Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?

[plumpsack]

Die R883VAW dümpeln noch auf der >undokomentierten< LCOS 10.50.1153 vom 28.02.2023.
(OpenSSL: OpenSSL 1.1.1t 7 Feb 2023)

SSH hat wohl auch einen Bug ...

Kommt da noch ein Update und wenn ja, sollte man die alten* R883VAW erst einmal nicht mehr betreiben?
* also "alle" R883VAW mit der Firmware 10.50.1153 und älter.


Danke schon einmal für die Info.

[plumpsack]

Danke schon einmal vorab für nix!

Jedes Gerät aus dem

PROJECT: vera xyz

hat wohl ein Update auf die 10.50.1400RU13 bekommen.

Da die R883VAW im Dezember 2024 EOL sind, läßt man sich für "Updates"* verdammt lang vie Zeit!

* Ja, steht immer noch bei 10.50.1153 / 28.02.2023

[plumpsack]

"Stand: 01.04.2024":

https://www.lancom-systems.de/service-s ... tshinweise

Code: Alles auswählen

(CVE-2023-48795)

Dezember 21, 2023

Die Medien berichten über eine Sicherheitslücke im SSH-Protokoll (CVE-2023-48795), welche von Wissenschaftlern der Ruhr-Universität Bochum unter dem Namen "Terrapin attack" veröffentlicht wurden.

Hierbei handelt es sich um eine Schwachstelle im Standard des SSH-Protokolls, durch welche ein Angreifer per "Man-in-the-Middle"-Angriff Daten aus einer abgesicherten SSH-Verbindung löschen kann, um die Sicherheit der Verbindung herabzusetzen.

Die folgenden LANCOM Produkte und Betriebssysteme sind von der Schwachstelle betroffen:

    LCOS
        Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben (download).
        Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben (download).
        Die Sicherheitslücke ist in LCOS 10.80 RU2 behoben (download).
    LCOS FX
        Die Sicherheitslücke ist in LCOS FX 10.13 RU3 behoben (download).
    LCOS LX
        Die Sicherheitslücke ist in LCOS LX 6.14 RU1 behoben (download).
    LCOS SX 4.20
    LCOS SX 5.20
    LANconfig
        Die Sicherheitslücke ist in LANconfig 10.80 RU3 behoben (download).

Die folgenden LANCOM Betriebssysteme sind von der Schwachstelle nicht betroffen:

    LCOS SX 3.34
    LCOS SX 4.00

-->

Aus: RN_LCOS-1050-RU13_DE.pdf

Allgemein
→ Es wurde eine Sicherheitslücke im SSH-Protokoll behoben („Terrapin“-
Sicherheitslücke/CVE-2023-48795).

hmmmm ....

[plumpsack]

"Stand: 04.05.2024":

R883VAW - Firmware: LC-R883VAW-10.50.1153.upx (28-Feb-2023)

Sind die jetzt Elektroschrott ?

[plumpsack]

Ich sehe schon, hier mag sich niemand äußern ... warum?

Lancom - Welcher Patch-Level?

->keine Angaben ... ->

Beispiel:

Code: Alles auswählen

R883VAW - LC-R883VAW-10.50.1153.upx
ssh:	sysinfo
OpenSSL:               OpenSSL 1.1.1t  7 Feb 2023

Code: Alles auswählen

R800A - R800A-10.50.1400-RU13.upx
ssh:	sysinfo
OpenSSL:               OpenSSL 1.1.1x  30 Jan 2024

Code: Alles auswählen

883 Voip - LC-883-VoIP-10.72.0593-RU7.upx
ssh:	sysinfo
OpenSSL:               OpenSSL 1.1.1x  30 Jan 2024

OpenSSH:

https://www.lancom-systems.de/service-s ... tshinweise

CVE-2023-48795 Terrapin Dezember 21, 2023
Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben
Die Sicherheitslücke ist in LCOS 10.50 RU13 behoben
Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben

Leider gibt es diese Versionen ->NICHT<- für den LC-R883VAW !

Ist das gewollt?

Und wie sehe ich welche SSH-Version eingesetzt wird?

ssh -v oder ssh -V gibt es ja nicht.

CVE-2023-51767
Keine Infos zu CVE-2023-51767 und Lancom ...


OpenSSL:

Informationen zu Schwachstellen in OpenSSL (CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 und CVE-2022-4450)

https://www.openssl.org/news/vulnerabilities.html

Stand: 14.05.2024:

Code: Alles auswählen

07 February 2023
CVE-2023-0286
Fixed in OpenSSL 1.1.1t (git commit) (Affected since 1.1.1)

Code: Alles auswählen

21 March 2023
CVE-2023-0464
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)

Code: Alles auswählen

21 March 2023
CVE-2023-0466
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)

Code: Alles auswählen

23 March 2023
CVE-2023-0465
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)

Code: Alles auswählen

30 May 2023
CVE-2023-2650
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)

Code: Alles auswählen

13 July 2023
CVE-2023-3446
Fixed in OpenSSL 1.1.1v (git commit) (Affected since 1.1.1)

Code: Alles auswählen

31 July 2023
CVE-2023-3817
Fixed in OpenSSL 1.1.1v (git commit) (Affected since 1.1.1)

Code: Alles auswählen

08 September 2023
CVE-2023-4807
Fixed in OpenSSL 1.1.1w (git commit) (Affected since 1.1.1)

Code: Alles auswählen

06 November 2023
CVE-2023-5678
Fixed in OpenSSL 1.1.1x (premium support) (Affected since 1.1.1)

Code: Alles auswählen

25 January 2024
CVE-2024-0727
Fixed in OpenSSL 1.1.1x (premium support) (Affected since 1.1.1)

Code: Alles auswählen

08 April 2024
CVE-2024-2511
Fixed in OpenSSL 1.1.1y (premium support) (Affected since 1.1.1)

Woran sehe ich den Patch-Level bei LANCOM ?

BTW.: Lancom hat beim BSI gerade seine Zertifizierung auf 2026 verlängert ...

... bezieht sich das jetzt nur noch auf das LCOS 10.80?

[sixty]

Aus dem 883VAW läßt sich mit dem passenden File schnell ein 1783VAW machen - dann steht Dir die SU13 zur Verfügung. Besser?

[FritzEDV]

Sind die "R" Modelle nicht eigentlich Telekom exklusiv? Oder zumindest der R883VAW

(siehe: https://ftp.lancom.de/T-Systems-Releases/)

Dann müsste doch die Telekom hier ein SU für das Modell beauftragen

[plumpsack]

Aus dem 883VAW läßt sich mit dem passenden File schnell ein 1783VAW machen - dann steht Dir die SU13 zur Verfügung. Besser?

Nö.

Der R883VAW ist baugleich dem 1783VAW und dem 883VOIP!
Warum ist der 1783VAW EOL?
Warum wird der R883VAW "angeblich noch bis Ende des Jahres supportet" obwohl es keinen Support seit 2023 meht gibt?
Warum wird der 883VOIP noch bis 2028 supportet?

[plumpsack]

2024-06-21 ...
Support war bis 2024-12 ...

Bis jetzt hab ich da nix gesehen ...

Kommt da noch was?