WPA2 Patches fuer WLAN Router

[langewiesche]

damit sind ja jetzt alle alten Modelle Schrottreif wo es keine Updates mehr gibt ..


https://www.heise.de/security/meldung/K ... 62379.html

[MoinMoin]

Moin, moin!

Ehe hier Panik verbreitet wird, sollten doch erstmal die noch ausstehenden Details augewartet werden. Zitat aus dem oben verlinkten Artikel:

Code: Alles auswählen

Das klingt derzeit so als könnte man auf diesem Weg lediglich einzelne Session-Keys kompromittieren, nicht jedoch den geheimen WPA2-Schlüssel. Konkrete Details zum Angriff und der davon ausgehenden Gefahr stehen aber noch aus – diese sollen um 12 Uhr deutscher Zeit folgen, heise Security wird berichten.

Ciao, Georg

[langewiesche]

es reicht auch eine der Seiten zu patchen ... aber ich sehen da mehr den Router als jeden Client

[Christoph_vW]

Worauf wollt Ihr solange warten?

https://papers.mathyvanhoef.com/ccs2017.pdf

FastRoaming und Client Modus sind das Problem auf der Seite der APs.

[ua]

Hallo Louis,

Ehe hier Panik verbreitet wird, sollten doch erstmal die noch ausstehenden Details augewartet werden. Zitat aus dem oben verlinkten Artikel:

Code:
Das klingt derzeit so als könnte man auf diesem Weg lediglich einzelne Session-Keys kompromittieren, nicht jedoch den geheimen WPA2-Schlüssel. Konkrete Details zum Angriff und der davon ausgehenden Gefahr stehen aber noch aus – diese sollen um 12 Uhr deutscher Zeit folgen, heise Security wird berichten.

Für ARP-Spoofing und Übernahme des Netzes reicht eine Verbindung.

VG aus OBC

Udo

[Björn]

Die Details sind ja soweit draußen.

Anscheinend muss wirklich auf beiden Seiten gepatched werden, wobei bereits einseitiges reparieren schon hilft.
AP und Client müssen über die genutzten Schlüssel Buch führen und erneute Benutzung ausschließen. Darüber hinaus den Schlüssel 0x0 ablehnen.

[langewiesche]

https://www2.lancom.de/kb.nsf/bf0ed2a4d ... enDocument

[langewiesche]

http://ow.ly/goql30fUxZ1

[ua]

...ganz schön fix, der Pre-Fix!

VG aus OBC

Udo

[fildercom]

Hallo zusammen,
momentan ist die Informationslage zwar immer noch sehr dürftig, trotzdem sollten wir jetzt Ruhe bewahren.

So wie ich es aktuell einschätze, ist die Bedrohungslage eher gering.

Ich habe mir den KB-Artikel mal durchgelesen und so wie ich es verstehe, liegt das Problem hauptsächlich beim Client, weshalb dort die Hersteller patchen müssen.
Im Falle von Windows scheint Microsoft bereits reagiert zu haben:
http://winfuture.de/news,100131.html

Mit dem letzten Patchday scheint die Sache wohl behoben worden zu sein. Ich hoffe, dass damit auch Windows Mobile geschützt ist.

Anders sieht es mal wieder beim mobilen Betriebssystem eines großen Suchmaschinen-Herstellers aus, die scheinen wohl mal wieder besonders anfällig zu sein:
https://www.computerbase.de/2017-10/wpa ... rack-wlan/
Bestimmt sehen 90 % der Geräte auch dafür keinen Patch Geräte mit diesem Betriebssystem gehören deshalb in kein Produktiv-Netz mit Internet-Zugang

Komplizierter wird die Sache wohl bei klassischen Embedded-Geräten, die ein "eigenes" Betriebssystem verwenden, z.B. WLAN-Radios, Navigationsgeräte, E-Book-Reader usw.

Da bleibt die Frage, ob es bereits ausreicht, wenn die Access-Points gepatcht wurden, ob ob die Clients trotzdem noch verwundbar sind.

Vielleicht kann das hier ja jemand beantworten (z.B. Alfred).

Gruß
fildercom.

[Jirka]

Hallo zusammen,

also ich schließe mich fildercom an und bin auch der Meinung, dass die Bedrohungslage eher gering ist (auf alle Fälle derzeit) und von daher mit Ruhe und Besonnenheit reagiert werden sollte.
Die Installationen, wo Fast Roaming läuft, kann ich bei mir an einer Hand abzählen, bei AutoWDS und Client-Modus sieht es ähnlich aus.

Interessant finde ich die folgende Aussage von LANCOM (Quelle: https://www.lancom-systems.de/service-s ... shinweise/):

Wir werden kurzfristig ein LCOS Sicherheitsupdate für alle WLAN-Geräte herausbringen, bei dem der dokumentierte Angriff auch bei aktiviertem 802.11r bzw. Station-Mode sicher verhindert wird.

Für alle WLAN-Geräte die noch in der Wartung sind, oder wirklich für alle? Letzteres hieße ja auch, dass betagte Geräte wie der L-315 noch mal ein Update bekommen. Das wäre ja eine sehr positive Abweichung vom Software Lifecycle Management. Man darf gespannt sein, was hier wirklich passiert. Wenn LANCOM bei krassen Sicherheitslücken tatsächlich mehr bietet, als versprochen, wüßte man zumindest für die Zukunft, dass Geräte über Nacht nicht völlig wertlos werden.

