Zyxel Deutschland Forum - Herzlich Willkommen!

Für Support Anfragen nutzen Sie http://support.zyxel.eu oder als Fachhändler http://partner.zyxel.eu
Aktuelle Zeit: Dienstag 23. Oktober 2018, 11:31

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



 


Ein neues Thema erstellen Auf das Thema antworten  [ 13 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Freitag 7. April 2017, 16:36 
Offline
engagiertes Mitglied

Registriert: Dienstag 17. September 2013, 20:13
Beiträge: 370
Tach,

das hier ist so ne Art Wettbewerb. Zu gewinnen gibts vermutlich nix, außer Zyxel will sich freikaufen (oder das Museum für Verkehr und Technik stiftet was).
Ich fang mal an:

Code:
mini_httpd/1.19 19dec2003

Produkt: WRE6505

Anyone better :weissnix: :mrgreen:


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Mittwoch 26. April 2017, 17:46 
Offline
Support Team Foren Leitung
Benutzeravatar

Registriert: Montag 3. November 2008, 13:51
Beiträge: 8634
Hallo klomann,

wenn du Sicherheitslücken findest, melde die bitte an support@zyxel.de inkl. Report, wie du diese aktiv ausnutzen kannst.

Nur auf "alte Bausteine" zu verweisen, die eventuell "stabil & gut genug" laufen für die Anwendungsszenarien ist nicht hilfreich.

Der WRE6505 nutzt in der Tat das Modul "Mini_HTTP von 2003".

Dieses dient jedoch lediglich internen LAN Komponenten.

Die aktuelle Firmware (Patch 4) hat keine HTTPS und keine Telnet / SSH Möglichkeiten und somit ist der Web-Server gegen alle aktuellen Lücken bestens geschützt.

Der neue WRE6505 v2 hat ebenfalls keinen Telnet Zugriff (hier man den Web-Server nicht herausfinden).

Ich möchte dir trotzdem nicht vorenthalten, dass wir hier auf "Mongoose in Version 3.1 von 2012" setzen. Der Server hat sich für diese Art von Produkten seit Jahren als Stabil und zuverlässig erwiesen.

Grüße,

Tobias

_________________
Zyxel Support Campus - Technical Specialist


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Mittwoch 26. April 2017, 20:29 
Offline
engagiertes Mitglied

Registriert: Dienstag 17. September 2013, 20:13
Beiträge: 370
Ich glaube nicht, das das Spiel so rum gespielt wird. Zyxel möge sich doch in zugänglichen Quellen informieren, bevor sie Pakete implementieren, die löchrig sind wie alte Socken.
Mal gucken?
https://vuldb.com/de/?id.51536
http://www.cvedetails.com/version/85568 ... -1.19.html
https://packetfactory.wordpress.com/
https://cxsecurity.com/cveproduct/10356 ... ini_httpd/

Seit 2010 bekannt...

Den aktuellen Patch4 werde ich mir ansehen...

VG


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Donnerstag 27. April 2017, 09:57 
Offline
Support Team Foren Leitung
Benutzeravatar

Registriert: Montag 3. November 2008, 13:51
Beiträge: 8634
Unsere Sicherheitstest konnten dazu keine Lücken die ausgenutzt werden feststellen.

_________________
Zyxel Support Campus - Technical Specialist


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Sonntag 21. Mai 2017, 09:05 
Offline
engagiertes Mitglied

Registriert: Dienstag 17. September 2013, 20:13
Beiträge: 370
Im Patch4 ist das Feld "Maintenance-Time" verschwunden. Ich kann also nicht mehr die richtige Zeit einstellen.
Der Repeater ist auf Winterzeit...zu NTP hab ich auch nix gefunden... :dagegen:
"Maintenance-Language" ist auch verschwunden :hilfe:

Was stand nur nochmal in den Relase Notes...

Zitat:
Modifications in V1.00(AAQB.4)C0 | 2017/04/20
1.
Disable Telnet


Das ist wohl mehr gemacht worden... :wand:


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Sonntag 21. Mai 2017, 18:38 
Offline
interessiertes Mitglied

Registriert: Dienstag 22. September 2015, 00:41
Beiträge: 52
[ZYXEL] Tobias hat geschrieben:
Hallo klomann,

wenn du Sicherheitslücken findest, melde die bitte an support@zyxel.de inkl. Report, wie du diese aktiv ausnutzen kannst.

Nur auf "alte Bausteine" zu verweisen, die eventuell "stabil & gut genug" laufen für die Anwendungsszenarien ist nicht hilfreich.

Der WRE6505 nutzt in der Tat das Modul "Mini_HTTP von 2003".

Dieses dient jedoch lediglich internen LAN Komponenten.

Die aktuelle Firmware (Patch 4) hat keine HTTPS und keine Telnet / SSH Möglichkeiten und somit ist der Web-Server gegen alle aktuellen Lücken bestens geschützt.

Der neue WRE6505 v2 hat ebenfalls keinen Telnet Zugriff (hier man den Web-Server nicht herausfinden).

Ich möchte dir trotzdem nicht vorenthalten, dass wir hier auf "Mongoose in Version 3.1 von 2012" setzen. Der Server hat sich für diese Art von Produkten seit Jahren als Stabil und zuverlässig erwiesen.

