Unitymedia Kritische Sicherheitslücken im D-Link DIR-300 und DIR-600

[Toengel]

Tachchen,

Der Sicherheitsexperte Michael Messner hat mehrere Lücken in den D-Link-Router DIR-300 und DIR-600 entdeckt, darunter eine durch die ein Angreifer mit geringem Aufwand beliebige Befehle ausführen kann. Betroffen sind auch aktuelle Firmware-Versionen; doch schließen will der Router-Hersteller die Lücke offenbar nicht.

http://www.heise.de/newsticker/meldung/Sicherheitsalarm-fuer-D-Link-Router-1796519.html

Kann man denn von Unitymedia jetzt einen sicheren Router verlangen?

Toengel@Alex

 

[Keyser Soze]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Auf jeden Fall würde ich mich nicht auf den im heise-Artikel verlinkten Router-Test verlassen, denn der testet die beschriebene Lücke überhaupt nicht. Wenn da alles grün angezeigt wird, heißt es also nicht, dass der Router sicher ist.</t>

 

[Keyser Soze]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="Toengel"><s>

</s>Kann man denn von Unitymedia jetzt einen sicheren Router verlangen?<e>

</e></QUOTE>Wenn ich es richtig in Erinnerung habe, gehen die Router nach 24 Monaten in das Eigentum der Kunden über. In diesem Fall also eher nicht.</r>

 

[Cablemen]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Außerdem ist der Router ein Produkt von D-Link somit ist auch der Hersteller für die Sicherheit des Routers verantwortlich!</t>

 

[Toengel]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Tachchen,<br/>
<br/>
aber UM vertickt die Dinger... also tragen sie eine gewisse Mitverantwortung.<br/>
<br/>
Toengel@Alex</t>

 

[JimMorrison]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Um schenkt dir nur den Router als Good Will Aktion, nicht mehr nicht weniger. Du wirst keine anderen Router von UM bekommen....<br/>
<br/>
Mußt dir halt selbst eine vernünftigen kaufen.</t>

 

[Toengel]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Tachchen,<br/>
<br/>
Quatsch! Ich habe den Router über UM gekauft! Nix geschenkt...<br/>
<br/>
Toengel@Alex</t>

 

[Knifte]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Naja, ich glaube nicht, dass die Haftung eines Händlers soweit geht, dass die für irgendwelche Sicherheitslücken in der Software haften können.<br/>
<br/>
Dann könntest du ja jeden Computerhändler verklagen, der dir einen Rechner mit Windows verkauft hat, weil es in Windows ja irgendwelche Schwachstellen gibt. Windows kann man an dieser Stelle durch jede beliebige andere Software ersetzen.</t>

 

[Toengel]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Tachchen,<br/>
<br/>
bei nem PC weiß ich ja was ich kaufe. Bei UM bekommt man nur einen "WLAN-Router" angeboten. Gegenbeispiel: Wenn fehlerhafte Bremsen eines Autos von einem Subunternehmer kommen, muss trotzdem der Autohersteller ran...<br/>
<br/>
Toengel@Alex</t>

 

[Cablemen]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r>Wenn du beim Händler diesen Router kaufst willst du ihn haftbar machen weil D-Link eine fehlerhafte Software installiert hat? Du hast schon eine seltsame Ansicht! Aber man kann ihn sicherlich reklamieren (sprich 25€ zurück) und du kaufst dir einfach einen anderen! <E></E> Ach und ein Auto mit fehlerhaften Bremsen ist doch ein anderes Kaliber da hängen schließlich Menschenleben daran! Für 25,- Euro kann man nicht gerade erwarten ein Top gerät zu erhalten. <E>:zwinker:</E></r>

 

[Toengel]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Tachchen,<br/>
<br/>
leg mir keine Worte in den Mund - ich hab nirgendwo gesagt, dass ich UM haftbar machen will... Mir geht es nur um eine Einschätzung... Reklamation etc.<br/>
<br/>
Toengel@Alex</t>

 

[Keyser Soze]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Viel wichtiger als die Haftungsfrage finde ich die Frage, ob es irgendwie möglich ist, den Router irgendwie(?) so notdürftig abzusichern, dass keine Angriffe mehr möglich sind.</t>

 

