openwebif erlaubt download beliebiger Dateien

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • slandy schrieb:

      2) Alternative für telnet?
      SSH

      Zu Punkt 1,3,4) Ich rede von Default-Einstellungen, nicht mehr und nicht weniger. Der erfahrene User könnte sich im nachhinein wieder alles zurückbauen/Klicken. Dann aber hat er aber hoffentlich ausreichend Gründe, warum er unbedingt solche Löcher zurückhaben möchte.

      Der Feed an sich ist von der WebIF Funktion überhaupt nicht betroffen.
    • Wie gegen Windmühlen hier.
      weil ich deine Meinung nicht annehme? also bitte...


      1) bei VTI Standardinstallation zwingend das Setzten eines root Passwort zu fordern?
      schon alleine, das die Passworteingabe nichtmal annähernd so einfach ist wie an einem PC/Laptop/SmartPhone geht (Probleme vorprogrammiert)
      ich kenne so einige Leute die bei derartigem, zwingend am Anfang, sofort den Laden zu und einen Imagewechsel hin zu Einfachheit machen würden





      2) Telnet ersatzlos zu entfernen?
      einfache Nutzbarkeit, enthalten in Zusatztools wie DCC, ....
      ============================================================================================
    • shadowrider schrieb:

      einfache Nutzbarkeit, enthalten in Zusatztools wie DCC, ....
      Wer eine Shell braucht, der weiß auch ohne DCC, wie er da dran kommt. Vielleicht tut's ja aber auch eine Mail an den DCC Maintainer, er möge mal den Vorschlag überdenken und einen Button für externes Putty einbauen...
      Und wenn es zu kompliziert ist, ein Passwort zu setzten, dann fällt mir dann auch nichts mehr zu ein. Gepaart mit dem Artikel Portweiterleitungen im Wiki (Diesen Abschnitt sollte ein Mod also wirklich mal entsorgen!!!) sollte dann auch dem Letzten Kritiker klar sein, weshalb Webseiten wie shodan und Co prall gefüllte Datenbanken haben.

      Insbesondere im Hinblick auf die vielen Anfänger hier, halte ich ein Minimum an verantwortungsvollen Maßnahmen seitens eines Software-Herstellers für dringend angeraten. Hier geschieht leider nur das Gegenteil. Schade.
    • openwebif erlaubt download beliebiger Dateien

      So, da wir nun so schön dabei sind, wie kann ich meinen AV Receiver schützen :)

      Gesendet von meinem BLN-L21 mit Tapatalk

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von sli ()

    • hmmmdada schrieb:

      VPN und Portweiterleitung: Hier wird an allen Ecken und Enden davon abgeraten.

      Banana Joe schrieb:

      Gepaart mit dem Artikel Portweiterleitungen im Wiki (Diesen Abschnitt sollte ein Mod also wirklich mal entsorgen!!!)
      Es gehört wahrscheinlich in einen eigenen Thread, aber es passt sehr gut hier her.
      Wie greift Ihr von Aussen auf Eure Box zu?
      Wenn ich es richtig lese, dann baut ihr immer ein VPN auf in euer Heimnetz und bewegt Euch von da aus.
      Ihr habt auch keine Ports freigegeben, um direkt auf die Box zuzugreifen mit z.B. dreamdroid.

      Ich habe eine Fritzbox und kann dort ein vpn aufbauen, auch mit selbst erstelltem Zertifikat.

      Wie aber machen es "normale" Leute?
      Vorher hatte ich ein Zyxel-Modem (alter Arcor-Anschluss), da habe ich das VPN über den Win 2003 Server abgebildet, um in mein Netz zu kommen.
      Für die Box habe ich aber einen Port mit Weiterleitung freigegeben (34567) und dann über dreamdroid drauf zugegriffen.
      Um dahin zu gelangen, muss man aber mein DynDns-Namen wissen, den Port zur Weiterleitung und dann auch noch das root-passwort. Das wäre für mich (und sicher auch für andere Leute) schon sicher.
      Alle sagten, das geht nicht. Dann kam einer, der wusste das nicht, und hat es einfach gemacht.
    • DynDns-Namen braucht man nicht, es reicht auch deine externe IP und die wird dadurch gefunden, dass es Leute gibt, die einfach probieren und zufällig bei dir landen.
      Auch Ports kann man scannen.

