Nederlander vindt lek in UPnP, Linksys patcht WRT54GS
De Nederlandse student en freelance journalist Armijn Hemel heeft een kwetsbaarheid in het Universal Plug and Play (UPnP) protocol ontdekt. UPnP wordt steeds vaker gebruikt en meer en meer routers, gateways en DSL modems ondersteunen het. Chat clients (MSN Messenger), netwerk spelletjes en gaming netwerken zoals X-Box Live zijn afhankelijk van UPnP om zonder problemen en al teveel kennis aan kant van de gebruiker te werken.
Tot nu toe zijn er, op een enkele buffer overflow na, niet zoveel problemen met UPnP geweest. Hemel zal aanstaande donderdag tijdens de System Administration and Network Engineering (SANE) Conferentie in Delft een presentatie geven waarin hij laat zien dat het protocol ernstig lek is en waarom beheerders er verstandig aan doen om het uit te schakelen op netwerk apparaten.
De bevindingen van Hemel waren voor routerfabrikant Linksys reden om een firmware upgrade voor de draadloze WRT54GS router uit te brengen. Wordt vervolgd...
is dat iets wat eruit gehaald wordt. Onder windows XP is het altijd
fijn zo'n internet brug :(
Zowel op de router als op het werkstation (vast of notebook)
uitzetten. Leuk bedacht (Upnp), maar ik ondervind in de praktijk
daar alleen maar ellende mee.
for Microsoft, giant leak for mankind.
toch gister pas in het nieuws?
weten, zodat ze een firmware update konden maken. Jammer
genoeg is er nog geen update voor de WRT54G, maar alleen
voor de GS :(
groeten,
armijn
Ik heb het daarom altijd vreemd gevonden dat MS
het in Windows gebakken had..
Kijk naar de "embrace and extend" van kerberos.... Handig
natuurlijk, want dan kunnen 3rd party producten niet meer
aansluiten en ben je gehouden aan M$ producten.
Well done Armijn
Dat was omdat ik het Linksys al een stuk eerder heb laten
weten, zodat ze een firmware update konden maken. Jammer
genoeg is er nog geen update voor de WRT54G, maar alleen
voor de GS :(
groeten,
armijn
WD
Ik heb het daarom altijd vreemd gevonden dat MS het in Windows gebakken had..
Kijk naar de "embrace and extend" van kerberos....
De reden die MS altijd opgeeft op de vraag waarom Outlook geen Yenc ondersteund is "het is geen standaard, dus we ondersteunen het niet". Zelfs CIFS is een standaard.. Daarom vind ik het vreemd dat ze UPnP ondersteunen aangezien die alleen maar een draft is..
MS is meestal niet degene die nieuwe standaarden pushed.. Ze nemen een bestaande standaard en veranderen dat dusdanig dat het super loopt op MS software.. Het is alleen jammer dat ze daarmee gelijk de interoperabiliteit, waar ze zo prat op gaan, omzeep helpen..
hoeft te vinden.
Draai en installeer dus zo min mogelijk software (let ook op je system
services) ...Zeker als 60% van de MS ontwikkelaars in 2005 nog niet durfde
te garanderen dat zij of hij veilige code schreef. Naast het feit dat
beveiliging altijd al een ondergeschoven kindje was bij developers.
Vroeger waren de exploits gewoon bugs..
Dat hebben ze echt niet in 1 jaar veranderd. Ook niet door middel van die
hoe veilige code te schrijven site...
niet veilig kunnen zijn zal ook wel niet helpen :)
Heb je andere fabrikanten (zoals Draytek) ook gewaarschuwd?
Zo niet heb je een engelstalig document dat hun kant op kan.
Keep up the good work.
Appelding (@xs4all.nl)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
