OpenSSL 1.1.1q vs. OpenSSL 1.1.1w

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

tstimper
Beiträge: 1058
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 15 Sep 2023, 22:47
tstimper hat geschrieben: 15 Sep 2023, 19:03 Welche älteren LCOS Geröte könnten die 10.80 mit OpenSSL 3.0.x bekommen?
Garantiert alle LCOS-Router, die aktuell 10.42 können. LCOS-APs werden vermutlich ein paar schwächeln. Ist aber unwichtig.
Soeben habe ich einen Case bei Lancom aufgemacht. Bei uns betrifft das einige LC-7100+VPN, LC-1783VA und einige LN-1700.
Ich denke auch, das zumindest die Router LCOS 10.80 mit OpenSSL 3.0.x bekommen können.

Am Beispiel der LC-9100+ VPN Betas hatten wir ja gesehen, das das geht. Auch einige APs hatten ja mal Beta Updates bekommen.

Macht Cases auf.

Das ist jetzt eine andere Lage. Hier geht es nicht darum, ob die Geräte die aktuelle Firmware bekommen sollen / dürfen oder nicht.

Das ist ein Security Problmen und das ist unter Support.

LANCOM kann jetzt zwei Dinge tun.

Variante 1: OpenSSL 3.0.x in die 10.42 und 10.50 einbauen
Variante 2: Allen Geräten, die das technisch können LCOS 10.80 geben.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Koppelfeld
Beiträge: 973
Registriert: 20 Nov 2013, 09:17

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Koppelfeld »

tstimper hat geschrieben: 15 Sep 2023, 19:03 Was wäre den Dein Vorschlag? Nichts mehr von LANCOM zu kaufen?
Schon mal gar keine Switches. Aber ganz überhaupt nicht. Sind ja gruselig.
Guck' Dir mal HP oder Extreme Networks an.

Router:
Wir haben hier einen schönen Vorrat an 9100+ und auch 1783VA-4G.
Neu nehmen wir jetzt Teltonika für kleine und mobile Anwendungen oder halt gleich Juniper.
Insbesondere die Juniper machen Spaß -- und ja, darauf kommt es mir an. Ich lese ja auch nur Bücher, die mir Spaß machen. Es mag sein, daß es Menschen gibt, die das 'Glasperlenspiel' oder das 'Foucaultsche Pendel' zuendegelesen haben. Ich nicht, obwohl das 'Pendel' mit einem der schönsten Sätze beginnt, die ich je gelesen habe. Man muß einfach wissen, wann genug genug ist. Mir wird das Gehampel mit LANCOM zu mühsam und seit dem Befall mit "Linux" schwoit der LANCOM - Tanker.
Wir müssen Dinge erledigen, die dem KUNDEN einen NUTZEN bringen, der sich gewinnerhöhend auswirkt.
Der ganze Security-Mist erreicht das genaue Gegenteil. Mein Kernjob ist Systemanalyse und Softwareerstellung.
Ich will max. 10% meiner Tätigkeiten mit Updates oder Systemverwaltung zubringen.
Neue Features für alte Geräte muss nicht sein, Sicherheitsupdates wie bei OpenSSL sind ein Muss.
Mir hat immer noch keiner erklären können, wozu diese Secu-Kacke gut sein soll.
Das steht meiner Meinung nach überhaupt nicht in Frage bei einem Hersteller mit BSI Siegel Geräte im Portfolio.
Naja, ich habe desöfteren Mailwechsel mit BSI-Mitarbeitern. Immer extrem langweilig. Die mailen mit "Outlook", haben "AD" und "Exchange" im Einsatz. Das "BSI" - Siegel ist für mich ein Lachschlager.
Meiner Meinung nach müssen die Geräte das bekommen, bei denen es technisch möglich ist.
Das kann auch einen angemessenen Betrag kosten.
Ich würde mir ordentliche, neue Produkte auf PPC-Basis wünschen.
Ich hätte kein Problem damit, ein neues Produkt von LANCOM zu kaufen. Jirka und 5624 schimpfen aber nur.

Ersatzweise könnte LANCOM ja auch sagen, "Wegen aktueller und reichlich zu erwartender Sicherheitslücken im Open-Gaga entfällt die Freigabe zur Nutzung aller damit verbundenen Funktionen".


