OpenSSL 1.1.1q vs. OpenSSL 1.1.1w

[backslash]

Hi Dr.Einstein

so müsste doch spätestens die 10.80 auf OpenSSL 3.x.x umgestellt sein, um dann nicht wieder später auf die Umbauten in diversen LCOS Versionen zu stoßen...

ich zitiere mal Rotwang

LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.

d.h. die 10.80 IST auf der 3.0... Aber die älteren Versionen werden nicht mehr umgestellt...

Gruß
Backslash

[Koppelfeld]

Hallo,

Mit dem Problem der geänderten OpenSSL-APIs kämpfen aber auch andere.

... seit Jahrzehnten. Eine Lebenszeitvernichtungsmaschine.

Kann man nicht komplett auf "openSSL" verzichten ?

Den Router kann man via Wartungs-VLAN mit telnet oder http administrieren. Aus der Ferne über VPN.


Wozu brauche ich den "open*" - Klappperatismus ?


Die Amerikaner unterscheiden sehr gut zwischen "Security" und "Safety".
Was nützt mir ein "sicheres" Protokoll, das extrem instabil und unzuverlässig ist ?


Wir haben viele Kunden mit älteren AIX- oder OS400 - Versionen.
Ein Upgrade wäre extrem teuer. Die einzige Chance, den Leistungsvorsprung der IBM POWER - Architektur zu nutzen, ist die Verwendung des für diese Plattform gebauten Compilers. Alleine der kostet in der aktualisierten Version 5.000,--.
Na, neue Features brauche ich nicht, mir reichen Editor, Compiler und libc.
Warum sollte ich wechseln?

Nun kann ich seit einiger Zeit nicht mehr mit ssh auf einige Maschinen zugreifen, weil keine cipher-Aushandlung mehr möglich. Dann lasse ich es doch mit ssh und nehme wieder Telnet. An 'scp' habe ich mich seit vielen Jahren gewöhnt, ich kann aber auch mit tar | netcat ... netcat | tar -xvf- leben.


Also nochmal die Frage: Warum legt sich Lancom selbst solche Steine wie openSSL in den Weg ?

[Dr.Einstein]

d.h. die 10.80 IST auf der 3.0...

Ok, sorry, hab mich verlesen, waren statt wären.

Aber die älteren Versionen werden nicht mehr umgestellt...

Bin gespannt, was passiert, wenn ein (Groß)Kunde das durchsetzen will, sprich Waranty Option aber EOS+2 Jahre Geräte. Vllt gibt es dann für alle 10.42 - 10.72 Geräte gratis das 10.80er Release. Oder das Prinzip von Herrn Ohn greift erstmalig, Geräte werden kostenfrei getauscht beim Vorweisen der Lizenz.

[GrandDixence]

Als LANCOM-Kunde darf man erwarten, dass die älteren, aber immer noch gemäss der Webseite:
https://www.lancom-systems.de/produkte/ ... ebersicht/
vom Hersteller LANCOM mit Sicherheitsupdates versorgten LCOS-Versionsstämme, wie zum Beispiel:

- LCOS 10.50
- LCOS 10.42

mit Patches versorgt werden, welche die bekannten Sicherheitslücken in OpenSSL 1.1.1t schliessen. Zwischen OpenSSL-Version 1.1.1t und 1.1.1w sind gemäss der Webseite:
https://www.openssl.org/news/vulnerabilities-1.1.1.html
folgende bekannten Sicherheitslücken geschlossen worden:

- CVE-2023-4807
- CVE-2023-3817
- CVE-2023-3446
- CVE-2023-2650
- CVE-2023-0465
- CVE-2023-0466
- CVE-2023-0464

Da alle LCOS-Versionen < 10.72 RU5 heute offenbar eine ungepatchte OpenSSL-Version 1.1.1t einsetzen, müssten diese älteren LCOS-Versionsstämme von allen oben aufgeführten Sicherheitslücken betroffen sein.

Ob diese OpenSSL-Sicherheitslücken in LANCOM-Produkten für Hackerangriffe ausgenutzt werden können, dazu dürfte der Hersteller LANCOM auf der Webseite:
https://www.lancom-systems.de/service-s ... tshinweise
eine schriftliche Stellungsnahme veröffentlichen. Ansonsten ist "Security@LANCOM" eine reine Alibiübung!

Wenn der Hersteller LANCOM nicht gewillt ist, OpenSSL 1.1.1 weiterhin über den kostenpflichtigen "Premium Level Support" von OpenSSL mit Sicherheitsupdates zu versorgen, so sind konsequenterweise alle LCOS-Versionsstämme < 10.72 abzukündigen.
https://www.openssl.org/support/contracts.html#premium

Gemäss der Webseite:
https://www.openssl.org/blog/blog/2023/09/11/eol-111/
hätte diese Abkündigung spätestens am 11.09.2023 erfolgen müssen. Von diesem Schritt ist aber auf der Webseite:
https://www.lancom-systems.de/produkte/ ... ebersicht/
nichts zu sehen!

