Sicherheitslücken (zur Info) - Druckversion +- Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik (https://www.alarmforum.de) +-- Forum: Einbruchmeldesysteme nach Hersteller (/forumdisplay.php?fid=97) +--- Forum: LUPUS Electronics (/forumdisplay.php?fid=166) +---- Forum: LUPUSEC XT2 (/forumdisplay.php?fid=161) +---- Thema: Sicherheitslücken (zur Info) (/showthread.php?tid=15423)

Meldung zu Sicherheitslücke - GanzSicher - 05-04-2019 15:05 Hallo, ich weiß nicht, ob es hier bereits bekannt ist, aber hier eine Info zu Sicherheitslücken in der Firmware. https://heise.de/-4364230 Man sollte also auf jeden Fall auf die aktuelle Version updaten... Bye RE: Meldung zu Sicherheitslücke - olfiHH - 05-04-2019 15:48 Danke für den Hinweis! der Fehler mit dem gleichen SSL zertifikat wurde schon hier besprochen, wenn es auch von einigen Usern beschwichtigt wurde https://www.alarmforum.de/showthread.php?tid=14945 ob es auch der User war der die Security Advisory geschrieben hat? Vom Zeitraum würde es passen. Lupus wurde am 09.01 über den Fehler informiert. ich hatte es selbst probiert und die firmware lässt sich mit jedem "zip" Programm entpacken und darin findet man recht schnell den key für das SSL Zertifikat. interessant ist auch, das man unter Umständen auch betroffen ist, auch wenn die anlage von außen nicht erreichbar ist (z.B. nur via VPN) und man auf einen "manipulierten" Link klickt. Sowas sollte eigentlich ein CSRF token verhindern. "4) XML API vulnerable to CSRF The XML API accepts requests via both GET and POST, and does not require CSRF tokens. E.g. the following request sets the PIN of user 5 to 4444. The MAC address is publicly disclosed via the web interface per issue #2. " Sicherheitslücken (zur Info) - Fraggle - 08-04-2019 08:45 https://www.heise.de/security/meldung/Firmware-Update-IP-Alarmsystem-Lupusec-XT2-Plus-schuetzt-nur-lueckenhaft-4364230.html ------------------------------ EDIT: Verschiedene Einzelbeiträge zusammengefügt Ollik