Abgesehen davon: Ein riesiges Chemiewerk, das jetzt abgerissen wird (die Ruinen erstrecken sich noch immer entlang der Wupper, es sieht aus wie früher in Bitterfeld), betrieb einige Einwahlzugänge mit SLIP. Wenn das jemand noch kennt. Freier Zugang via Modem OHNE JEDE Authentifizierung. Ist aber nie etwas passiert, denn was nützt es, wenn man irgendwo im LAN ist ?
Benutzeravatar
rotwang
Beiträge: 217
Registriert: 04 Jun 2021, 22:01

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von rotwang »

Hi rotwang,

Folgende Antworten sind möglich:

- "Ja ist technisch möglich"
- "Nein es ist technisch nicht möglich"
- "Ich kann dazu keine Aussage treffen"
- "Ich will dazu keine Aussage treffen"

Eine offene und ehrliche Antwort hilft uns weiter.
Letzteres. Ich will dazu nichts sagen.
Ersatzweise könnte LANCOM ja auch sagen, "Wegen aktueller und reichlich zu erwartender Sicherheitslücken im Open-Gaga entfällt die Freigabe zur Nutzung aller damit verbundenen Funktionen".
Das ist reichtlich absurd, da bliebe von der Funktionalität eines modernen Routers nicht mehr viel übrig.
Ich würde mir ordentliche, neue Produkte auf PPC-Basis wünschen.
Die 'PPC-Ära' bei NXP neigt sich erkennbar dem Ende zu. Da kommen kaum noch neue SoCs mit PPC-Kern. Der Markt hat, was RISC angeht, nunmal für ARM entschieden, oder demnächst vielleicht für RISC-V (ist aber noch nicht so weit). In einigen der neuen 1800er steckt ja schon ein NXP-SoC mit ARM-Kern.
Abgesehen davon: Ein riesiges Chemiewerk, das jetzt abgerissen wird (die Ruinen erstrecken sich noch immer entlang der Wupper, es sieht aus wie früher in Bitterfeld), betrieb einige Einwahlzugänge mit SLIP. Wenn das jemand noch kennt. Freier Zugang via Modem OHNE JEDE Authentifizierung. Ist aber nie etwas passiert, denn was nützt es, wenn man irgendwo im LAN ist ?
Einfach Glück gehabt? Oder die Prozesstechnik ist so steinalt, dass es da keinen Weg aus dem LAN gibt. Die Welt sieht heute leider anders aus.
Es mag sein, daß es Menschen gibt, die das 'Glasperlenspiel' oder das 'Foucaultsche Pendel' zuendegelesen haben.
Habe ich, zumindest das Pendel...
Ich nicht, obwohl das 'Pendel' mit einem der schönsten Sätze beginnt, die ich je gelesen habe.
"Erforschet das Buch und suchet Euch unsere Ansichten zusammen..."? Oder "Aberglauben bringt Unglück"?
Mir hat immer noch keiner erklären können, wozu diese Secu-Kacke gut sein soll.
Wenn Du nur mit physisch oder auf andere Weise isolierten Systemen arbeitest, magst Du mit dieser Ansicht durchkommen. Ein Router ist quasi per definition mit dem Internet verbunden. Da hilft einem eines solche Einstellung nicht wirklich weiter...
Mir wird das Gehampel mit LANCOM zu mühsam und seit dem Befall mit "Linux" schwoit der LANCOM - Tanker.
Du meinst LX? Gefällt mir auch nicht, aber ging nicht anders, weil die Chipsatzhersteller nicht mehr genug Doku rausrücken, dass Du Dein eigenes BS darauf aufsetzen könntest. Oder Du machst ein Reverse Engineering und kommst 10 Jahre nach der Konkurrenz auf den Markt. Oder Du bist gross genug, dass man genug Druck auf die Chipsatzhersteller machen kann. Trifft leider alles nicht auf LANCOM zu.
Zuletzt geändert von rotwang am 18 Sep 2023, 08:54, insgesamt 1-mal geändert.
plumpsack
Beiträge: 633
Registriert: 15 Feb 2018, 20:23

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von plumpsack »

Dr.Einstein hat geschrieben: 14 Sep 2023, 23:47 2) Die 10.72RU5 hat ein Update auf OpenSSL 1.1.1v bekommen. Sind Versionen <10.72RU5 von SSL Sicherheitslücken betroffen oder nicht? Weder in den Releasenotes noch unter Sicherheitshinweisen steht zu diesem Punkt etwas.
steht nicht in der "RN_LCOS-1072-RU5_DE.pdf"

Aus RN_LCOS-1072-RU5_DE.pdf:
LCOS-Änderungen 10.72.0092 SU2

Allgemein
→ Sicherheitsverbesserungen durch ein Update der OpenSSL-Version auf 1.1.1t
(CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 und CVE-2022-4450).

