WCM Forum - Fritzbox-Mediaserver verrät Geheimnisse

WCM Forum (http://www.wcm.at/forum/index.php)

- IT-Security (http://www.wcm.at/forum/forumdisplay.php?f=70)

- - Fritzbox-Mediaserver verrät Geheimnisse (http://www.wcm.at/forum/showthread.php?t=244467)

Fritzbox-Mediaserver verrät Geheimnisse

Zitat:

Die Router der Fritzbox-Reihe von AVM bringen einen Medienserver mit, der Musik, Videos und Bilder an UPnP-Geräte im lokalen Netzwerk liefert. Doch der stellt auch andere Dateien bereit – unter anderem Konfigurationsdateien, die je nach Modell sogar Passwörter enthalten. Die einfachste Abhilfe ist, den Medienserver zu deaktivieren. Wer seine Medien unbedingt von der Box beziehen möchte, sollte die Freigabe des internen Speichers abschalten und für USB-Medien die Freigabe auf die Ordner mit Mediendateien beschränken. Kurz nachdem heise Netze den Hersteller AVM auf den Fehler aufmerksam machte, hat dieser ein Firmware-Update bereitgestellt. Bisher gibt es korrigierte Beta-Versionen (bei AVM Labor genannt) für die Modelle 7390 und 7270.

Der Fehler steckt zwar in der UPnP-Software, betrifft aber nicht direkt dieses Protokoll. Denn der Server gibt per UPnP nur eine Liste der Mediendateien heraus. Für den Abruf der darin verzeichneten Medien enthält er zusätzlich einen http-Server auf einem anderen Port, in dem der Fehler steckt: Er liefert nicht nur die Medien aus der UPnP-Liste aus, sondern allerhand andere Dateien, sofern man bei der Abfrage den richtigen Pfad angibt. Dazu gehören auch Konfigurationsdateien, die bei einigen Fritzbox-Modellen sicherheitsrelevante Daten wie das WLAN-Passwort im Klartext enthalten. Für den Abruf ist kein Passwort erforderlich. Der Server bedient zwar nur Stationen im lokalen Netzwerk. Doch per Cross-Site-Scripting kann ein externer Angreifer wahrscheinlich den Browser dazu bringen, die Daten weiterzugeben. (je)

Quelle: http://www.heise.de/newsticker/meldu...e-1581132.html

Und wie '"wahrscheinlich" könnte das sein?

Das darfst Du mich nicht fragen, hab keine FritzBox. :look:
Ggf. unter den Links nachsehen.

Zitat:

Fritzbox-Sicherheitslücke im zweiten Anlauf gestopft

AVM hat Beta-Firmware ("Labor")für die Fritzbox-Modelle 7390 und 7270v3 veröffentlicht, die unter anderem eine Sicherheitslücke stopft. Sie betrifft den UPnP-AV-Medienserver, der außer Musik, Filmen und Bilder auch Konfigurationsdateien auslieferte.

Mit einem ersten Update am 21.5. hatte AVM den Fehler nur verändert, jedoch noch nicht behoben. Bei Stichproben mit der aktuellen Version ließen sich die kritischen Dateien nun nicht mehr herunterladen.

Fritzboxen, auf denen schon eine "Labor"-Firmware läuft, lassen sich per Online-Update aktualisieren. Sonst ist eine manuelle Installation der heruntergeladenen Firmware nötig. Wer diesen Schritt scheut, sollte den Medienserver deaktivieren, bis auch die stabile Firmware-Version bereit steht. Laut AVM laufen derzeit die letzten internen Tests vor der Veröffentlichung. (je)

Quelle: http://www.heise.de/newsticker/meldu...t-1583541.html