Community Navigation
abbrechen
Vorschläge aktivieren
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
1

Frage

2

Antwort

3

Lösung

log4shell / cve-2021-44228- - log4j zero day exploit: Auswirkungen auf Router?
plitschplatsch
Daten-Fan
Daten-Fan

am ‎12.12.2021 23:28

Hallo,

mir geht's um die Gerätesicherheit aufgrund des log4j zero day exploit [1].
Wurden zu den Modellen, die Vodafone standardmäßig ausgeliefert hat, ausliefert und ausliefern wird  (z.B.: [2]), schon Kontrollen durchgeführt? Wird dort in irgendeiner Form log4j genutzt in Versionen unter 2.15.?
Sonst wäre hier doch ein massiver Patch per Firmwareupdate vonnöten oder?

Bei größeren Auflistungen von Fällen bin ich bisher noch nicht fündig geworden. [3]
Bei Cisco alleine wurden schon einige Schwachstellen gefunden. [4]

Viele Grüße
[1]: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-549032-10F2.html?nn=520690

[2]: https://www.vodafone.de/dsl/modem.html

[3]: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592, https://www.techsolvency.com/story-so-far/cve-2021-44228-log4j-log4shell/#affected-products
[4]: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-apache-log4j-qRuKNEbd

13 Antworten 13
reneromann
SuperUser
SuperUser

am ‎12.12.2021 23:46

Vodafone selbst kann da nicht viel kontrollieren - weil Vodafone selbst keine Firmware herstellt.

Für die Firmware (und damit auch für die Prüfungen auf solche Exploits) sind die Hersteller der Geräte verantwortlich, also z.B. Arris, Technicolor oder AVM.

 

Mich würde es jedoch eher verwundern, wenn man auf Embedded Systemen sich den performancemäßigen Overhead von Java aufhalsen würde - meist kommen dann dort doch eher Apache2 + PHP/Perl/Python zum Einsatz.

 

Und ja, wenn dort Produkte betroffen wären, könnte(!) ein Firmwareupdate notwendig sein. Wobei hier wiederum nur diejenigen Produkte (direkt) betroffen sind, die im Internet von außen erreichbar sind.

RuffyDotOne
Daten-Fan
Daten-Fan
Als Antwort auf reneromann

am ‎13.12.2021 23:09

Apache ist von log4j betroffen. 

0 Gefällt mir
reneromann
SuperUser
SuperUser
Als Antwort auf RuffyDotOne

am ‎14.12.2021 01:42

@RuffyDotOne  schrieb:

Apache ist von log4j betroffen. 

Nein, Apache2 (der Webserver) ist NICHT von der Sicherheitslücke betroffen, weil Apache2 nicht auf Java basiert und daher auch -in der Standardinstallation- keine Java-Plugins lädt. Wenn bedarf es hier entsprechender Zusatzplugins, die aktiv vom jeweiligen SysAdmin zum Hosting von Websites hinzukonfiguriert wurden - ähnlich wie PHP in der Standardinstallation von Apache2 ebenfalls nicht enthalten ist und separat installiert und konfiguriert werden muss.

 

Wenn ist Apache Tomcat betroffen - da Tomcat Java nutzt und anders als Apache2 nicht nativ kompiliert ist.

ervau
Host-Legende
Host-Legende
Als Antwort auf reneromann

am ‎14.12.2021 12:50

@reneromann 

Hallo,

Deine Aussage erstaunt mich denn doch etwas.

Wenn VF keine FW "herstellt", warum ist dann auf den Kisten keine original Arris-, Technicolor-, AVM-FW drauf, sondern so eine verbogene, kastrierte FW, die sich dann auch noch zwischen ehemals KBW/ UM-Land und dem Rest der Welt in ihren Features unterscheidet?!

Gruß ervau

reneromann
SuperUser
SuperUser
Als Antwort auf ervau

am ‎14.12.2021 13:19

@ervau  schrieb:

Hallo,

Deine Aussage erstaunt mich denn doch etwas.

Eher erstaunt mich deine Aussage, da du offenbar den Unterschied zwischen Retail-Firmware und OEM-Firmware nicht begriffen hast.

 

@ervau  schrieb:

Wenn VF keine FW "herstellt", warum ist dann auf den Kisten keine original Arris-, Technicolor-, AVM-FW drauf, sondern so eine verbogene, kastrierte FW, die sich dann auch noch zwischen ehemals KBW/ UM-Land und dem Rest der Welt in ihren Features unterscheidet?!

Die Firmware, die auf den Geräten ist, ist eine Original-Firmware des jeweiligen Herstellers - es ist nur nicht die Firmware der Retail-Versionen, sondern eine vom jeweiligen Hersteller für Vodafone angepasste Firmware.

Vodafone selbst programmiert da nichts, sondern schreibt den Herstellern vor, was in der bereitzustellenden (OEM-)Firmware enthalten sein darf/kann/muss und was nicht. Der Hersteller der Geräte liefert dann diese (angepasste) Original-Firmware an Vodafone aus.

RobertP
Giga-Genie
Giga-Genie
Als Antwort auf ervau

am ‎14.12.2021 13:19

@ervau  schrieb:

Wenn VF keine FW "herstellt", warum ist dann auf den Kisten keine original Arris-, Technicolor-, AVM-FW drauf, sondern so eine verbogene, kastrierte FW, die sich dann auch noch zwischen ehemals KBW/ UM-Land und dem Rest der Welt in ihren Features unterscheidet?!

die Firmware wird von Hersteller für Vodafone angepasst

ervau
Host-Legende
Host-Legende
Als Antwort auf RobertP

am ‎14.12.2021 13:55

So What!

VF macht das Lastenheft, akzeptiert das Pflichtenheft des Lieferanten und steht damit in der Verantwortung mir gegenüber als mein Vertragspartner.

Gruß ervau

reneromann
SuperUser
SuperUser
Als Antwort auf ervau

am ‎14.12.2021 14:22

@ervau  schrieb:

So What!

VF macht das Lastenheft, akzeptiert das Pflichtenheft des Lieferanten und steht damit in der Verantwortung mir gegenüber als mein Vertragspartner.

Hä? Wo ist dein Problem?

VF ist als Vermieter/Verleiher eh dein einziger Ansprechpartner - darum ging's aber gar nicht.

 

VF kann jedoch schlichtweg keine Aussage darüber geben, was der Lieferant an Teilen in die Firmware verwendet oder nicht verwendet hat - hier kann alleinig der Hersteller Auskunft geben.

0 Gefällt mir
ervau
Host-Legende
Host-Legende
Als Antwort auf reneromann

am ‎14.12.2021 14:36

... und VF weiß auch nicht was unter "Status & Hilfe - Über" in der VF-Station zumindest zu open source seitenlang aufgeführt ist.

Ich klinke mich hier aus.

Gruß ervau