Moderator: Lancom-Systems Moderatoren
ich zitiere mal Rotwangso müsste doch spätestens die 10.80 auf OpenSSL 3.x.x umgestellt sein, um dann nicht wieder später auf die Umbauten in diversen LCOS Versionen zu stoßen...
d.h. die 10.80 IST auf der 3.0... Aber die älteren Versionen werden nicht mehr umgestellt...LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.
... seit Jahrzehnten. Eine Lebenszeitvernichtungsmaschine.
Ok, sorry, hab mich verlesen, waren statt wären.
Bin gespannt, was passiert, wenn ein (Groß)Kunde das durchsetzen will, sprich Waranty Option aber EOS+2 Jahre Geräte. Vllt gibt es dann für alle 10.42 - 10.72 Geräte gratis das 10.80er Release. Oder das Prinzip von Herrn Ohn greift erstmalig, Geräte werden kostenfrei getauscht beim Vorweisen der Lizenz.
Das weisst Du nicht. Denn wie jede Applikation, die eine Library benutzt, benutzt auch das LCOS nur eine Teilmenge der Funktionen der OpenSSL. Ob eine bestimmte OpenSSL-Sicherheitslücke im Zusammenhang mit LCOS ausnutzbar ist, diese Beurteilung wirst Du LANCOM überlassen müssen.Da alle LCOS-Versionen < 10.72 RU5 heute offenbar eine ungepatchte OpenSSL-Version 1.1.1t einsetzen, müssten diese älteren LCOS-Versionsstämme von allen oben aufgeführten Sicherheitslücken betroffen sein.
Also der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,rotwang hat geschrieben: ↑15 Sep 2023, 11:38Das Problem ist wohl, dass die nächste 'LTS-Version' der OpenSSL eine 3.0.x wäre und von 1.1.1 auf 3.0 haben sich diverse APIs massiv geändert, bzw. eine Reihe existierender APIs wurden 'deprecated' erklärt. Eine 3.0 ist kein 'Drop-In-Ersatz' für eine 1.1.1. LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.1) Gemäß https://www.openssl.org/blog/blog/2023/09/11/eol-111/ ist die von Lancom verwendete Version 1.1.1 EOL gegangen. Ich kann mir irgendwie nicht vorstellen, dass mit dem Hersteller ein Premiumvertrag abgeschlossen wurde. Ist das nicht ziemlich riskant, eine EOL Bibliothek zu verwenden, die von so vielen Elementen im LCOS verwendet wird?
Gut die Kurve gekriegtAlso der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,
wenn es technisch möglich ist, also CPU Leistung, Flash ud RAM ausreichen usw.
Dann sollte sich die Menge der Problemfälle schon massiv veringern.
Also zum einen wirst Du hier in einem inoffiziellen Forum so eine Aussage nicht bekommen, und selbst wenn Du ein technisches 'ja' bekämst, was würde es Dir nutzen? Damit zum LANCOM-Management hingehen? Trotz eines technischen 'ja' wäre die produkt-politische Antwort trotzdem ein 'nein'.(Bitte nicht wieder eine Firmware Politik Diskussion anfangen, mich interesiert allein die techniche Machbarkeit und ggf die Begründung, warum es nicht geht.)
Hi rotwang,rotwang hat geschrieben: ↑15 Sep 2023, 16:33Gut die Kurve gekriegtAlso der Fokus muss sein, das der Einfachhalt halber auch ältere LCOS Devices auf die 10.80 gehoben werden können,
wenn es technisch möglich ist, also CPU Leistung, Flash ud RAM ausreichen usw.
Dann sollte sich die Menge der Problemfälle schon massiv veringern.
Also zum einen wirst Du hier in einem inoffiziellen Forum so eine Aussage nicht bekommen, und selbst wenn Du ein technisches 'ja' bekämst, was würde es Dir nutzen? Damit zum LANCOM-Management hingehen? Trotz eines technischen 'ja' wäre die produkt-politische Antwort trotzdem ein 'nein'.(Bitte nicht wieder eine Firmware Politik Diskussion anfangen, mich interesiert allein die techniche Machbarkeit und ggf die Begründung, warum es nicht geht.)
Eine offene und ehrliche Antwort hilft uns weiter.
Ich bestelle grade für einen mittleren fünfstelligen Betrag Switche bei LANCOM.COMCARGRU hat geschrieben: ↑15 Sep 2023, 17:42Eine offene und ehrliche Antwort hilft uns weiter.
Es hilft doch einzig und alleine nur bei der nächsten Kaufeinscheidung weiter. Ich habe es doch schon mal geschrieben - geht alle schön woanders shoppen - am besten nette hohe vierstellige oder gar fünfstellige Beträge und dann schickt eine Kopie der Rechnung an den Lancom Vertrieb mit dem Vermerk: Das hätte euer Umsatz sein können...
Bringt dir nur nichts, wenn die Switche (kommt evtl. noch aufs Modell an) völlig veraltete / deprecated Algorithmen wie SSH-RSA verwenden, die bereits ?2021? zurückgezogen wurden.
Was wäre den Dein Vorschlag? Nichts mehr von LANCOM zu kaufen?Dr.Einstein hat geschrieben: ↑15 Sep 2023, 18:34Bringt dir nur nichts, wenn die Switche (kommt evtl. noch aufs Modell an) völlig veraltete / deprecated Algorithmen wie SSH-RSA verwenden, die bereits ?2021? zurückgezogen wurden.
Wenns dir wichtig ist, nachfragen, bei konkreter Gefahr ein Patch einfordern. Wobei natürlich nirgends hinterlegt ist, ob neuere SSH-Protokolle ein Feature oder ein Securityfix ist. Dafür sind mir die Lancom Switche zu unwichtig, haben in der Regel nur Zugriff über ein Management VLAN und sind nicht aus dem Internet erreichbar. Da müsste schon ganz schön viel zusammenkommen, um bei meinen Szenarien eine Gefahr darzustellen.
Garantiert alle LCOS-Router, die aktuell 10.42 können. LCOS-APs werden vermutlich ein paar schwächeln. Ist aber unwichtig. Den Fall muss jemand beurteilen, der genügend Geld in Lancom Router reingesteckt hat, entsprechende Verträge hat und bei dem Thema eine ernste Gefahr sieht. Da Lancom selbst den Fall erkannt hat, und Verbesserungen in die 10.80 eingebaut hat, parallel aber keinerlei Notiz auf den Webseiten zu dem Thema veröffentlicht hat, wird denke ich proaktiv nichts passieren.
