Dezember über das Sicherheitsrisiko informiert wurde, D-Link aber verkündete, das man "nicht plane eine fehlerbereinigte Firmware zu veröffentlichen," da es sich "um ein Browserproblem" handle.
Auf weitergehende Details Messners erhielt er aber laut Heise keine Antwort mehr von D-Link, auch auch die Nachfrage von heise Security blieb bisher unbeantwortet, laut ihrer Aussage.
Daher auch Heises bedrückende Anmerkung zur Auserdienstestellung der betroffenen Router, dass man "zu hoffen [habe Anmerkung], dass D-Link doch noch eines Tages Sicherheitsupdates herausgibt."
Einmal mehr zeigt dieser Fall, dass die in der deutschen Rechtssprechung oft gängige Praxis, der Störerhaftung des Anschlussinhabers und die Identifizierung des "Schuldigen" durch eine IP-Adresse mehr als bedenklich ist. Denn kein Sicherheitsexperte/Gutachter und schon gleich gar kein Richter kann sagen, wie viele verstecke gravierende Sicherheitslücken noch in den Routern der Menschen stecken, die auch noch von Kriminellen ausgenutzt werden.
Betroffene Modelle:
DIR-300:
DIR-600:
Quelle:Sicherheitsalarm für D-Link-Router | heise online
Update2:
Wie heise.de berichtet, hat D-Link überraschend schnell neue Firmware Versionen für die betroffenen Geräte herausgebracht, welche das Problem beheben sollen. Es ist jedem zu empfehlen die neue Firmware unverzüglich zu installieren!
Hier sieht man wieder einmal, was medialer Druck bewirken kann. Erschreckend hierbei ist, das man ohne diesen medialen Druck anscheinend nicht gewillt war einen Fix zu bringen, der derart schnell zu erstellen war. Dies zeigt einmal mehr die Wichtigkeit, auch mit derartigen Problemen/Erkenntnissen an die Öffentlichkeit zu gehen, denn Hacker finden auch ohne den Gang an die Öffentlichkeit derartige Lücken früher oder später und bleiben dann unbemerkt, was dann zum Schaden von Betroffenen führt.
Man erinnere sich nur an den Fall einer alten Dame, die gar kei Internet nutzt, und dann wegen Filesharing verurteilt werden sollte, da ihre IP "eindeutig identifiziert" werden konnte. In anbetracht des aktuellen Falles kommt zumindest in mir bei solchen Argumentationen immer direkt der Zweifel hoch, und das ungute Gefühl, das viele Unschuldige bereits verurteilt worden, oder mit Abmahnschreiben massiv unter Druck gesetzt wurden, und aus Angst etwas bezahlt haben, wofür Sie keine Schuld tragen.
PS: Die Downloads liegen direkt auf den heise Servern. Daher bitte ich um Verständnis, dass ich diese nicht direkt verlinken kann/werde.
Quelle:
D-Link schließt hochkritische Router-Lücken | heise online
Danke auch an TempestX1 und Niza für den Hinweis auf das Update
Update:
Wie heise. de soeben berichtet, schaltet sich scheinbar auch das Landeskriminalamt Niedersachsen in den Fall ein. Laut heise hält das LKA die Schwachstelle für ein ernstzunehmendes Risiko und überprüfe derzeit, ob die Nutzer der Geräte zur "Gefahrenabwehr" gewarnt werden müssten.
Erschreckend bei der Meldung ist hierbei, das es den "Spezialisten [des LKA?] auf Anhieb 80 verwundbare D-Link-Router in Deutschland aufspüren" konnten.
Die ganze Angelegenheit scheint sich für D-Link wirklich zu einem Fiasko zu entwickeln. Sollte das LKA Niedersachsen an die Presse gehen, und eine öffentliche Warnung, z.B. in den Tagesthemen, aussprechen, dann ist wohl davon auszugehen, dass der Ruf von D-Link dauerhaften Schaden in Deutschland erhält.
Quelle: LKA wird wegen verwundbarer D-Link-Router aktiv | heise online
Orginal:
Heise.de berichtet aktuell über die Fund des Sicherheitsexperten Michael Messner, welcher bei den D-Link Routern DIR-300 und DIR-600 eine kritische Sicherheitslücke entdeckt hat, welche es nach Aussagen von heise Angreifern möglich macht, Befehle mit Root-Rechten auf dem Router aus zu führen, und so die absolute Kontrolle zu erhalten.
Schokierend hierbei ist, das laut Heise das root-Passwort des Routers, auf ihm läuft ein Linux, in "Klartext in der Datei var/passwd" gespeichert ist. Laut heise sei es für einen Angreifer aber gar nicht nötig, dieses zu erhalten, da er auch so alle Aktionen ausführen kann.
Zum völligen Sicherheitsgau wird die Situation dadurch, das heise Security ermitteln konnte, das die Angriffe sogar über das Internet möglich sind, wobei der Router nicht einmal direkt ans Internet angeschlossen sein müsste. Heise Security rät, "da man sich derzeit kaum vor Angriffen schützen kann", dass "die vernünftigste Lösung [sei Anmerkung], betroffene Router außer Dienst zu stellen"
Ein ganz schlechtes Licht auf D-Link wirft hierbei die Tatsache, das laut Messner D-Link zwar von ihm schon im Dezember über das Sicherheitsrisiko informiert wurde, D-Link aber verkündete, das man "nicht plane eine fehlerbereinigte Firmware zu veröffentlichen," da es sich "um ein Browserproblem" handle.
Auf weitergehende Details Messners erhielt er aber laut Heise keine Antwort mehr von D-Link, auch auch die Nachfrage von heise Security blieb bisher unbeantwortet, laut ihrer Aussage.
Daher auch Heises bedrückende Anmerkung zur Auserdienstestellung der betroffenen Router, dass man "zu hoffen [habe Anmerkung], dass D-Link doch noch eines Tages Sicherheitsupdates herausgibt."
Einmal mehr zeigt dieser Fall, dass die in der deutschen Rechtssprechung oft gängige Praxis, der Störerhaftung des Anschlussinhabers und die Identifizierung des "Schuldigen" durch eine IP-Adresse mehr als bedenklich ist. Denn kein Sicherheitsexperte/Gutachter und schon gleich gar kein Richter kann sagen, wie viele verstecke gravierende Sicherheitslücken noch in den Routern der Menschen stecken, die auch noch von Kriminellen ausgenutzt werden.
Betroffene Modelle:
DIR-300:
- Version 2.12 vom 18.01.2012
- Version 2.13 vom 07.11.2012 (derzeit aktuell)
DIR-600:
- Version 2.12b02 vom 17.01.2012
- Version 2.13b01 vom 07.11.2012
- Version 2.14b01 vom 22.01.2013 (derzeit aktuell)
Quelle:Sicherheitsalarm für D-Link-Router | heise online
Zuletzt bearbeitet:
