Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
Moderator: Lancom-Systems Moderatoren
Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
Die R883VAW dümpeln noch auf der >undokomentierten< LCOS 10.50.1153 vom 28.02.2023.
(OpenSSL: OpenSSL 1.1.1t 7 Feb 2023)
SSH hat wohl auch einen Bug ...
Kommt da noch ein Update und wenn ja, sollte man die alten* R883VAW erst einmal nicht mehr betreiben?
* also "alle" R883VAW mit der Firmware 10.50.1153 und älter.
Danke schon einmal für die Info.
(OpenSSL: OpenSSL 1.1.1t 7 Feb 2023)
SSH hat wohl auch einen Bug ...
Kommt da noch ein Update und wenn ja, sollte man die alten* R883VAW erst einmal nicht mehr betreiben?
* also "alle" R883VAW mit der Firmware 10.50.1153 und älter.
Danke schon einmal für die Info.
Re: Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
Danke schon einmal vorab für nix!
Jedes Gerät aus dem
Da die R883VAW im Dezember 2024 EOL sind, läßt man sich für "Updates"* verdammt lang vie Zeit!
* Ja, steht immer noch bei 10.50.1153 / 28.02.2023
Jedes Gerät aus dem
hat wohl ein Update auf die 10.50.1400RU13 bekommen.PROJECT: vera xyz
Da die R883VAW im Dezember 2024 EOL sind, läßt man sich für "Updates"* verdammt lang vie Zeit!
* Ja, steht immer noch bei 10.50.1153 / 28.02.2023
Re: Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
"Stand: 01.04.2024":
https://www.lancom-systems.de/service-s ... tshinweise
-->
Aus: RN_LCOS-1050-RU13_DE.pdf
https://www.lancom-systems.de/service-s ... tshinweise
Code: Alles auswählen
(CVE-2023-48795)
Dezember 21, 2023
Die Medien berichten über eine Sicherheitslücke im SSH-Protokoll (CVE-2023-48795), welche von Wissenschaftlern der Ruhr-Universität Bochum unter dem Namen "Terrapin attack" veröffentlicht wurden.
Hierbei handelt es sich um eine Schwachstelle im Standard des SSH-Protokolls, durch welche ein Angreifer per "Man-in-the-Middle"-Angriff Daten aus einer abgesicherten SSH-Verbindung löschen kann, um die Sicherheit der Verbindung herabzusetzen.
Die folgenden LANCOM Produkte und Betriebssysteme sind von der Schwachstelle betroffen:
LCOS
Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben (download).
Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben (download).
Die Sicherheitslücke ist in LCOS 10.80 RU2 behoben (download).
LCOS FX
Die Sicherheitslücke ist in LCOS FX 10.13 RU3 behoben (download).
LCOS LX
Die Sicherheitslücke ist in LCOS LX 6.14 RU1 behoben (download).
LCOS SX 4.20
LCOS SX 5.20
LANconfig
Die Sicherheitslücke ist in LANconfig 10.80 RU3 behoben (download).
Die folgenden LANCOM Betriebssysteme sind von der Schwachstelle nicht betroffen:
LCOS SX 3.34
LCOS SX 4.00
Aus: RN_LCOS-1050-RU13_DE.pdf
hmmmm ....Allgemein
→ Es wurde eine Sicherheitslücke im SSH-Protokoll behoben („Terrapin“-
Sicherheitslücke/CVE-2023-48795).
Re: Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
"Stand: 04.05.2024":
R883VAW - Firmware: LC-R883VAW-10.50.1153.upx (28-Feb-2023)
Sind die jetzt Elektroschrott ?
R883VAW - Firmware: LC-R883VAW-10.50.1153.upx (28-Feb-2023)
Sind die jetzt Elektroschrott ?
Re: Frage: Da es bei der 10.50 niemals "SU"-Versionen gab, kommt da noch was für die R883VAW?
Ich sehe schon, hier mag sich niemand äußern ... warum?
Lancom - Welcher Patch-Level?