Woher hast du diese Information?

Ich hatte Bekannten noch gesagt, das sie keine "RU" einspielen müssen, da keine "SU" in der "RU" vorhanden ...

Das mit den "RU" und den "SU" wird doch mehr und mehr zum Witz!
:evil:
tstimper
Beiträge: 1058
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Der LANCOM Support hat mir grad geschrieben, das LANCOM Premium Support für OpenSSL 1.1.1 LTS hat
und somit Sicherheitslücken in LCOS vor 10.80 fixen wird, sollten welche in OpenSSL 1.1.1 gefunden werden.

Erst die 10.80 bekommt OpenSSL 3.0 LTS

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 3097
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

Danke für die Rückmeldung. Fehlt noch eine Antwort auf Frage 2 und 3 von mir. Bin gespannt, ob da noch was auf der Webseite von Lancom passiert.
plumpsack
Beiträge: 633
Registriert: 15 Feb 2018, 20:23

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von plumpsack »

Dr.Einstein hat geschrieben: 18 Sep 2023, 12:06 Fehlt noch eine Antwort auf
Woher hast du diese Information?
Ok, im Nachhinein habe es auch im CLI unter "sysinfo" gesehen.

Das sollte so nicht sein!!!

Aber die Kommunikation zwischen Lancom und Kunden lässt mehr und mehr zu wünschen übrig!

https://www.lancom-systems.de/docs/LCOS ... ation.html

Update-Strategie -> nur Sicherheitsupdates

Innerhalb eines Releases das neueste SU. Beispiel: 10.20 Rel ist installiert; es wird auf 10.20 SU1 aktualisiert, aber nicht auf 10.20 RU2.

Ist das jetzt obsolet/e?

Es ist ja schon seit längerem so, das die RU's auch SU's enthalten.

Leider wurde/wird das immer noch nicht publiziert!

btw: Fixed in OpenSSL 1.1.1w, da ist doch 1.1.1v auch schon wieder obsolet/e ;)

Ich hab hier noch OpenSSL 1.1.1t vom 7 Feb 2023

https://www.openssl.org/news/openssl-1.1.1-notes.html

Ach, OpenSSL 1.1.1w ist ja nur "Windows 64 platform" ... das kann man wohl vernachlässigen.
:G)
tstimper
Beiträge: 1058
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Zur Info:
In unserem Config Backup nutzen wir ab sofort OpenSSL 3.0.x

Die Backups von LCOS 10.42 und 10.50 mit OpenSSL 1.1.1.x
funktionieren weiterhin über SSH / SCP.

Einige sehr alte Funktionen, die mit OpenSSL 3.0.x angekündigt wurden, haben wie es aussieht weder LANCOM im LCOS noch wir genutzt .

Also eine leichte Entwarnung.

Dennoch sollten alle LCOS Geräte, die es technisch könnten,
LCOS 10.80 bekommen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Koppelfeld
Beiträge: 973
Registriert: 20 Nov 2013, 09:17

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Koppelfeld »

Guten Abend !
rotwang hat geschrieben: 17 Sep 2023, 12:40
Ersatzweise könnte LANCOM ja auch sagen, "Wegen aktueller und reichlich zu erwartender Sicherheitslücken im Open-Gaga entfällt die Freigabe zur Nutzung aller damit verbundenen Funktionen".
Das ist reichtlich absurd, da bliebe von der Funktionalität eines modernen Routers nicht mehr viel übrig.
Hmm, vielleicht wäre das in vielen Fällen auch besser so ?
Beispiel:
Ein Router routet auf Layer 3,
eine Multiport-Bridge switcht auf Layer 2.
Das sind vollkommen unterschiedliche Geräte.
Lancom hat das kombiniert. Ein Grund übrigens, weshalb ich nur die "ordentlichen" Geräte wie {7|9}100[+] einsetze. Denn was passiert beim Einsatz eines "Featurewunders" ? Der in die Radiowecker eingebaute Switch forwardet zwar auf VLAN 1, nicht jedoch auf VLAN 51. Manchmal nicht, manchmal doch. Natürlich funktioniert es beim Test, aber 3 Tage später kommen Störungsmeldungen. ICMP geht durch, Broadcast nicht.
Ärgerlich, ich mußte einen zusätzlichen Switch ins Rack packen.

