LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Fragen zur LANCOM Management Windows Software/ LANtolls: LANconfig, LANmonitor, WLANmonitor.

Moderator: Lancom-Systems Moderatoren

Antworten
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von mstamm »

Bei den aktuell auf der LANCOM-Website zum Download verfügbaren Installationsdateien für LANconfig und LANmonitor ist die digitale Signatur ungültig, da das entsprechende Zertifikat am 27.08.2021 abgelaufen ist. Ich habe dazu schon ein Ticket eröffnet, das aber momentan immer noch im Status "waiting for support" wartet. Ist dazu näheres bekannt, und wird es von diesen Installationsdateien auch wieder gültig signierte Installationsdateien geben? Solange diese nicht verfügbar sind, will ich aus Sicherheitsgründen die Updates nicht durchführen, da es ja immerhin zumindest theoretisch möglich wäre, daß die Installationsdateien kompromittiert sind. Eigentlich darf es ja auch nicht vorkommen, daß solche Installationspakete ohne gültige Signatur veröffentlicht werden.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von LoUiS »

Hi,

es wird sicherlich neu signierte Versionen mit gueltigem Zertifikat geben. Ueber den Zeitrahmen wann diese verfuegbar sein werden, kann ich Dir aber nichts sagen.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von mstamm »

Hallo LoUiS,

bislang steht das Ticket noch im selben Status "waiting for support". Morgen sind es dann glücklich drei Wochen, daß ich diesen groben Fehler gemeldet habe, ohne daß das irgendjemanden sichtbar interessiert.

Noch viel schlimmer finde ich es, daß es offenbar überhaupt keine Relevanz haben soll, wenn auf einer Website, die bislang nur richtig signierte Software zum Download angeboten hat, plötzlich ungültig signierte Software auftaucht. Es wäre schon eine außergewöhnlich grobe Nachlässigkeit, wenn ein Hersteller in Kenntnis der Tatsache, daß die Gültigkeit des Zertifikats abgelaufen ist, dieses weiterhin zum Signieren von Software-Downloads nutzt. Und ein solches Softwarepaket, das ja für die Installation erhöhte Rechte anfordert, dann einfach schulterzuckend hinzunehmen, ist für mich überhaupt nicht vertretbar.

Sollte ich da nicht in den allernächsten Tagen eine Antwort erhalten, dann werde ich den Vorgang zur Ergänzung des IT-Lagebilds an das BSI melden und eine Untersuchung nach § 7a Abs. 1 BSIG anregen. Möglicherweise kann in diesem Verwaltungsverfahren dann ja die Ursache für diesen Vorgang ermittelt werden, denn gegenüber dem BSI ist Lancom, anders als gegenüber mir, aufgrund § 7a Abs. 2 BSIG auskunftspflichtig, und die Auskunft wird sich nicht auf die bloße Mitteilung "ist halt so" beschränken können.

Ein schönes Wochenende und beste Grüße,
Markus
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von tstimper »

Hallo Markus,

hast Du die Ticket Nr? Gern auch als PN

Nachtrag:
Die aktuelle Lantools Beta hat schon ein neues Zertifikat, siehe:
https://ftp.lancom.de/LANCOM-Beta/LANto ... 0.0032.exe

Der Lanmonitor fehlt noch...

Viele Grüße
ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von mstamm »

Hallo ts,

die Ticketnummer lautet LCSUP-105342

Die Screenshots für die Zertifikatsketten beider Installationsroutinen habe ich auch angehängt. Mit der Beta von Lanconfig kann ich nun schon einmal arbeiten.

Beste Grüße,
Markus
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von LoUiS »

Hi,

wenn ich das richtig sehe, liegen die neu signierten, freigegebenen LANtools seit Ende letzter Woche auf dem FTP Server und seit heute morgen auf dem Webserver.


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von tstimper »

wenn ich das richtig sehe, liegen die neu signierten, freigegebenen LANtools seit Ende letzter Woche auf dem FTP Server und seit heute morgen auf dem Webserver.
@LANCOM: Manchmal verstehe ich Euch wirklich nicht.

Ein Re-release mit derselben Versionsnummer, aber keiner Erwähnung in den Release Notes und natürlich mit unterschiedlichen MD5 Checksums.