[Knifte]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Ich glaube, dass das nur mittels Firmware-Upgrade möglich ist den sicher zu bekommen.<br/>
<br/>
Und ich finde den Vergleich zwischen Fehler in der Software (=Firmware) und Fehler in der Hardware (=Bremsen) schon irgendwie hinkend. Ich gebe dir vollkommen recht, dass der Hersteller bei fehlerhaften Bremsen haftet, aber bei fehlerhafter Software können die auch nix machen (habe ich selber bei meinem eingebauten NAVI in einem Ford Focus erlebt).<br/>
<br/>
Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.<br/>
<br/>
Das nimmt ja alles kein Ende. Morgen findet dann irgendwer eine Sicherheitslücke in einem anderen Router usw.</t>

 

[a.spengler]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="Cablemen"><s>

</s>Wenn du beim Händler diesen Router kaufst willst du ihn haftbar machen weil D-Link eine fehlerhafte Software installiert hat? Du hast schon eine seltsame Ansicht! Aber man kann ihn sicherlich reklamieren (sprich 25€ zurück) und du kaufst dir einfach einen anderen!<e>

</e></QUOTE>

Was anderes als "haftbar machen" - im Sinne von Sachmangelgewährleistung reklamieren - ist das, was Du im zweiten Satz beschreibst?</r>

 

[a.spengler]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="Knifte"><s>

</s>Und ich finde den Vergleich zwischen Fehler in der Software (=Firmware) und Fehler in der Hardware (=Bremsen) schon irgendwie hinkend. Ich gebe dir vollkommen recht, dass der Hersteller bei fehlerhaften Bremsen haftet, aber bei fehlerhafter Software können die auch nix machen (habe ich selber bei meinem eingebauten NAVI in einem Ford Focus erlebt).<e>

</e></QUOTE>

Haften bei einem Kaufvertrag tut immer der Händler - und da ist es völlig egal, ob es sich um einen Software- oder einen Hardware-Mangel handelt. Der Hersteller bietet eventuell noch eine Garantie, die ist aber immer unabhängig von der gesetzl. Gewährleistung zu sehen.<br/>

<QUOTE><s>

</s>Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.<e>

</e></QUOTE>

Ganz offensichtlich sind hier die zwei Jahre schon um...</r>

 

[Knifte]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r>Aber selbst wenn ich das Ding gestern erst bekommen hätte, würde ich das nicht benutzen, weil es einfach Schrott ist <E></E><br/>
<br/>
Ich hätte dafür aber auch keine 25 Euro gezahlt.</r>

 

[MentalFS]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="Keyser Soze"><s>

</s>Viel wichtiger als die Haftungsfrage finde ich die Frage, ob es irgendwie möglich ist, den Router irgendwie(?) so notdürftig abzusichern, dass keine Angriffe mehr möglich sind.<e>

</e></QUOTE>

Ich würde sagen, natürlich den Zugriff von außen verbieten und den Port auf einen anderen als 80 oder 8080 ändern, am besten etwas eher zufälliges.</r>

 

[piotr]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="a.spengler"><s>

</s><QUOTE><s>

</s>Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.<e>

</e></QUOTE>

Ganz offensichtlich sind hier die zwei Jahre schon um...<e>

</e></QUOTE>

Es kommt darauf an, wann der DIR-300 (und auch der Netgear WGR614) von UM ausgeliefert wurde.<br/>
<br/>
Seit ca Mitte 2010 sind alle UM Router keine kostenlosen Goodies mehr.<br/>
Sie werden nur noch fuer die Dauer des Vertrages dem Kunden kostenlos zur Verfuegung gestellt und muessen nach Vertragsende zurueckgegeben werden.<br/>
<br/>
D.h. UM ist der Eigentuemer des Geraetes.<br/>
<br/>
Und UM ist damit bei allen Routern die nach ca Mitte 2010 ausgeliefert wurden in der Pflicht, den Mangel (d.h. die fehlende Betriebssicherheit) abzustellen.<br/>
<br/>
Die hier oft zitierten 25 Euro sind kein Kaufpreis.<br/>
Es ist die Gebuehr, die die Kosten abdecken soll, dass das Lager der eingesetzten Subunternehmer genutzt wird, die Techniker sich den Wagen mit den Dingern vollstopfen und dann Dir einen davon uebergeben. Das Ganze nennt sich Installationsgebuehr.</r>

 

[Keyser Soze]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="MentalFS"><s>

</s><QUOTE author="Keyser Soze"><s>

</s>Ich würde sagen, natürlich den Zugriff von außen verbieten...<e>

</e></QUOTE><e>

</e></QUOTE>Wie genau kann man dies einstellen und prüfen?</r>

 