[Dr.Einstein]

@GrandDixence

Vllt eine Tonlage runterschrauben.

1. Vllt hat Lancom ja einen Vertrag abgeschlossen und alles ist gut. Immerhin wurde das Problem identifiziert, weshalb die 10.80 bereits auf die nächste LTS Version setzt

2. Die 1.1.1er Versionen sind recht frisch. Ein Hinweis auf der Webseite wird bestimmt, so wie in der Vergangenheit auch, folgen.

[COMCARGRU]

Vllt eine Tonlage runterschrauben.

Die Tonlage ist vollkommen ok - allerdings ausschließlich gegenüber dem Lancom Management bzw. dem Vertrieb als Schnittstelle zwischen Kunden und Management. Hier im Forum - ja stimmt - etwas runter bitte...

[rotwang]

Da alle LCOS-Versionen < 10.72 RU5 heute offenbar eine ungepatchte OpenSSL-Version 1.1.1t einsetzen, müssten diese älteren LCOS-Versionsstämme von allen oben aufgeführten Sicherheitslücken betroffen sein.

Das weisst Du nicht. Denn wie jede Applikation, die eine Library benutzt, benutzt auch das LCOS nur eine Teilmenge der Funktionen der OpenSSL. Ob eine bestimmte OpenSSL-Sicherheitslücke im Zusammenhang mit LCOS ausnutzbar ist, diese Beurteilung wirst Du LANCOM überlassen müssen.

[tstimper]

1) Gemäß https://www.openssl.org/blog/blog/2023/09/11/eol-111/ ist die von Lancom verwendete Version 1.1.1 EOL gegangen. Ich kann mir irgendwie nicht vorstellen, dass mit dem Hersteller ein Premiumvertrag abgeschlossen wurde. Ist das nicht ziemlich riskant, eine EOL Bibliothek zu verwenden, die von so vielen Elementen im LCOS verwendet wird?

Das Problem ist wohl, dass die nächste 'LTS-Version' der OpenSSL eine 3.0.x wäre und von 1.1.1 auf 3.0 haben sich diverse APIs massiv geändert, bzw. eine Reihe existierender APIs wurden 'deprecated' erklärt. Eine 3.0 ist kein 'Drop-In-Ersatz' für eine 1.1.1. LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.

Also der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,
wenn es technisch möglich ist, also CPU Leistung, Flash ud RAM ausreichen usw.
Dann sollte sich die Menge der Problemfälle schon massiv veringern.

Insbesondere aucb die älteren Central Site Gateways wie 7100+ und 9100+ sollten das problemlos können oder?
(Bitte nicht wieder eine Firmware Politik Diskussion anfangen, mich interesiert allein die techniche Machbarkeit und ggf die Begründung, warum es nicht geht.)

Viele Grüße

ts

[rotwang]

Also der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,
wenn es technisch möglich ist, also CPU Leistung, Flash ud RAM ausreichen usw.
Dann sollte sich die Menge der Problemfälle schon massiv veringern.

Gut die Kurve gekriegt

(Bitte nicht wieder eine Firmware Politik Diskussion anfangen, mich interesiert allein die techniche Machbarkeit und ggf die Begründung, warum es nicht geht.)

Also zum einen wirst Du hier in einem inoffiziellen Forum so eine Aussage nicht bekommen, und selbst wenn Du ein technisches 'ja' bekämst, was würde es Dir nutzen? Damit zum LANCOM-Management hingehen? Trotz eines technischen 'ja' wäre die produkt-politische Antwort trotzdem ein 'nein'.

[tstimper]

Also der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,
wenn es technisch möglich ist, also CPU Leistung, Flash ud RAM ausreichen usw.
Dann sollte sich die Menge der Problemfälle schon massiv veringern.

Gut die Kurve gekriegt

(Bitte nicht wieder eine Firmware Politik Diskussion anfangen, mich interesiert allein die techniche Machbarkeit und ggf die Begründung, warum es nicht geht.)

Also zum einen wirst Du hier in einem inoffiziellen Forum so eine Aussage nicht bekommen, und selbst wenn Du ein technisches 'ja' bekämst, was würde es Dir nutzen? Damit zum LANCOM-Management hingehen? Trotz eines technischen 'ja' wäre die produkt-politische Antwort trotzdem ein 'nein'.

Hi rotwang,

Folgende Antworten sind möglich:

- "Ja ist technisch möglich"
- "Nein es ist technisch nicht möglich"
- "Ich kann dazu keine Aussage treffen"
- "Ich will dazu keine Aussage treffen"

Eine offene und ehrliche Antwort hilft uns weiter.