      Bleibt als einziger Schutz das Passwort.
    • Der Punkt ist, dass immer weltweit irgendwelche Port-Scanner laufen, die einfach alle IP-Adressen und alle Ports durchprobieren, um herauszufinden, ob da etwas antwortet. Es ist ein Trugschluss, dass jemand den DynDNS-Namen oder die Portnummer wissen müsste oder dass eine geänderte Port-Nummer etwas sicherer machen würde... Es gibt genug kriminelle Energie und da wird einfach das ganze Internet abgesucht.

      Aus diesem Grund ist von Port-Freigaben grundsätzlich abzuraten.

      Wenn überhaupt von außen, dann über ein VPN. Das muss dann mit einem guten Passwort gesichert sein. Der VPN-Port wird von einem Port-Scanner immer noch gefunden, dann müsste aber auch noch das Passwort geknackt werden. Zusätzliche Sicherheit liefert das VPN dadurch, dass der Datenstrom nicht mitgelesen werden kann, da er verschlüsselt ist.

      Es stimmt, für ein eigenes VPN brauchts zuhause einen VPN-Server. Auf irgendeinem System muss der dann laufen. Bei mir macht das der Bintec-Router, ich könnte das auch auf der Synology oder dem Raspberry machen. Da muss jeder seine eigene Netzwerk-Landschaft überprüfen, ob ein Gerät vorhanden ist, das ein VPN anbieten kann.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von RickX ()

    • openwebif erlaubt download beliebiger Dateien

      Was leider total veraltet ist.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von RichieX ()

    • Also wenn ich einen VPN Server installiere, nehme ich ein relativ sicheres System wie die Syno und nicht einen Satreceiver, der offen ist.
      Das habe ich schon nicht beim Thread Ersteller verstanden, das er das macht, obwohl er genau die Angriffsflächen sieht.

      Die VU bleibt was es ist bei mir und wird kein Homeserver, etc. Etc.
      Sie fährt runter, wenn man sie nicht braucht, hat kein Portforwarding, etc etc.
    • @gsmgrufti Vor meiner Box, die 400km von mir entfernt steht, befindet sich (leider) eine Unitymedia Connect Box, die, meines Wissens kein VPN Server ist.
      Meine Möglichkeiten (sicher) auf die Box zuzugreifen sind begrenzt. OpenVPN Server auf der Box mit Weiterleitung des einen Ports auf der Connect Box ist der sicherste mir bekannte Weg.
      Ich bin für Vorschläge offen (solange sie nicht bedeuten: Providerwechsel, Fritzbox kaufen)
      Für den Fernzugriff auf die VuPlus lohnt sich - nur für die 1%, die es brauchen und es interessiert - vielleicht ein eigener Thread über das für und wider der verfügbaren Varianten.

      Zu diesem Beitrag:
      Meine Verwunderung über die Lesbarkeit beliebiger Systemdateien wurde hier im Thread ja schon als harmlos im Vergleich zur Installierbarkeit beliebiger Plugins verschlimmert.
      Hier bei der offiziellen Sicherheitslückendatenbank von MITRE wird außerdem remote code execution durch openwebif durch ein ungeschütztes eval bemängelt:
      Openwebif Project Openwebif : List of security vulnerabilities

      Im Git von Openwebif wird CVE-2017-9807 : An issue was discovered in the OpenWebif plugin through 1.2.4 for E2 open devices. The saveConfig function of "plug hier behandelt:
      Remote Code Execution vulnerability CVE-2017-9807 in saveConfig is not fixed · Issue #657 · E2OpenPlugins/e2openplugin-OpenWebif · GitHub
      Hier ist das unsichere eval in Version 1.2.4
      e2openplugin-OpenWebif/config.py at 1.2.4 · E2OpenPlugins/e2openplugin-OpenWebif · GitHub
      Hier der Fix:
      e2openplugin-OpenWebif/utilities.py at master · E2OpenPlugins/e2openplugin-OpenWebif · GitHub
      Der Code, der in VTi verwendet wird (Vu+ Update), ist der der Version 1.2.4 von openwebif oder älter.