[koax]

Es geschieht wohl doch etwas seitens dlink

<r><URL url="http://www.heise.de/newsticker/meldung/LKA-wird-wegen-verwundbarer-D-Link-Router-aktiv-1798853.html"><s></s><LINK_TEXT text="http://www.hei...Link-Router-aktiv-1798853.html</LINK_TEXT><e></e></URL></r>

 

[CarNie]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r>Neue Firmwareversionen sind seit gut einer halben Stunde raus.<br/>
<br/>
<URL url="ftp://ftp.dlink.de/dir/dir-300/driver_software/DIR-300_fw_revb_214b01_ALL_de_20130206.zip"><s></s><LINK_TEXT text="ftp://ftp.dlin...evb_214b01_ALL_de_20130206.zip</LINK_TEXT><e></e></URL> <-- DIR-300 Rev.B<br/>
<br/>
<URL url="ftp://ftp.dlink.de/dir/dir-600/driver_software/DIR-600_fw_revb12_215b01_ALL_de_20130206.zip"><s></s><LINK_TEXT text="ftp://ftp.dlin...b12_215b01_ALL_de_20130206.zip</LINK_TEXT><e></e></URL> <-- DIR-600 Rev. B1 und B2<br/>
<br/>
<URL url="ftp://ftp.dlink.de/dir/dir-600/driver_software/DIR-600_fw_revb5_215b01_ALL_de_20130206.zip"><s></s><LINK_TEXT text="ftp://ftp.dlin...vb5_215b01_ALL_de_20130206.zip</LINK_TEXT><e></e></URL> <-- DIR-600 Rev. B5<br/>
<br/>
Quelle: <URL url="http://www.computerbase.de/news/2013-02/d-link-router-dir-300-und-dir-600-mit-sicherheitsproblemen/"><s></s><LINK_TEXT text="http://www.com...-600-mit-sicherheitsproblemen/</LINK_TEXT><e></e></URL></r>

 

[paul]

Re: Es geschieht wohl doch etwas seitens dlink

<r><QUOTE author="koax"><s>

</s><URL url="http://www.heise.de/newsticker/meldung/LKA-wird-wegen-verwundbarer-D-Link-Router-aktiv-1798853.html"><s></s><LINK_TEXT text="http://www.hei...Link-Router-aktiv-1798853.html</LINK_TEXT><e></e></URL><e>

</e></QUOTE>

Wer sagt es denn? Das LKA NS sieht die Angelegenheit ganz anders als der "User" Knifte. <E>:brüll:</E> <E>:brüll:</E> <E>:brüll:</E> <br/>
<br/>
Leider gibt es für den DIR 300 noch keinerlei Updates wie im Heise-Artikel für heute angekündigt.</r>

 

[koax]

Re: Es geschieht wohl doch etwas seitens dlink

<r><QUOTE><s>

</s>Wer sagt es denn? Das LKA NS sieht die Angelegenheit ganz anders als der "User" Knifte. <E>:brüll:</E> <E>:brüll:</E> <E>:brüll:</E> <e>

</e></QUOTE>
Das LKA ist der Meinung, dass die Benutzer gewarnt werden sollten und erwägt das zu tun.<br/>
Was hat das mit Gewährleistung zu tun?</r>

 

[paul]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<t>Alleine die Tatsache, das sich ein Landeskriminalamt mit dieser Geschichte beschäftigt zeigt doch deutlich, das es hier um eine besonders gefährliche Angelegenheit geht. Ich bin mir ziemlich sicher, das UM sich wie üblich taub stellen wird, aber die haben die Dinger massenhaft in Umlauf gebracht. Da UM seine betroffenen Kunden nicht auf die Sicherheitslücke aufmerksam macht, wird im Schadensfall eine Mithaftung nicht ausgeschlossen werden.</t>

 

[koax]

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

<r><QUOTE author="paul"><s>

</s>Alleine die Tatsache, das sich ein Landeskriminalamt mit dieser Geschichte beschäftigt zeigt doch deutlich, das es hier um eine besonders gefährliche Angelegenheit geht.<e>

</e></QUOTE>
Ja. Schließlich ist die Aufgabe der Polizei auch die Verbrechensvorsorge und ein löcheriger Router begünstigt die Internetkrimilarität.<br/>
Allerdings interessiert das LKA Dein Vertrag mit Unitymedia und die daraus resultierenden Rechte und Pflichten nicht die Bohne.</r>