News Netzwerkprotokoll UPnP mit sehr gefährlicher Lücke

[SheepShaver]

Ja!

P.S.: XML ist kein Protokoll.

 

[NoXPhasma]

Schön wäre die Information ab welcher Version der libupnp und miniupnp man sich keine Sorgen mehr machen muss. Das gehörte eigentlich in den Artikel, ansonsten bringt die News doch absolut nichts.

Auf meinem Router läuft miniupnp in der Version 1.4.20100921-1.

 

[Sublogics]

Telekom, AVM und Vodafone geben Entwarnung

Schade daß darauf nicht näher eingegangen wird.
Allerdings bieten doch die Geräte von der Telekom (zumindest Speedport) eh kategorisch garnicht erst UPnP an - was ich als Frechheit empfinde.

 

[Elkinator]

Hier der direkte Donwload-Link zum Scan-Tool: http://downloads.metasploit.com/data/releases/ScanNowUPnP.exe

das programm ist ja geil, es will java haben obwohl auf dem rechner java vorhanden ist...

 

[Luxuspur]

Schön wäre die Information ab welcher Version der libupnp und miniupnp man sich keine Sorgen mehr machen muss. Das gehörte eigentlich in den Artikel, ansonsten bringt die News doch absolut nichts.

naj vieleicht auch mal die Quelle googeln ?

Laut der Warnung sind alle Versionen von libupnp vor der Nummer 1.6.17 von der Lücke betroffen

ansonsten bringt die News doch absolut nichts.

die stinkt doch schon ... ;p

 

[Headb@nger71]

..Finger weg vom Download - es läßt sich momentan nicht löschen und Windows ist ewig dabei Daten zum Löschen zu sammeln!!

Erst mit einem Löschtool ging es - sehr fragwürdiges Tool!

 

[Yuuri]

UPnP uses UDP port 1900 and TCP port 2869.[5]

TCP lässt sich einfach mit telnet <externe IP> 2869 (vorher evtl. den telnet Client installieren) überprüfen. Alternativ kann man auch einfach einen Portscanner (den z.B.) vom Internet aus nutzen. Für den UDP Port müsste man allerdings auf bspw. nmap ausweichen. Wenn der TCP Port aber schon offen ist, wird es der UDP Port wohl auch sein. Wenn er zu ist, ist die Lücke nicht vorhanden.

@ CB: Bitte ändert doch den Titel. UPnP hat keine Lücke, sondern die Implementation von Intel.

 

[Ice-Lord]

Schon immer deaktiviert...ich bin gerne Herr über mein Netzwerk

Man sollte eben nicht alles automatisieren.

Das seh ich ähnlich!
Bei mir auch seit Tag 1 deaktiviert.

Sollte man wirklich mal Port-freigaben oder der gleichen
brauchen kann man das mit 2-3 Klicks selber einstellen.

Wer weiß was da sonnst alles raus und rein will.

 

[MaverickM]

AVM Geräte sind von der Sicherheitslücke nicht betroffen:

http://www.avm.de/de/News/artikel/2013/sicherheitsluecke_upnp.html

 

[TrueAzrael]

Da die ganzen Filesharingdienste etc. sich selbst über uPnP Zutritt von außen verschaffen wollen ist das bei mir auch aus. Ports werden von mir geöffnet und auch geschlossen, Punkt! Außerdem kann jedes Programm aus dem eigenen Netzwerk sowieso raustelefonieren über den Router, und Programme die auf ungefragten Verkehr von außen aufbauen sind im Heimbereich meiner Meinung nach sowieso zu hinterfragen.

 

[Luxuspur]

tja so ist das aber nunmal ... die breite dumme Masse mag eben die Bequemlichkeit und zieht uPNP vor entweder wie gesagt aus Bequemlichkeit oder weil sogar einfach zu dumm sind Portforwarding selbst einzustellen ... und da tummeln sich auch hier genug möchtegerns auf die das zutrifft!

 

[mellow67]

irgendwie fehlt mir im Artikel die klare Trennung zwischen LAN-Angriffen und Internet-Angriffen?!.... Wie groß ist denn nun die Gefahr von aussen?!

 

[easy.2ci]

Das seh ich ähnlich!
Bei mir auch seit Tag 1 deaktiviert.

Sollte man wirklich mal Port-freigaben oder der gleichen
brauchen kann man das mit 2-3 Klicks selber einstellen.

Wer weiß was da sonnst alles raus und rein will.

Hmm du traust also deinen eigenen Maßnahmen nicht. Sonst wüsstest du ja genau was rein und raus will.

So gesehen müsstest du upnp wieder einschalten, denn dann siehst du ja im Log welche Systeme/Anwendungen Portweiterleitungen einrichten.

So gesehen also ein weiterer Pluspunkt für die Nutzung von upnp.