Da denke ich mir immer: "Laß' den Switch Switch sein und den Router Router".
So ein Gerät muß ja auch verstanden werden. Und Menschen, die das tun (also ich bemühe mich wenigstens ab und zu), die haben auch kein Problem mit separatem Management via Wartungs-VLAN.
Ich schreibe Software seit 1976, und mein Hauptfeind war immer die infolge Selbstüberschätzung für mich selbst nicht mehr beherrschbare Komplexität. Kann sein, daß man einen guten Lauf hat und "in einem Guß" ein tolles Stück komplexer Software hinbekommt, aber wehe, man muß es nach 20 Jahren ändern.
Solche Dinge wie sendmail, bind9 und uucp sind mittlerweile zu Zwischendecksmüllhaufen degeneriert.

Lancom hat doch ein "Admin Gender", war also schon seit Jahren seiner Zeit voraus.
Da könnte man in den Grundeinstellungen festlegen:
"Professional": Use as a tool but not as a toy
"Gamer": Includes UPNP and other stuff
"Windows Addict": Enables all feature bloatware
"Gay": "Easy to install with one-click-wizard"
Das Gerät rebootet dann und zeigt dann unterschiedliche "Gesichter".
Ich würde mir ordentliche, neue Produkte auf PPC-Basis wünschen.
Die 'PPC-Ära' bei NXP neigt sich erkennbar dem Ende zu. Da kommen kaum noch neue SoCs mit PPC-Kern. Der Markt hat, was RISC angeht, nunmal für ARM entschieden, oder demnächst vielleicht für RISC-V (ist aber noch nicht so weit). In einigen der neuen 1800er steckt ja schon ein NXP-SoC mit ARM-Kern.
Seit dem legendären "Smashing The Stack for Fun and Profit" von "Dr. Overflow" aus den 90ern
http://phrack.org/archives/issues/49/14.txt
basieren fast alle Angriffe darauf, etwas "außerhalb des Scopes der Programmiersprache" zu tun.
Das klappt natürlich nur, wenn man
- ABI
- Prozessorcode und
- OS
kennt.

Und da bot LANCOM:
- Extrem seltenes ABI
- Seltener, dafür aber effizienter Maschinencode, den kein "Virus" ausführen kann
- Unübliches, spezialisiertes OS statt grün-wokem Linux - Gefrickel

Das konnte man mit gutem Gewissen einsetzen.

Also, was "der Markt will", hat mich nie interessiert.
LANCOM hat es zudem immer versäumt, diese wichtigen Vorteile herauszustellen.

Einfach Glück gehabt? Oder die Prozesstechnik ist so steinalt, dass es da keinen Weg aus dem LAN gibt. Die Welt sieht heute leider anders aus.
Die ganze Welt ? Ganz Gallien ? Da gibt es noch hier und da ein paar sehr effiziente kleine Dörfer, die haben Zaubertrank und können infolgedessen noch selber denken. Die arbeiten teilweise noch mit IEEE-488, das Scheißzeug läuft halt seit 25 Jahren. KEIN SIEMENS-"SCADA", PLCs von General Electric oder Mitsubishi, sämtlich schön ohne Prozeßvisualisierung in Anweisungsliste geschrieben. Brauchen die dort wegen diverser Timings. Das ist alles sehr entschleunigt, sozusagen das genaue Gegenteil von "Rapid Prototyping".

Sehr zum Ärger der Turnschuh-IT aus der Bürohengstefraktion läuft da auch alles, während die modernen Bleistiftspitzer ein Projekt nach dem anderen in den Sand setzen.

