Nieuws
image

Nederlander vindt lek in UPnP, Linksys patcht WRT54GS

dinsdag 16 mei 2006, 16:25 door Redactie, 14 reacties

De Nederlandse student en freelance journalist Armijn Hemel heeft een kwetsbaarheid in het Universal Plug and Play (UPnP) protocol ontdekt. UPnP wordt steeds vaker gebruikt en meer en meer routers, gateways en DSL modems ondersteunen het. Chat clients (MSN Messenger), netwerk spelletjes en gaming netwerken zoals X-Box Live zijn afhankelijk van UPnP om zonder problemen en al teveel kennis aan kant van de gebruiker te werken.

Tot nu toe zijn er, op een enkele buffer overflow na, niet zoveel problemen met UPnP geweest. Hemel zal aanstaande donderdag tijdens de System Administration and Network Engineering (SANE) Conferentie in Delft een presentatie geven waarin hij laat zien dat het protocol ernstig lek is en waarom beheerders er verstandig aan doen om het uit te schakelen op netwerk apparaten.

De bevindingen van Hemel waren voor routerfabrikant Linksys reden om een firmware upgrade voor de draadloze WRT54GS router uit te brengen. Wordt vervolgd...

Reacties (14)
16-05-2006, 16:34 door Quux
C00l! Way to go Armijn!
16-05-2006, 17:04 door Anoniem
yup.. altijd al fijn gevonden die Upnp ellende... overal waar ik kom,
is dat iets wat eruit gehaald wordt. Onder windows XP is het altijd
fijn zo'n internet brug :(

Zowel op de router als op het werkstation (vast of notebook)
uitzetten. Leuk bedacht (Upnp), maar ik ondervind in de praktijk
daar alleen maar ellende mee.
16-05-2006, 17:30 door SirDice
The protocol is unclear and flawed by design {...}
Dat klopt.. Het is dan ook een draft en nog geen "echte" standaard... Ik heb het daarom altijd vreemd gevonden dat MS het in Windows gebakken had..
16-05-2006, 20:58 door [Account Verwijderd]
[Verwijderd]
16-05-2006, 22:33 door Jachra
van Plug and Pray naar Universal Plug and Pray. Small step
for Microsoft, giant leak for mankind.
17-05-2006, 08:30 door Anoniem
Die firmware is volgens de readme vrijgegeven op 25 april... dit lek kwam
toch gister pas in het nieuws?
17-05-2006, 12:27 door Anoniem
Dat was omdat ik het Linksys al een stuk eerder heb laten
weten, zodat ze een firmware update konden maken. Jammer
genoeg is er nog geen update voor de WRT54G, maar alleen
voor de GS :(

groeten,

armijn
17-05-2006, 13:03 door fd0
Door SirDice
Ik heb het daarom altijd vreemd gevonden dat MS
het in Windows gebakken had..
Omdat dat de manier van M$ is om standaarden door te drukken?
Kijk naar de "embrace and extend" van kerberos.... Handig
natuurlijk, want dan kunnen 3rd party producten niet meer
aansluiten en ben je gehouden aan M$ producten.

Well done Armijn
17-05-2006, 13:04 door fd0
Door Anoniem
Dat was omdat ik het Linksys al een stuk eerder heb laten
weten, zodat ze een firmware update konden maken. Jammer
genoeg is er nog geen update voor de WRT54G, maar alleen
voor de GS :(

groeten,

armijn


WD
17-05-2006, 17:45 door SirDice
Door fd0
Door SirDice
Ik heb het daarom altijd vreemd gevonden dat MS het in Windows gebakken had..
Omdat dat de manier van M$ is om standaarden door te drukken?
Kijk naar de "embrace and extend" van kerberos....
Ehhmm.. Kerberos IS een standaard (eigenlijk meerdere).. MS heeft er "alleen" wat aan veranderd waardoor de versie die zij gebruiken niet meer standaard is.. Java, zelfde laken een pak.. Wat dat betreft heb je wel gelijk..

De reden die MS altijd opgeeft op de vraag waarom Outlook geen Yenc ondersteund is "het is geen standaard, dus we ondersteunen het niet". Zelfs CIFS is een standaard.. Daarom vind ik het vreemd dat ze UPnP ondersteunen aangezien die alleen maar een draft is..

MS is meestal niet degene die nieuwe standaarden pushed.. Ze nemen een bestaande standaard en veranderen dat dusdanig dat het super loopt op MS software.. Het is alleen jammer dat ze daarmee gelijk de interoperabiliteit, waar ze zo prat op gaan, omzeep helpen..
18-05-2006, 11:13 door Anoniem
Wij moeten vele lekken beveiligen terwijl een hacker of cracker maar 1 lek
hoeft te vinden.

Draai en installeer dus zo min mogelijk software (let ook op je system
services) ...Zeker als 60% van de MS ontwikkelaars in 2005 nog niet durfde
te garanderen dat zij of hij veilige code schreef. Naast het feit dat
beveiliging altijd al een ondergeschoven kindje was bij developers.
Vroeger waren de exploits gewoon bugs..

Dat hebben ze echt niet in 1 jaar veranderd. Ook niet door middel van die
hoe veilige code te schrijven site...
19-05-2006, 10:17 door Anoniem
protocollen gebruiken die door hun eigen requirements al
niet veilig kunnen zijn zal ook wel niet helpen :)
19-05-2006, 10:52 door Anoniem
Goede actie Armijn.
Heb je andere fabrikanten (zoals Draytek) ook gewaarschuwd?
Zo niet heb je een engelstalig document dat hun kant op kan.

Keep up the good work.

Appelding (@xs4all.nl)
03-06-2006, 17:47 door Anoniem
Armijn, weet je misschien ook of de Alcatel speedtouch 510 (en de 510i)
dit probleem heeft ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search