 

[JuggernautX]

tja so ist das aber nunmal ... die breite dumme Masse mag eben die Bequemlichkeit und zieht uPNP vor entweder wie gesagt aus Bequemlichkeit oder weil sogar einfach zu dumm sind Portforwarding selbst einzustellen ... und da tummeln sich auch hier genug möchtegerns auf die das zutrifft!

Klasse, also entweder bin ich faul oder zu dumm, Tellerrand und so, davon haste noch nix gehört? Stell Dir vor, nicht alle sind so Intelligent wie DU. Es gibt auch Menschen, welche sich mit Netzwerk nicht auskennen oder noch nicht genug. Herr Luxuspur inhaliert diese Netzwerkproblematiken wies täglich Brot. Herzlichen Glückwunsch.... Abgesehen davon bin ich kein Möchtegern, jetzt schlägts aber 13!

edit-
Nachtrag:

So Leute,

ich brauch mal bitte euer Rat, auch auf die Gefahr hin, dass ich Bequem, Dumm oder wie ein Möchtegern rüber komme.

Ja, ich habs gelesen mit den Fritzboxen, dass diese sicher sein sollen aber trotzdem... (wer weiß ob das tatsächlich so ist und da hier einige rigoros UPnP deaktivieren, frag ich lieber nochmal )

Soll ich das Häkchen bei "Stausinformationen über UPnP übertragen...." in meiner 7170 entfernen?
Welche Nachteile habe ich dann?



Danke für die Tipps

 

[easy.2ci]

Die Fritzboxen sind sicher, da sie nicht aufs fehlerhafte Modul von Intel zurückgreifen.
Ob du den Haken drin hast oder nicht spielt daher keine Rolle.

"Statusinformationen über upnp übertragen" ist also sicher, da es

1. nur auf LAN Seite eine Antwort gibt
2. nur lesend auf upnp zugreift

Ohne diese Option wirst du keine Auswirkung spüren, Apps die Statusinfos von der Fritzbox abfragen werden dann natürlich nicht mehr funktionieren, du müsstest für Infos dich also in die Weboberfläche einwählen.
Die Apps sind halt komfortabler, da sie auch kein Passwort brauchen, eine Authorisierung gibts bei upnp nicht und das ist auch gut so.


Unterm Aspekt Sicherheit ist nur die zusätzliche upnp Funktion relevant, nämlich Konfigurationsänderungen über upnp erlauben. Das ist per default abgeschaltet in der Fritzbox, viele Dienste benötigen das jedoch, ich habs daher aktiviert.
Das ist quasi Schreibzugriff über upnp und birgt daher ein gewisses Risiko.

Die jetzt bekanntgewordene Lücke bezieht sich aber darauf, dass dieser Schreibzugriff übers Internet erfolgen kann und das ist natürlich nicht gewollt. Die Fritzboxen sind sicher und akzeptieren Schreibzugriffe nur aus dem LAN.

 

[JuggernautX]

easy.2ci,

Danke für die Info!

Unterm Aspekt Sicherheit ist nur die zusätzliche upnp Funktion relevant, nämlich Konfigurationsänderungen über upnp erlauben. Das ist per default abgeschaltet in der Fritzbox, viele Dienste benötigen das jedoch, ich habs daher aktiviert.
Das ist quasi Schreibzugriff über upnp und birgt daher ein gewisses Risiko.

Damit meinst Du die untere 3. Auswahl auf dem Screen, oder?

 

[easy.2ci]

Ja, wobei in der aktuellen Firmware gibts 2 oder 3 Stellen, wo man den Punkt an- und abschalten kann.

Der Beschreibungstext ist jedoch immer gleich, ich hab den genauen Wortlaut nicht im Kopf aber sinngemäß

Änderung der Konfiguration über upnp zulassen
oder Änderung der Sicherheitseinstellung über upnp zulassen


Gemeint ist hier der Schreibzugriff mittels upnp auf die Fritzbox. Wenns nicht benötigt wird dann am besten abgeschaltet lassen, so ist es ja auch im default. Mit dem bekanntgewordenen Bug hat das aber wie gesagt nichts zu tun, AVM hat hier sauber gearbeitet.

 

[JuggernautX]

Hab jetzt mal den Haken entfernt und just ging das Add "Fox!Box" nicht mehr, also Haken wieder gesetzt und gut is.

 

[mux]

Alles schön und gut, ich brauche UPnP auch nicht und würde es deaktivieren, finde aber keine derartige Möglichkeit bei meinem Router (Congstar Komplett Box).
Unter Windows 7 habe ich bei den Freigabeoptionen für Netzwerkprofile die Netzwerkerkennung ausgeschaltet. Allerdings weiß ich nicht, ob das wirklich etwas sicherheitsrelevantes bringt, da ich mich mit Netzwerkeinrichtung nicht besonders gut auskenne.
Vielleicht kann da jemand Schlaueres etwas dazu sagen...?

 

[Sublogics]

Die Congstar-Geräte sind nix anderes als die Telekom-Speedports - und du findest diese Funktion nicht weil sie schlicht und ergreifend kein UPnP unterstützen.