Moin,
https://wid.cert-bund.de/portal/wid/sec ... -2023-2271
https://www.lancom-systems.de/service-s ... tshinweise
kann ich davon ausgehen, dass Router mit älteren LCOS Versionen trotzdem kein Problem haben, weil bei einer typischen PlainEthernet oder PPPoE Verbindung BGP-Updates keine Rolle spielen? Es handelt sich ja wohl um eine Peering-Problem, das im 99% Use Case eines Lancom Routers keine Rolle spielt?
Danke
COMCARGRU
BGP Lücke
Moderator: Lancom-Systems Moderatoren
Re: BGP Lücke
Hi COMCARGRU,
solange du kein BGP Richtung Internet sprichst, sollte das Risiko gring sein...
Natürlich könntest du einen "Angreifer" (sprich falsch konfigurierten BGP-Host) im eigenen Netz haben, der entsprechend "kaputte" Pakete sendet, was dann doch dazu führen würde, daß dein Routing zusammenbricht... Aber das ist dann am Ende "selbst verschuldet"
Gruß
Backslash
solange du kein BGP Richtung Internet sprichst, sollte das Risiko gring sein...
Natürlich könntest du einen "Angreifer" (sprich falsch konfigurierten BGP-Host) im eigenen Netz haben, der entsprechend "kaputte" Pakete sendet, was dann doch dazu führen würde, daß dein Routing zusammenbricht... Aber das ist dann am Ende "selbst verschuldet"
Gruß
Backslash
Re: BGP Lücke
Danke Backslash! So hab ich dass vermutet.
Ist gerade Hack-the-Router-Week oder so? Die Tage hat es schon AVM erwischt, heute noch Asus und das BGP Ding betrifft außer Lancom wohl praktisch alle Router die BGP sprechen...
Ist gerade Hack-the-Router-Week oder so? Die Tage hat es schon AVM erwischt, heute noch Asus und das BGP Ding betrifft außer Lancom wohl praktisch alle Router die BGP sprechen...
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Re: BGP Lücke
Hi COMCARGRU
Was wohl im Umkehrschluß heißt, daß die betroffenen Hersteller da vermutlich entweder keine externe Test-Suite haben drüber laufen lassen oder daß deren Implementierung älter ist als der RFC (und seit dem auch nicht angepaßt wurde)... Der RFC ist vom August 2015...
Gruß
Backslash
gute Frage...Ist gerade Hack-the-Router-Week oder so?
so wie ich das verstanden habe, hatte LANCOM dabei auch nur "Glück", weil eine BGP-Protokolltest-Suite das vor 2 Jahren angemeckert hat und daher RFC 7606 implementiert wurde...und das BGP Ding betrifft außer Lancom wohl praktisch alle Router die BGP sprechen..
Was wohl im Umkehrschluß heißt, daß die betroffenen Hersteller da vermutlich entweder keine externe Test-Suite haben drüber laufen lassen oder daß deren Implementierung älter ist als der RFC (und seit dem auch nicht angepaßt wurde)... Der RFC ist vom August 2015...
Gruß
Backslash
Re: BGP Lücke
Lancom vs. AVM
Hmm, wenn das BSI da schreibt:
Lancom CVSS Base Score 7.5
Lancom CVSS Temporal Score 6.9
AVM CVSS Base Score 7.3
AVM CVSS Temporal Score 6.4
und AVM ruckzuck einen Patch bereitstellt, dann frage ich mich doch, ob das so "lapidar" bei Lancom beantwortet werden kann ...
Hmm, wenn das BSI da schreibt:
Lancom CVSS Base Score 7.5
Lancom CVSS Temporal Score 6.9
AVM CVSS Base Score 7.3
AVM CVSS Temporal Score 6.4
und AVM ruckzuck einen Patch bereitstellt, dann frage ich mich doch, ob das so "lapidar" bei Lancom beantwortet werden kann ...