Viele Grüße,
Jirka

[fildercom]

Heise hat einen interessanten Kommentar veröffentlicht:
https://www.heise.de/newsticker/meldung ... 63929.html

Ich schließe mich der Meinung des Verfassers an: Wir brauchen endlich von Gesetzes wegen einen Zwang, dass Hersteller ihre Geräte auch einige Jahre unterstützen. Andernfalls fände ich ein Verkaufsverbot in der EU für angemessen. Mal sehen, wie viele Smartphones dann noch auf dem Markt bleiben würden...

[COMCARGRU]

Heise hat einen interessanten Kommentar veröffentlicht:
https://www.heise.de/newsticker/meldung ... 63929.html

Als ich "ju" schon vor einigen Jahren beim Mittagessen sagte, dass es nicht ohne harte Gesetze gehen wird, hat er noch darüber gelacht. Jetzt fordert er es selbst. Und das war nicht das erste mal, dass er über Forderungen von mir gelacht hat, die er (Jahre) später dann selbst als unumgänglich postuliert. Insofern ist sein Kommentar zwar richtig aber Jahre zu spät, das Dilemma war schon lange abzusehen...

Gruß
CG

[alf29]

Moin,

Ich schließe mich der Meinung des Verfassers an: Wir brauchen endlich von Gesetzes wegen einen Zwang, dass Hersteller ihre Geräte auch einige Jahre unterstützen. Andernfalls fände ich ein Verkaufsverbot in der EU für angemessen. Mal sehen, wie viele Smartphones dann noch auf dem Markt bleiben würden...

Das klingt in der Theorie sehr schön, aber in der Praxis halte ich das nicht für durchsetzbar.

Szenario 1: Smartphone-Hersteller A löst sich einfach auf und taucht unter einem anderen Namen ein paar Monate später wieder mit umbenannten oder sonstwie leicht anderen Produkten auf.

Szenario 2: Smartphone-Hersteller X will ja gerne langfristigen Support geben, kann er aber nicht, weil Google die Security-Patches nur für Android-Versionen liefert, für die man vom Hersteller des Chipsatzes kein Board Support Package mehr bekommt. Das ist z.B. den Fairphone-Leuten mit ihrem ersten Fairphone passiert und jetzt versuche mal, irgendwelche EU-Regeln gegen Google, Qualcomm oder Mediatek durchzusetzen...

Im Prinzip hätten es die Hersteller mit so einer Vorgabe leichter, je mehr Software sie in der eigenen Hand haben. Apple bietet fünf Jahre Feature-Updates, ich bin mir aber nicht sicher, ob das ab Geräteeinführung oder End-of-Sale gilt. Insofern finde ich die 2 Jahre ab EoS auch nicht dolle. Wenn Euch das zu wenig ist, und andere Hersteller da mehr garantieren, dann...ach ja, das Thema hatten wir glaube ich schon mal...

Denken wir das mit einer gesetzlichen Vorgabe mal zu Ende: wenn man das Gegen Insolvenz und/oder Verschwinden des Herstellers absichern will, dann landet man in letzter Konsequenz bei Hinterlegung von Geld und Sourcen an irgendeiner Stelle, plus natürlich einen Haufen Zertifizierungen, damit man die Geräte überhaupt in Verkehr bringen darf. Das können und wollen natürlich wieder nur die "Großen" und die kleinen, innovativen Anbieter verschwinden, weil sie das Geld und den bürokratischen Aufwand nicht leisten können. Ich bin mir nicht sicher, ob ich in so einer Welt leben und coden möchte.

Letzten Endes - das hatten wir wie gesagt schon mal - reagieren Unternehmen auf den Druck, den Kunden machen, entweder durch Nicht-Kaufen oder Shitstorms. Das passiert aber zu selten, die meisten kaufen, weil's billig(er) ist. Sonst hätten wir auch nicht die Probleme mit China-Netzteilen in irgendwelchen Amazon-Lagern, die elektrisch unsicher sind und mit denen man sich umbringen kann. Das fände ich eigentlich noch viel dringlicher als Lücken in WPA, die für 99% der Anwender eher theoretischer Natur sind, und trotzdem kriegt man das nicht eingedämmt.

Gruß Alfred

[fildercom]

Die ersten Updates für alle aktuellen Geräte sind da, für ältere Geräte sollen sie folgen.

Ich zitiere mal aus dem soeben erhaltenen Newsletter:

Ab sofort sind folgende LCOS Security Updates für Access Points und WLAN-Router auf unserer Website verfügbar, die die Schwachstelle wirksam beheben:

• LCOS 10.12 SU1
• LCOS 9.24 SU7
• LCOS 9.10 SU10

(...)

Auch für LANCOM Access Points und WLAN-Router, die bereits den Status "End of Sale" oder "End of Life" erreicht haben, stellen wir voraussichtlich ab dem 27.10.2017 folgende LCOS Security Updates bereit:

• LCOS 9.00 SU6
• LCOS 8.84 SU10
• LCOS 8.82 SU2
• LCOS 8.80 SU2
• LCOS 8.62 SU8