      Bei VTi steht das ungeschützte eval im Code in config.py

      Bei einem der 99%, die kein default root passwort haben, steht jede VuPlus in Standardkonfiguration unsicher im lokalen Netz.
    • Banana Joe schrieb:

      Wer eine Shell braucht, der weiß auch ohne DCC, wie er da dran kommt. Vielleicht tut's ja aber auch eine Mail an den DCC Maintainer, er möge mal den Vorschlag überdenken und einen Button für externes Putty einbauen...Und wenn es zu kompliziert ist, ein Passwort zu setzten, dann fällt mir dann auch nichts mehr zu ein. Gepaart mit dem Artikel Portweiterleitungen im Wiki (Diesen Abschnitt sollte ein Mod also wirklich mal entsorgen!!!) sollte dann auch dem Letzten Kritiker klar sein, weshalb Webseiten wie shodan und Co prall gefüllte Datenbanken haben.

      Insbesondere im Hinblick auf die vielen Anfänger hier, halte ich ein Minimum an verantwortungsvollen Maßnahmen seitens eines Software-Herstellers für dringend angeraten. Hier geschieht leider nur das Gegenteil. Schade.
      kann ich nur zustimmen.
      wieso z.B. default per cifs rootfs freigegeben wird, ist mir noch immer ein rätsel.
      bei der neuinstallation eines images könnte man zusätzlich gleich den user fragen, ob er aus sicherheitsgründen gleich ein neues passwort vergeben will.
      gibt sicher noch viele beispiele, wie man die boxen sicherer machen könnte.
      - - - Beitrag wurde mit Deppentalk erstellt. - - -
    • ignisvulpis schrieb:

      @gsmgrufti Vor meiner Box, die 400km von mir entfernt steht, befindet sich (leider) eine Unitymedia Connect Box, die, meines Wissens kein VPN Server ist.
      Meine Möglichkeiten (sicher) auf die Box zuzugreifen sind begrenzt. OpenVPN Server auf der Box mit Weiterleitung des einen Ports auf der Connect Box ist der sicherste mir bekannte Weg.
      Ich bin für Vorschläge offen (solange sie nicht bedeuten: Providerwechsel, Fritzbox kaufen)
      Für den Fernzugriff auf die VuPlus lohnt sich - nur für die 1%, die es brauchen und es interessiert - vielleicht ein eigener Thread über das für und wider der verfügbaren Varianten
      ok, verstanden, also keine Syno oder Qnap oder etwas äquivalentes - maximum aus bestehenden....

      Den eigenen thread fände ich gut - auch ala „wie sichert man die Vu am besten ab, wenn sie online erreichbar sein soll“ (oder so ähnlich), evtl. Sogar mit „das müsst ihr patchen“ usw.
      Manchmal fliesst durch so etwas auch etwas zurück und wird dann standarmäßig umgesetzt.
      (Ist besser als eine reine Auflistung von Sicherheitsmängeln mit der berüchtigten „Warum-Frage“)
      Stück für Stück und nicht mit der Keule :D

      Ich schliesse mich da auch @Banana Joe an:
      Mit dem Ausbau von Smarthome und dem langsam aufkommenden IOT wird uns da noch einiges um die Ohren fliegen ( vor alllem mit dem Geräten, wo man keinen Einblick hat, wie sicher sie tatsächlich sind)
    • RickX schrieb:

      Es stimmt, für ein eigenes VPN brauchts zuhause einen VPN-Server. Auf irgendeinem System muss der dann laufen. Bei mir macht das der Bintec-Router, ich könnte das auch auf der Synology oder dem Raspberry machen. Da muss jeder seine eigene Netzwerk-Landschaft überprüfen, ob ein Gerät vorhanden ist, das ein VPN anbieten kann.
      Sorry für die direkte Frage. GIbt es schon eine Anleitung zum Aufsetzen von VPN, gerne mit Zertifikat, hier im Forum?
      Sonst schreib ich gerne mal meine Versuche zusammen, gerne mit Eurer Unterstützung.
      Danke.
      Alle sagten, das geht nicht. Dann kam einer, der wusste das nicht, und hat es einfach gemacht.