gulli: TraveDSL-Modems per http remoteadministrierbar
30. Januar 2006

TraveDSL-Modems per http remoteadministrierbar

Klartext-Passwort in der Source der Loginseite

"Warum muß so etwas immer erst öffentlich weh tun, damit Firmen mit Securityproblemen sinnvoll umgehen?" schreibt Kristian Köhntopp in seinem Blog: nach einem nmap-Lookup mußte er feststellen, dass noch eine "dreistellige Anzahl" User von TraveDSL DSL Modems von einem Firmwarebug betroffen sind, die die Geräte per http konfigurierbar machen: von jedem beliebigen Rechner im Internet aus, da das verwendete Loginpasswort in der Source der Loginseite im Klartext angezeigt wird.

TraveDSL hat bislang eine Anleitung ins Netz gestellt, mit deren Hilfe die Kunden ihre Modems selber flashen können, Köhntopp kann indessen nicht nachvollziehen, warum dies nicht per Remote passiert: Firmwareflashing ist nicht jedermanns Sache, und bei einer Lücke dieser Größenordnung sollte der DSL-Provider selbständig tätig werden, vor allem, wenn diese im Auslieferungszustand der Geräte per default vorhanden war.

  • 5 Kommentare zum Artikel

  • eh, versaut mir nicht meine wochenendbeschäftigung. immer wenn in der glotze nix los ist bastel ich auf den travedsl routern rum *g* und wenn der verbastelt ist sind auf den user pc´s immer noch interessante sachen wie textdatein mit jede menge logindaten usw. btw, es handelt sich um nen siemens santis router, der bei dem firmwareupdate imho seine einstellungen vergisst, das dürfte auch der grund sein, warum die ...

    bofh_de am 30.01.2006 19:25

  • Das ist ja genau so billig wie Javascript auf Webseiten, wo im Quelltext das Passwort steht. Von kommerziellen Sachen hätte ich ja mehr erwartet.

  • bewa, du würdest nicht die hälft von dem glauben was ich dir über quelltext erzählen könnte, unverschlusselte passwörter, ftp und root zugänge, es ist einfach nur lachhaft, oder wie vor 1 woche geschehen mal eben typo3 zugangsdaten von hartabergerecht.de sowas ist völlig normal, wenn du dich beim surfen einfach mal umguckst, du würdest mir nicht glauben was man da alles so findet

    ClemensBW am 30.01.2006 21:35

  • n'Abend ClemensBW! Wie zum Beispiel, um deine Liste etwas zu vervollständigen: Kundennummern der Mitglieder eines bekannten deutschen Freemailanbieters im Quelltext. Bekommt man mehr oder weniger auf Anfrage. Und das seit mehreren Jahren. Ich hatte früher (tm) mal eine txt-Datei mit Hackanleitungen, da stand, man sollte im Quelltext schauen, die Pr0n-Seiten hätten da die Passwörter drin stehen. Nun ja, das ist ungefähr das, was im ...

  • [...] Diskussion lesen oder Artikel kommentieren

Suche

RSS

gulli rss gulli News abonnieren
Add to Google
gulli:news feedburner stats
Wie funktioniert RSS?

AKTION

Wir haben bezahlt!
Für günstige, legale und DRM-freie Musik.

Napping

Das Beste von gulli auch auf deiner Seite?
Newsfeed abonnieren  news feed
Suche auf deiner Seite  suchbox
Banner und Buttons  banner & buttons

Support

Rettet das Internet

Piratenpartei Österreich

Piratenpartei Deutschland

© COPYRIGHT 2006 GULLI.COM