2021-09-23
LANconfig-10.50.0029-RU2.exe
Signatur bis 2021-08-27
MD5 2cf3819d68e66b5d684e9dc874c0db3c

LANmonitor-10.50.0014-RU1.exe
Signatur bis 2021-08-27
MD5 12a20587905ea7edc25fb5e8fe162a06

2021-09-01
LANconfig-10.50.0029-RU2.exe
Signatur bis 2024-09-19
MD5 175c8fb6665c4f4b904fa0962d551a63

LANmonitor-10.50.0014-RU1.exe
Signatur bis 2024-09-19
53dcf1d8fbf33a0dc86f5581bb02a2c8



Das geht so nicht, jetzt können wir keiner Version glauben ...

Also -> Next Step -> Release einer neuen Versionsnummer und passenden release Notes.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von backslash »

Hi tstimper
Ein Re-release mit derselben Versionsnummer, aber keiner Erwähnung in den Release Notes und natürlich mit unterschiedlichen MD5 Checksums.
so wie ich das verstanden habe gab es kein Re-Release, sondern nur eine neue Signatur... Damit ändert sich natürlich auch nichts an der Versionsnummer / Buildnummer (es ist ja nichts neu gebaut worden) wohl aber an der MD5-Prüfsumme - in die geht ja auch das neue Zertifikat ein.

In einer PKI ist das einzige, dem man vertrauen muß/kann das Zertifikat. Wenn das stimmt ist auch alles andere OK - es sie denn, jemand hat die CA gehackt...
BTW: MD5 als Hash ist zwar bei Dateien immer noch sehr beliebt, gilt aber schon seit mindestens 10 Jahren als nicht mehr sicher... Daher kann man genaugenommen einem MD5-Hash nicht vertrauen...

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von tstimper »

Hi backslash,

ein Veröffentlichen einer neuen .exe mit einem neuen Signaturzertifikat,
auch wenn sich am eigentlichen funktionellen Programmcode nichts geändert hat,
ist immer ein neues Release aus der Sicht des Release Managements. Und aus der Sicht der Nutzer.

Also bekommt es eine neue Versionsnummer und eine entsprechende Information in den Release Notes.

Warum macht man das so? Damit man Nachvollziebarkeit hat und weil z.b. in manchen Szenarien explizit eine bestimmte Version für die Nutzung
freigegeben und verteilt wird.

MD5 oder was auch immer für eine Checksumme nimmt man da nur, um z.b. auf dem lokalen PC mal kurz zu vergleichen, ob zwei Dateien gleicher Version wirklich unverändert gleich sind.

Und genau das sind die Downloads der LANconfig-10.50.0029-RU2.exe und LANmonitor-10.50.0014-RU1.exe vom 01.09.2021 und vom 23.09.2021 nicht.
Die Datei wurden am 21.09.2021 geändert.
Und Stand soeben (2020-09-27 12:52 Uhr) steht das auch nicht in den Release Notes.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
mstamm
Beiträge: 11
Registriert: 25 Mai 2021, 12:49

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von mstamm »

Liebe Alle,

ich kann bestätigen, daß jetzt auf der Website beide Installationsroutinen, die zum Download bereitstehen, gültig signiert sind. Die Dateinamen sind LANconfig-10.50.0029-RU2.exe und LANmonitor-10.50.0014-RU1.exe und entsprechen damit den Dateinamen der bisher verfügbaren Dateien mit ungültiger Signatur. Außerdem hat sich der Status meines Tickets heute auf "in progress" geändert.

Ich halte es für sehr wichtig, diesen Umstand in den Versionsinformationen zu dokumentieren und auch eine neue Build-Nummer zu vergeben. Damit würde übrigens zugleich die Befürchtung ausgeräumt, die Installationsdateien ohne gültige Signatur könnten kompromittiert gewesen sein. Es könnte damit auch klargestellt werden, daß es sich eben um ein Versehen handelt.

