DRINGENDES Sicherheitsupdate für LCOS 10.12 und 9.24

[fildercom]

Hallo,

d.h. wenn ich es richtig deute ist die Gefahr für reine Access Points noch geringer?

Gruß Bernie

So ist auch meine aktuelle Einschätzung, nach den Details, die bisher bekannt wurden. Sofern der "Feind" nicht im eigenen Netz sitzt, sollte es bei Geräten ohne WAN-Interface keine allzu große Gefahr sein.

[Koppelfeld]

Sofern der "Feind" nicht im eigenen Netz sitzt, sollte es bei Geräten ohne WAN-Interface keine allzu große Gefahr sein.

Der Feind (=user) sitzt fast immer im eigenen Netz.

Deswegen sollten ja so eine kleine MP5 und "Feuer nach eigenem Ermessen" zu den wichtigsten Admin - Werkzeugen gehören.

[Jirka]

Hallo,

ja, da muss man ja jetzt eigentlich nicht mehr wirklich viel zu sagen.

Gibt es Portforwardings vom Router auf den AP, wie ich es teilweise schon gesehen habe, dann ist die Gefahr natürlich da (allerdings auch schon extrem abgemildert, da in einem solchen Fall höchst selten die Standard-Ports der Management-Funktionen weitergeleitet werden). Auch stellen manche einen AP mit einem Bein ins Hotspot oder Gästenetz, obwohl das gar nicht nötig ist. Das ist dann natürlich auch nicht so gut, aber natürlich auch nicht so dramatisch, wie bei einem Router, wo die Management-Funktionen (möglicherweise) über WAN erreichbar sind.

Viele Grüße,
Jirka

[eagle1900]

Hallo,

ich frage mich, ob das Problem was mit Spectre und Meltdown zu tun hat, auch wenn Lancom schreibt, das Sie davon nicht betroffen sind.

https://www.lancom-systems.de/service-s ... shinweise/

Wäre dann wohl eines der wenigen Geräte mit CPU, die nicht betroffen.

Siehe auch

https://meltdownattack.com/

https://googleprojectzero.blogspot.no/2 ... -side.html

[Jirka]

Nein, das Problem hat damit definitiv nichts zu tun. Das sind zwei völlig verschiedene Dinge, die ja auch zu unterschiedlichen Zeitpunkten bekannt geworden sind.

Die Begründung von LANCOM ist aber irgendwie recht unverständlich:

LANCOM Geräte sind von dieser Sicherheitslücke nicht betroffen, da die Prozessoren der betroffenen Hersteller nicht verwendet werden.

Aber wurden! Jahrelang waren Intel-CPUs in den LANCOM-Routern, bis zum Schluss im 1722.
Trotzdem würde ich aber vermuten, dass hier kein Problem besteht, weil man von außen ja nicht einfach auf irgendwelche CPUs oder Speicher zugreifen kann.

Viele Grüße,
Jirka

[eagle1900]

Hallo,

die Frage ist ja, reicht ein Telnet, SSH, VPN-Zugriff oder was auch immer von aussen aus, um damit Unfug zu treiben. Und zum Thema CPU, ja ich hatte nur nicht die Geräte gefunden, in denen noch Intel-CPUs waren und ob die neuen CPUs nicht doch davon betroffen sind steht auf einem anderen Blatt.

Grüße

[MariusP]

Hi,
1. "kein Fremdcode auf LANCOM Produkten ausgeführt werden kann."
Bei Lancom gibt es keine Apps/Tools die man auf dem Gerät nachinstallieren kann. Somit ist der skizierte Vorgang, dass Programm A(ngreifer) auf Infos/Speicher von Programm B trotz ASLR zugreifen könnte, kein Angriffsfall, da Programm A nicht auf dem Lancom zum laufen gebracht werden könnte. Hier besteht der Unterschied in der Art wie das OS als Nutzungskonzept für den User zur Verfügung steht. LCOS ist kein Betriebsystem für Variante des Personal Computers.

2. die Frage ist ja, reicht ein Telnet, SSH, VPN-Zugriff oder was auch immer von aussen aus, um damit Unfug zu treiben.
Ein SSH Zugriff von Außen, sofern er nicht Zugang gewährt bekommt (Fehlerquelle: Admin mal außen vor), kann keine CPU-TLB Anfragen durchführen.

Hier noch ein Zitat zu dem Thema: ASLR ist eh kein Schutz sondern nur eine Mitigation, d.h. es verhindert keine Sicherheitslücken, es macht sie nur schwerer auszunutzen. Ein Sicherheitskonzept, dessen Sicherheit auf ASLR basiert, ist also eh wertlos.

Wenn nun Windows, Linux. etc einen Teil ihrer Sicherheit darauf basiert haben müssen sie, wie es gerade ja auch passiert, ihre Implementierung ändern oder gar das User-/Kernelspace Konzept neu überdenken. Letzteres würde/wird dabei wohl mehr Zeit in Anspruch nehmen.
Gruß