->keine Angaben ... ->
Beispiel:
OpenSSH:
https://www.lancom-systems.de/service-s ... tshinweise
CVE-2023-48795 Terrapin Dezember 21, 2023
Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben
Die Sicherheitslücke ist in LCOS 10.50 RU13 behoben
Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben
Leider gibt es diese Versionen ->NICHT<- für den LC-R883VAW !
Ist das gewollt?
Und wie sehe ich welche SSH-Version eingesetzt wird?
ssh -v oder ssh -V gibt es ja nicht.
CVE-2023-51767
Keine Infos zu CVE-2023-51767 und Lancom ...
OpenSSL:
Informationen zu Schwachstellen in OpenSSL (CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 und CVE-2022-4450)
https://www.openssl.org/news/vulnerabilities.html
Stand: 14.05.2024:
Woran sehe ich den Patch-Level bei LANCOM ?
BTW.: Lancom hat beim BSI gerade seine Zertifizierung auf 2026 verlängert ...
... bezieht sich das jetzt nur noch auf das LCOS 10.80?
Lancom - Welcher Patch-Level?
->keine Angaben ... ->
Beispiel:
Code: Alles auswählen
R883VAW - LC-R883VAW-10.50.1153.upx
ssh: sysinfo
OpenSSL: OpenSSL 1.1.1t 7 Feb 2023
Code: Alles auswählen
R800A - R800A-10.50.1400-RU13.upx
ssh: sysinfo
OpenSSL: OpenSSL 1.1.1x 30 Jan 2024
Code: Alles auswählen
883 Voip - LC-883-VoIP-10.72.0593-RU7.upx
ssh: sysinfo
OpenSSL: OpenSSL 1.1.1x 30 Jan 2024
https://www.lancom-systems.de/service-s ... tshinweise
CVE-2023-48795 Terrapin Dezember 21, 2023
Die Sicherheitslücke ist in LCOS 10.42 SU13 behoben
Die Sicherheitslücke ist in LCOS 10.50 RU13 behoben
Die Sicherheitslücke ist in LCOS 10.72 RU7 behoben
Leider gibt es diese Versionen ->NICHT<- für den LC-R883VAW !
Ist das gewollt?
Und wie sehe ich welche SSH-Version eingesetzt wird?
ssh -v oder ssh -V gibt es ja nicht.
CVE-2023-51767
Keine Infos zu CVE-2023-51767 und Lancom ...
OpenSSL:
Informationen zu Schwachstellen in OpenSSL (CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 und CVE-2022-4450)
https://www.openssl.org/news/vulnerabilities.html
Stand: 14.05.2024:
Code: Alles auswählen
07 February 2023
CVE-2023-0286
Fixed in OpenSSL 1.1.1t (git commit) (Affected since 1.1.1)
Code: Alles auswählen
21 March 2023
CVE-2023-0464
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)
Code: Alles auswählen
21 March 2023
CVE-2023-0466
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)
Code: Alles auswählen
23 March 2023
CVE-2023-0465
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)
Code: Alles auswählen
30 May 2023
CVE-2023-2650
Fixed in OpenSSL 1.1.1u (git commit) (Affected since 1.1.1)
Code: Alles auswählen
13 July 2023
CVE-2023-3446
Fixed in OpenSSL 1.1.1v (git commit) (Affected since 1.1.1)
Code: Alles auswählen
31 July 2023
CVE-2023-3817
Fixed in OpenSSL 1.1.1v (git commit) (Affected since 1.1.1)
Code: Alles auswählen
08 September 2023
CVE-2023-4807
Fixed in OpenSSL 1.1.1w (git commit) (Affected since 1.1.1)
Code: Alles auswählen
06 November 2023
CVE-2023-5678
Fixed in OpenSSL 1.1.1x (premium support) (Affected since 1.1.1)
Code: Alles auswählen
25 January 2024
CVE-2024-0727
Fixed in OpenSSL 1.1.1x (premium support) (Affected since 1.1.1)
Code: Alles auswählen
08 April 2024
CVE-2024-2511
Fixed in OpenSSL 1.1.1y (premium support) (Affected since 1.1.1)
BTW.: Lancom hat beim BSI gerade seine Zertifizierung auf 2026 verlängert ...
... bezieht sich das jetzt nur noch auf das LCOS 10.80?