Es gibt Hersteller, die bewußt überhaupt auf gültige Signaturen für Installationsroutinen verzichten, weil sie sie für nicht hilfreich ansehen. Diesen Theorienstreit wird man nicht mehr lösen können. Klar ist aber, daß immer Vorsicht angezeigt ist, wenn ein Hersteller stets gültig signiert, dann aber plötzlich ungültige Signaturen vorhanden sind. Der Verdacht, daß hier kompromittierte Dateien vorhanden sind, ist sonst einfach zu relevant, als daß man ihn ignorieren dürfte.

Beste Grüße,
Markus
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von backslash »

Hi mstamm,
Klar ist aber, daß immer Vorsicht angezeigt ist, wenn ein Hersteller stets gültig signiert, dann aber plötzlich ungültige Signaturen vorhanden sind. Der Verdacht, daß hier kompromittierte Dateien vorhanden sind, ist sonst einfach zu relevant, als daß man ihn ignorieren dürfte.
Hier aber war die Signatur ja korrekt - nur die Gültigkeit des Zertifikats war abgelaufen... d.h. daß die Datei nicht kompromittiert war, konnte immer noch überprüft werden...

BTW: Vor einigen Jahren hatte selbst das BSI ein abgelaufenes Zertifikat auf seiner Webseite (https://www.golem.de/news/https-bsi-ver ... 36807.html)

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von tstimper »

Hier aber war die Signatur ja korrekt - nur die Gültigkeit des Zertifikats war abgelaufen... d.h. daß die Datei nicht kompromittiert war, konnte immer noch überprüft werden...
und wie? Es gibt keine veröffentliche Checksum soweit ich sehe, auch nicht in den Release Notes.
Ich weis das wirklich nicht, wie checkt man das bei abgelaufenen Zertifikaten ohne verfügbare Checksum?
Gibt es auf dem FTP Server eine Datei zum Verifizieren?
Oder checkt sich Lanconfig beim Installieren und Start selbst?
Das ich ja alles Technologieen die man anwenden kann.
Macht Lancom irgendwas davon?

Mein Lancom Case dazu ist auch In Progress ...

Es gibt auf dem Lancom FTP Server eine Datei LANCOM-Releases.zip, siehe https://ftp.lancom.de/LANCOM-Releases/
Die enthält auch noch die alten Lanconfig / Lanmonitor Installer mit den abgelaufenen Zertifikaten.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von backslash »

Hi tstimper
und wie? Es gibt keine veröffentliche Checksum soweit ich sehe, auch nicht in den Release Notes.
Ich weis das wirklich nicht, wie checkt man das bei abgelaufenen Zertifikaten ohne verfügbare Checksum?
Das ist die Magie der PKI...

Über die Datei wird ein Hash gebildet und er Hash wird mit dem private Key des Herstellers verschlüsselt.
Im Zertifikat steht nun der vershlüsselte Hash (und natürlich auch das verwendete Hash-Verfahren) und der public-Key des Herstellers

Die Prüfung erfolgt prinzipiell so:
  • als erstes wird der Hash der Datei berechnet (natürlich ohne das Zertifikat, das am Ende anhängt)
  • dann enstschlüsselst du den Hash im Zertifikat mit dem public-Key des Herstellers
  • dann vergleichst du den enstschlüsselen Hash mit dem selbst berechneten Hash.
  • stimmen beide Hashes überein, ist die Datei OK.
Das funktiioniert unabhängig davion, ob das Ablaufdatum des Zertifikats üeberschritten wurde oder nicht...

Gruß
BNackslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: LANmonitor 10.50 RU1/LANconfig 10.50 RU2 - ungültige Signatur bei Installationsdateien

Beitrag von tstimper »

Das ist die Magie der PKI...
Vielen Dank für Deine Anleitung, das muss ich mal Schritt für Schritt durchführen...

Was mir grad noch aufgefallen ist: In der Zertifikatskette des alten Zertifikates, das Lancom benutzte,
war noch ein GlobalSign Zwischenzertifikat, das schon am 18.03.2019 abgelaufen war.

Der Lancom Support schreibt, das es keine neue Buildnummer und keine Release Notes gibt, weil der Quell-Code sich nicht geändert hat.

Aus Compliance Gründen halte ich einen Vermerk in den Release Notes für erforderlich.
Uns es mach so gut wie keine Mühe und spart uns allen Zeit.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten