LCOS Release Update Betatest

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: LCOS Release Update Betatest

Beitrag von cpuprofi »

Hallo LoUiS,

werden denn noch mal neue Betas auf dem Lancom FTP bereitgestellt oder ist das Thema inzwischen gestorben...?

Es ist ja schon eine ganze Weile her, als die letzte Beta veröffentlicht wurde und bisher musste man noch nie so lange auf neue warten.

Grüße
Cpuprofi
marsbewohner
Beiträge: 532
Registriert: 27 Mär 2007, 13:17

Re: LCOS Release Update Betatest

Beitrag von marsbewohner »

... scheint als wäre das Thema im Moment wohl ausgesetzt? :(

Gruß
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Jirka »

Hallo,

es gibt ein Security-Update (10.12.0147 SU3, 9.24.0334-SU9, 10.10-SU5):

Security Update für LANCOM Router, Gateways, Access Points und WLAN Controller

Das Update behebt eine sicherheitsrelevante Schwachstelle in den Management-Funktionen. Potentiell betroffen sind alle Geräte, die mit folgenden Firmware-Versionen laufen:
LCOS 10.12 REL, SU1, RU2
LCOS 10.10 RU2, 10.10.0165 PR, 10.10 RU4
LCOS 9.24 RU6, SU7, RU8
Für diese Geräte wird das Update empfohlen. Alle anderen Versionen sind nicht betroffen.

Viele Grüße,
Jirka
Benutzeravatar
maiki
Beiträge: 282
Registriert: 12 Jul 2006, 20:50
Wohnort: zu Hause

Re: LCOS Release Update Betatest

Beitrag von maiki »

Hallo Jirka,
Jirka hat geschrieben: Das Update behebt eine sicherheitsrelevante Schwachstelle in den Management-Funktionen. Potentiell betroffen sind alle Geräte, die mit folgenden Firmware-Versionen laufen:
LCOS 10.12 REL, SU1, RU2
LCOS 10.10 RU2, 10.10.0165 PR, 10.10 RU4
LCOS 9.24 RU6, SU7, RU8
Für diese Geräte wird das Update empfohlen. Alle anderen Versionen sind nicht betroffen.
Jirka
Weist Du genaueres ? Irgendwie hört sich nach dringendem Update an.

Grüße

Maik
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Jirka »

Hallo Maik,

nö, leider nicht. Ich wüsste auch gerne mehr. Vermutlich wird nicht mehr preisgegeben, weil man die Schwachstelle dann aktiv ausnutzen könnte? So muss man sie erst mal finden oder drauf stoßen...
Insgesamt hört sich die Formulierung aber noch verhalten an, nirgends ist die Rede von "dringend empfohlen" oder gar von einer "Lücke". Ich könnte mir vorstellen, dass es sowas ist wie dass ein Zugriff von WAN-Seite plötzlich möglich ist, obwohl er eigentlich verboten ist, aber dann ist da ja noch das Gerätepasswort, also nicht gleich ein Drama - keine Ahnung...

Viele Grüße,
Jirka
marsbewohner
Beiträge: 532
Registriert: 27 Mär 2007, 13:17

Re: LCOS Release Update Betatest

Beitrag von marsbewohner »

*Witz*

Klingt nach Lancom-Management-Cloud? :mrgreen:

Gruß
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Jirka »

Nö, weil die 9.24 ist ja auch betroffen und da gibt es die Cloud noch nicht.
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: LCOS Release Update Betatest

Beitrag von MariusP »

Hi,
Es hat nichts mit der Cloud zu tun. (Und nein bitte kein Ratespiel eurerseits ;-))

Ich vermute, dass es keine genaueren Details hier geben wird.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LCOS Release Update Betatest

Beitrag von Dr.Einstein »

Aber das es nicht einmal offiziell eine Richtung gibt wie WAN-SSH, HTTP Server, was auch immer? Da bekommt "IT-Security Made in Germany" in eine ganz neue Bedeutung :( Woher soll ich denn wissen, bei welchem Router ich updaten muss, manche Router haben bestimmt Dienste via WAN frei, manche Router per Access Listen, manchmal sind im WAN zumindest von den Zugriffprotokollen auf "nur VPN". Jedes LCOS Update birgt momentan enorme Risiken was die Stabilität der Netzwerke angeht. Würde ungern prophylaktisch etwas fixen, was in meinen Szenarien nicht zum Tragen kommt.

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Jirka »

Hallo,
Dr.Einstein hat geschrieben:Woher soll ich denn wissen, bei welchem Router ich updaten muss, ...
das habe ich mich auch schon gefragt. Wenn man wüsste, dass z. B. nur Telnet betroffen ist, dann kann man sich das sparen, weil Telnet (WAN-seitig bei mir) sowieso überall deaktiviert ist.

Hmm. Da Marius nichts sagt und Alfred auch nichts sagen wird, nehme ich jedenfalls an, müssten wir das dann selber rausfinden. Die Release-Notes zu der Version, wo der Fehler rein kam, habe ich schon mal überflogen, aber da erkenne ich keinen Ansatz. Vermutlich ist die Änderung dort nicht aufgeführt. Dann fällt mir nur noch ein, dass im SSH-Bereich vor kurzem mal ein Bug war bei der SSH-Authentifizierung per Public Key, aber das war eine Version vorher, kann streng genommen also nicht damit zusammenhängen.

Viele Grüße,
Jirka
COMCARGRU
Beiträge: 1202
Registriert: 10 Nov 2004, 17:56
Wohnort: Hessen

Re: LCOS Release Update Betatest

Beitrag von COMCARGRU »

Ist ein Unding so was! - Aber passt leider ins Bild das Lancom mittlerweile abliefert...

Wird wohl wieder ein Schreiben an Lancom selbst nötigt sein. Wenn dass alle Anwender machen hat wenigstens der SPAM-Filter dort einen kleinen Peak im Promille-Bereich...


Ggf. wartet man aber bei Lancom auch nur ab, bis alle Großkunden den Vollzug melden den Patch installiert zu haben, bevor man sagt wo er steckt?
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: LCOS Release Update Betatest

Beitrag von Dr.Einstein »

Irgendwie finde ich die Aktion strategisch nicht klug bedacht vom Entscheider. Entweder hätte man wie die anderen SU's auch den Grund (grob reicht ja, z.B. Telnet; PPTP anfällig) nennen müssen, oder man hätte das Ganze komplett stillschweigen behandelt, einfach eine RUx rausgebracht, in die Patchnotes "in bestimmten Szenarien 10% mehr WAN Leistung" oder "durch einen Fehler kann es sporadisch zu WAN Durchsatzeinbrüchen kommen" rein geschrieben und Newsletter losschicken.

Btw: letzteres könnte man noch machen. Wer schaut schon jeden Tag auf den FTP, schnell Releasenotes und Filenamen in RUx ändern, fertig.

Gruß Dr.Einstein
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Jirka »

Hallo zusammen,
COMCARGRU hat geschrieben:Ist ein Unding so was!
ja, aber wie Du siehst, regen sich nur die erfahrenen Leute auf. Und insgesamt viel zu wenige.
Mir wurde die Sache mittlerweile dann doch zu heikel und ich habe meinen "Patchday" - das erste Mal übrigens - um zwei Tage vorgezogen und heute nacht alles updaten lassen. Ist alles gut gegangen, es gab kein Problem. Nach einem Blick auf PRTG und den E-Mail-Eingang konnte ich heute morgen entspannt frühstücken.
COMCARGRU hat geschrieben:Ggf. wartet man aber bei Lancom auch nur ab, bis alle Großkunden den Vollzug melden den Patch installiert zu haben, bevor man sagt wo er steckt?
Das ist sicherlich ein Argument. Grundsätzlich ist das Verschweigen im ersten Moment tatsächlich ein Schutz für alle Kunden, aber der hält meiner Meinung nach nicht lange vor. Von daher sollte jeder mit den betroffenen Firmwareständen updaten, das ist für die meisten sicherlich auch nicht so ein großer Aufwand.

Viele Grüße,
Jirka
Christoph_vW
Beiträge: 282
Registriert: 02 Mai 2011, 09:47
Wohnort: Berlin
Kontaktdaten:

Re: LCOS Release Update Betatest

Beitrag von Christoph_vW »

Ja, ich wüsste auch gerne in welchem Protokoll die Lücke gefixt wurde... Ich habe noch ein paar Geräte mit Debug Firmware laufen, um einen Fehler zu reproduzieren. Wenn ich die jetzt update fällt das Debugging aus.
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: LCOS Release Update Betatest

Beitrag von stefanbunzel »

Hallo in die Runde,

vielleicht ist es auch wieder nur die normale Verschwiegenheit der Hersteller bis zur öffentlichen Bekanntgabe eines großen Bugs?
In der Regel werden die Hersteller doch vorab von Hackern und dgl. über einen Bug informiert und haben dann eine gewisse Frist zur Beseitigung des Fehlers, bevor diese ihn öffentlich bekannt geben. In dem Fall wäre es dann ja vermutlich auch kein LCOS-Problem, sondern ein globales, zum Bsp. Protokoll-Problem oder so.
Also, mal schauen, was wir in den nächsten Tagen oder Wochen mal wieder in der Presse lesen und dann mit einem "aha" staunend zur Kenntnis nehmen und uns entspannt zurücklehnen, da Lancom den Fehler ja schon gefixt hat. Oder es kommt ganz anders...

Ich habe auch keinen Schimmer - aber bin auf Erkenntnisse gespannt!

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Antworten