Ich nicht, obwohl das 'Pendel' mit einem der schönsten Sätze beginnt, die ich je gelesen habe.
"Erforschet das Buch und suchet Euch unsere Ansichten zusammen..."? Oder "Aberglauben bringt Unglück"?
Den mit dem Aberglauben hat Eco geklaut, er kursierte schon in den 80ern bei den hintersinnigen Briten, "Superstition brings bad luck". Nein, ich meine ganz stumpf den Anfang, so etwa sinngemäß:

Code: Alles auswählen

Da endlich sah ich das Pendel.
Die Kugel, an einem langen metallischen Faden
hoch oben in der Wölbung des Chores aufgehängt,
beschrieb ihre weiten, konstanten Schwingungen
in majestätischer Isochronie.
Ich wußte  -doch jeder hätte es spüren müssen im Zauber dieses ruhigen Atems-,
daß die Periode des Pendels geregelt wurde
durch das Verhältnis der Quadratwurzel aus der Länge des Fadens
zu jener Zahl Pi, die, irrational für uns irdische Geister,
den Halbmesser eines jeden Kreises mit dessen Umfang verbindet,
dergestalt, daß die Bewegung des Pendels eine geheimnisvolle Verschwörung
der zeitlosesten aller Maße war:
Der Einheit des Aufhängungspunktes,
der Zweiheit einer abstrakten Dimension,
der Dreizahl von Pi
und der Perfektion des Kreises.
Das sind in Worte gefaßte Gefühle, die sich bei jedem Menschen einstellen, der sich die Muße nimmt, ein Pendel lange zu betrachten. Sicherlich ist Mathematik eigentlich eine genauere Art, die Welt zu beschreiben, aber in der künstlerischen Umsetzung klingen Mystik und Emotionen mit.
Ein Router ist quasi per definition mit dem Internet verbunden.
Kompliment. Diesen Satz kann man sich aber auch auf der Zunge zergehen lassen.
Da hilft einem eines solche Einstellung nicht wirklich weiter...
Doch, gerade. Klassische Leichtwasser-Atomreaktoren sind deshalb so gefährlich, weil der Primärkreislauf aus reaktiven Gasen von austenitischem Stahl geführt wird, der TUNLICHST nicht bersten sollte. Der Thorium-Hochtemperaturreaktor dagegen verwendete ein inertes Gas zur Wärmeabfuhr, das eingesetzte Helium hatte neben den thermodynamischen Vorteilen die charmante Eigenschaft, keinerlei Verbindung mit irgendeinem "Inhaltsstoff" der Reaktorcores eingehen zu können.
Ein Router sollte genau so "clean" sein und prinzipiell "die Finger von Paketinhalten lassen". Das KANN NUR schiefgehen, irgendwo ist jeder Parser angreifbar. OK, in den Layer 4 soll er hineinschauen können.
Wenn im "Router-Postamt" jedes Paket aufgemacht wird, dann explodiert die Paketbombe eben dort und nicht beim Adressaten.

Ich habe immer gehofft und gewünscht, beim LANCOM handele es sich um den inerten "THTR" unter den Datenreaktoren, auch wegen der oben erwähnten 'ABI' - Geschichte.

Du hast es ja schon erwähnt: Genau deswegen bin ich ziemlich sicher, daß die meisten Exploits beim LANCOM am ABI oder am Maschinecode zerschellen. Plumpe Säcke, die versionsgläubig jedem Änderungsindex nachhecheln, beweisen doch nur, daß sie das Alphabet aufsagen können.
Du meinst LX? Gefällt mir auch nicht, aber ging nicht anders, weil die Chipsatzhersteller nicht mehr genug Doku rausrücken, dass Du Dein eigenes BS darauf aufsetzen könntest. Oder Du machst ein Reverse Engineering und kommst 10 Jahre nach der Konkurrenz auf den Markt. Oder Du bist gross genug, dass man genug Druck auf die Chipsatzhersteller machen kann. Trifft leider alles nicht auf LANCOM zu.
Alles wohlfeile Argumente, die auch verstanden werden.

Bloß: "In der Mitte lauert der Tod",
habe ich mal von einem genialen Marketingstrategien gehört.

