1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheitslücke in Open Source Router-Firmware

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 22. Juli 2009.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Angreifer können Router, auf denen die quelloffene Firmware DD-WRT installiert ist, unter ihre Kontrolle bringen. Durch Designfehler im eingebauten Web-Server können sie Root-Rechte erlangen.[/FONT]

    [FONT=&quot]Etliche Router-Modelle verschiedener Hersteller, darunter Linksys, Allnet, D-Link und Netgear, können vom Benutzer mit einer alternativen Firmware ausgestattet werden. Diese ist unter dem Namen DD-WRT als Open Source erhältlich. Sie enthält jedoch eine gravierende Sicherheitslücke, die es einem Angreifer ermöglicht Root-Rechte auf einem anfälligen Gerät zu erlangen und so die volle Kontrolle über den Router zu übernehmen.[/FONT]

    [FONT=&quot]Ursache des Problems ist ein Designfehler beim enthaltenen Web-Server, der die Bedienoberfläche der Router steuert. Er läuft mit Root-Rechten und prüft bestimmte Metazeichen nicht, die in den Aufrufparametern einer URL enthalten sein können. Die Konfigurationsseiten eines Routers sind zwar nicht direkt aus dem Internet ansprechbar. Ein Angreifer kann jedoch eine Web-Seite so präparieren, dass ein Aufruf dieser Seite durch einen Benutzer, dessen Rechner an dem Router hängt, genügt um den Router zu manipulieren.[/FONT]
    [FONT=&quot]Beispiel-Code für die Ausnutzung der Sicherheitslücke ist bereits veröffentlicht worden. Ein präparierter HTML-Tag für ein Bild genügt bereits, um einen Befehl an den Router zu senden. Dieser führt den Befehl auch dann aus, wenn kein Benutzer angemeldet ist.[/FONT]
     
    #1
    Pilot gefällt das.

Diese Seite empfehlen