Grüße,

Tobias


Tobias... es ist nie die Aufgabe eines Kunden Sicherheitslücken zu finden und dem Hersteller zu melden wie man Sie ausnutzen kann. Der Hersteller ist in der Pflicht eine Software aus zu liefern die möglichst keine Sicherheitslücken hat. Das Funktioniert nur nicht, wenn man so viele alte Software Komponenten ausliefert wie ihr!


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Sonntag 21. Mai 2017, 22:51 
Offline
Experte

Registriert: Freitag 13. März 2015, 13:39
Beiträge: 624
Es gibt aber Kunden die halten sich für Götter und sehen nicht das Software - auch wenn sie Lücken im Onlinemodus hat - trotzdem lokal eingesetzt werden kann.
Das sind auch meistens die die Linux als Allheilmittel darstellen und missionieren wo's geht.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Montag 22. Mai 2017, 01:51 
Offline
Experte
Benutzeravatar

Registriert: Samstag 12. Oktober 2013, 13:39
Beiträge: 804
Die NAS-Geräte sind von Haus aus PPPoE-fähig und somit auch für einen direkten Anschluss an ein DSL Modem gedacht - OHNE Router (und Firewall) dazwischen!
Das ist ein bestimmungsgemäßer Gebrauch.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Montag 22. Mai 2017, 07:48 
Offline
Experte

Registriert: Freitag 13. März 2015, 13:39
Beiträge: 624
Sicher, und welcher Home Consumer nutzt das und hat einen DSL/Whatever nur fürs NAS?
Erbsenzählerei, nur weil die Funktion existiert.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Montag 22. Mai 2017, 14:21 
Offline
Experte
Benutzeravatar

Registriert: Samstag 12. Oktober 2013, 13:39
Beiträge: 804
Solche Argumentationen sind wir eigentlich nur von Zyxel gewohnt ... *gähn*
Man kann sich alles schönreden: der MySQL "Patch" letztes Jahr war auch nix anderes als die Einschränkung nur Verbindungen von localhost zu zu lassen. Badlock ist ja auch schon gefixt ("only alow trusted hosts in your network"). Und unser owncloud 7 jetzt endlich auch total sicher. :zustimmen:
Aber verbinden wir uns doch gleich alle nur noch per VPN zu unserem Netzwerk bzw. NAS - das ist doch die Beste Lösung weil dann nie wieder Updates notwendig sind. :mrgreen:


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Montag 22. Mai 2017, 14:59 
Offline
Experte

Registriert: Freitag 13. März 2015, 13:39
Beiträge: 624
Versteh mich nicht falsch. Ich bin auch für Fixes.
Ich geh aber nicht gleich auf Condition Red weil da irgendwo mal eine Lücke existiert die einen von 1000 Nutzern betrifft.
Zitat:
Aber verbinden wir uns doch gleich alle nur noch per VPN zu unserem Netzwerk bzw. NAS

Dafür! Keine offenen Portweiterleitungen - ein Traum für sicherheitsbewusste Admins.


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Montag 22. Mai 2017, 20:22 
Offline
Experte

Registriert: Dienstag 19. Mai 2015, 09:25
Beiträge: 710
Wohnort: Germany / Cologne
Von
https://lkml.org/lkml/2017/4/16/209
Code:
Wait, what?  3.18?  Wasn't that kernel dead and forgotten and left to
rot on the side of the road?  Yes, it was, but unfortunately, there's a
few million or so devices out there in the wild that still rely on this
kernel

Code:
Android Version    |API Level  |Linux Kernel in AOSP
----------------------------------------------------
6.0   Marshmallow  |23         |3.18.10

Wohlgemerkt es kommen nur fixes rein, schönes neues gibt es nicht

_________________
Linux Kernel Developer
Lots of stuff attached to serial console
https://github.com/ulli-kroll


Nach oben
 Profil  
 
 
 Betreff des Beitrags: Re: Älteste verwendete Softwarekomponente in Zyxel-Produkten
BeitragVerfasst: Sonntag 28. Mai 2017, 15:08 
Offline
interessiertes Mitglied

Registriert: Dienstag 22. September 2015, 00:41
Beiträge: 52
Wir sollten vielleicht mal eine Liste führen... ich fange einfach mal an:

Samba 4.1.7 => Release Date April 17, 2014 => Support Ende 22.03.2016 => https://wiki.samba.org/index.php/Samba_ ... nformation
MySql 5.1.73 => Release Date Dez 03, 2013 => Support Ende 31.12.2013 => https://blog.cpanel.com/mysql-5-1-end-of-life/
Linux 3.10.39 => Release Date May 06 2014 => Support Ende Oktober 2017 => https://de.wikipedia.org/wiki/Linux_(Kernel)
Transmission 2.83 => Release Date May 18 2014 => Support Ende ???


Nach oben
 Profil  
 
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 13 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]


Wer ist online?

Mitglieder: Exabot [Bot], Google [Bot]


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu:  
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de


Impressum


Hubwagen  - Hubtisch  - Hochhubwagen  - günstige Hubwagen  - Hubwagen  - Hubtisch  - Scherenhubtische  - günstige Kehrmaschinen