Viele Grüße
ts

[COMCARGRU]

Eine offene und ehrliche Antwort hilft uns weiter.

Es hilft doch einzig und alleine nur bei der nächsten Kaufeinscheidung weiter. Ich habe es doch schon mal geschrieben - geht alle schön woanders shoppen - am besten nette hohe vierstellige oder gar fünfstellige Beträge und dann schickt eine Kopie der Rechnung an den Lancom Vertrieb mit dem Vermerk: Das hätte euer Umsatz sein können...

[tstimper]

Eine offene und ehrliche Antwort hilft uns weiter.

Es hilft doch einzig und alleine nur bei der nächsten Kaufeinscheidung weiter. Ich habe es doch schon mal geschrieben - geht alle schön woanders shoppen - am besten nette hohe vierstellige oder gar fünfstellige Beträge und dann schickt eine Kopie der Rechnung an den Lancom Vertrieb mit dem Vermerk: Das hätte euer Umsatz sein können...

Ich bestelle grade für einen mittleren fünfstelligen Betrag Switche bei LANCOM.
Mit 10 Jahren Garantie und Firmware Updates AB KAUFDATUM.
(nicht die BIS ZU 10 Jahre, die auch 5 Jahre + ein Monat sein könnten.

Es geht also. Man muss es nur machen.

Viele Grüße

ts

[Dr.Einstein]

Ich bestelle grade für einen mittleren fünfstelligen Betrag Switche bei LANCOM.
Mit 10 Jahren Garantie und Firmware Updates AB KAUFDATUM.
(nicht die BIS ZU 10 Jahre, die auch 5 Jahre + ein Monat sein könnten.

Bringt dir nur nichts, wenn die Switche (kommt evtl. noch aufs Modell an) völlig veraltete / deprecated Algorithmen wie SSH-RSA verwenden, die bereits ?2021? zurückgezogen wurden.

[tstimper]

Ich bestelle grade für einen mittleren fünfstelligen Betrag Switche bei LANCOM.
Mit 10 Jahren Garantie und Firmware Updates AB KAUFDATUM.
(nicht die BIS ZU 10 Jahre, die auch 5 Jahre + ein Monat sein könnten.

Bringt dir nur nichts, wenn die Switche (kommt evtl. noch aufs Modell an) völlig veraltete / deprecated Algorithmen wie SSH-RSA verwenden, die bereits ?2021? zurückgezogen wurden.

Was wäre den Dein Vorschlag? Nichts mehr von LANCOM zu kaufen?
Da halte ich es doch für vernünftiger, einerseits LANCOM Produkte einzusetzen und andererseits LANCOM zu "ermutigen",
die Garantie und unsbesondere die Software Supportzeiten entscheidend zu verlängern.

Neue Features für alte Geräte muss nicht sein, Sicherheitsupdates wie bei OpenSSL sind ein Muss.
Das steht meiner Meinung nach überhaupt nicht in Frage bei einem Hersteller mit BSI Siegel Geräte im Portfolio.

Aber ich wollte keine neue Firmwarepolitik Disskussion, nur eine Antworten auf einfache Fragen.

- Welche älteren LCOS Geröte könnten die 10.80 mit OpenSSL 3.0.x bekommen?

Meiner Meinung nach müssen die Geräte das bekommen, bei denen es technisch möglich ist.
Das kann auch einen angemessenen Betrag kosten.

Viele Grüße

ts

[Dr.Einstein]

Was wäre den Dein Vorschlag? Nichts mehr von LANCOM zu kaufen?

Wenns dir wichtig ist, nachfragen, bei konkreter Gefahr ein Patch einfordern. Wobei natürlich nirgends hinterlegt ist, ob neuere SSH-Protokolle ein Feature oder ein Securityfix ist. Dafür sind mir die Lancom Switche zu unwichtig, haben in der Regel nur Zugriff über ein Management VLAN und sind nicht aus dem Internet erreichbar. Da müsste schon ganz schön viel zusammenkommen, um bei meinen Szenarien eine Gefahr darzustellen.

Welche älteren LCOS Geröte könnten die 10.80 mit OpenSSL 3.0.x bekommen?

Garantiert alle LCOS-Router, die aktuell 10.42 können. LCOS-APs werden vermutlich ein paar schwächeln. Ist aber unwichtig. Den Fall muss jemand beurteilen, der genügend Geld in Lancom Router reingesteckt hat, entsprechende Verträge hat und bei dem Thema eine ernste Gefahr sieht. Da Lancom selbst den Fall erkannt hat, und Verbesserungen in die 10.80 eingebaut hat, parallel aber keinerlei Notiz auf den Webseiten zu dem Thema veröffentlicht hat, wird denke ich proaktiv nichts passieren.