Wer gewöhnlichen Mist will, "weil er sich selbst nichts wert ist", in Umkehrung des Werbespruchs von L'oreal, der kauft sich eine Fritzbox, eine Syphos, eine Quatschguard, eine "Securepoint", eine, eine, eine, eine ...
Da gibt es nun wirklich die schlimmsten Dinge. Oder man hat ein Brett vor'm Kopf und meint, es müßte aus Teakholz sein - dann nimmt man halt Cisco.

Ein LANCOM - Kunde will mehr. Einmal gute Qualität und zum anderen sind das eben Emotionen. Einen Router kauft man nicht mit dem Verstand. Und der 1337te Linux-Aufguß kommt bei mir nicht ins Rack.

Ich höre da auf meine Fühlis. Und nein, ich habe nix eingeworfen, ich bin nur alt und daher ehrlich.

Schönen Gruß!
tstimper
Beiträge: 1058
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Koppelfeld hat schön zusammengefasst,
was wir an LANCOM schätzen und warum
wir LCOS Router als wichtigen Bestandteil
unserer Netzwerksicherheit einsetzen.

Und ja, wir setzen LCOS devices auch innerhalb des
Netzwerkes zur Absicherung von Netzwerksegmenten ein.


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
plumpsack
Beiträge: 633
Registriert: 15 Feb 2018, 20:23

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von plumpsack »

plumpsack hat geschrieben: 19 Sep 2023, 16:58
https://www.lancom-systems.de/docs/LCOS ... ation.html

Update-Strategie -> nur Sicherheitsupdates
Muss man jetzt doch auf RU gehen, damit man seine SicherheitsUpdates (SU) bekommt?
:G)
Dr.Einstein
Beiträge: 3097
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

tstimper hat geschrieben: 15 Sep 2023, 18:08 Ich bestelle grade für einen mittleren fünfstelligen Betrag Switche bei LANCOM.
Mit 10 Jahren Garantie und Firmware Updates AB KAUFDATUM.
(nicht die BIS ZU 10 Jahre, die auch 5 Jahre + ein Monat sein könnten.

Es geht also. Man muss es nur machen.
Hab jetzt nochmal nachgeschaut. Verwendet wird z.B. Dropbear SSH 2.0, Version 2018.76, also eine Version aus 2018. Danach kamen natürlich diverse CVE-Meldungen. Allerdings erklärt das auch, weshalb so uralte Algorithmen verwendet werden... Bin gespannt, wann sich hier Lancomseitig etwas tut. Komisch finde ich, dass trotz neuer Serien/neuem Betriebssystem (SX) immer noch auf so altes Zeugs gesetzt wird. Normalerweise sollten die Geräte so doch bei Großkunden reihenweise durch automatisierte Audits auffallen, was wiederum Support-Tickets mit hoher Priorität verursacht.
tstimper
Beiträge: 1058
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 25 Sep 2023, 17:36 Hab jetzt nochmal nachgeschaut. Verwendet wird z.B. Dropbear SSH 2.0, Version 2018.76, also eine Version aus 2018.rität verursacht.
Dannach hatte ich noch nicht geschaut, in welchen Switch OS Familie hast Du das gesehen? v3x, v4.x, v5.x?
In der aktuellen Version?

Wir haben LAB Switche für alle drei Firmware Familien, das werden wir testen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, WLC, APs, Firewalls und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 3097
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

v4.x hat ich geguckt. Würde mich aber wundern, wenn v3.x besser aussieht.
GrandDixence
Beiträge: 1112
Registriert: 19 Aug 2014, 22:41

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von GrandDixence »

Gemäss der Webseite:
https://cve.mitre.org/cgi-bin/cvekey.cg ... d=dropbear
könnte der LANCOM-Switch mit einer ungepatchten Dropbear-Version 2018.76 von einigen bekannten Sicherheitslücken betroffen sein. Die Beurteilung vom Wort "könnte" überlassen wir dem Hersteller LANCOM. Siehe den Beitrag von Rotzwang am 15. September 2023 um 14:42 Uhr.
fragen-zur-lancom-systems-routern-und-g ... ml#p114835

Dropbear ist ein häufig eingesetzter OpenSSH-Ersatz in Geräten, wo RAM- und/oder (EE-)ROM-Speicherplatz Mangelware ist.
https://en.wikipedia.org/wiki/Dropbear_(software)
Antworten