Kritische Sicherheitslücken im D-Link DIR-300 und DIR-600

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Toengel
Kabelneuling
Beiträge: 12
Registriert: 27.07.2012, 09:12

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Toengel » 06.02.2013, 14:07

Tachchen,

leg mir keine Worte in den Mund - ich hab nirgendwo gesagt, dass ich UM haftbar machen will... Mir geht es nur um eine Einschätzung... Reklamation etc.

Toengel@Alex

Keyser Soze
erfahrener Kabelkunde
Beiträge: 64
Registriert: 25.05.2009, 12:39

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Keyser Soze » 06.02.2013, 14:14

Viel wichtiger als die Haftungsfrage finde ich die Frage, ob es irgendwie möglich ist, den Router irgendwie(?) so notdürftig abzusichern, dass keine Angriffe mehr möglich sind.

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Knifte » 06.02.2013, 14:25

Ich glaube, dass das nur mittels Firmware-Upgrade möglich ist den sicher zu bekommen.

Und ich finde den Vergleich zwischen Fehler in der Software (=Firmware) und Fehler in der Hardware (=Bremsen) schon irgendwie hinkend. Ich gebe dir vollkommen recht, dass der Hersteller bei fehlerhaften Bremsen haftet, aber bei fehlerhafter Software können die auch nix machen (habe ich selber bei meinem eingebauten NAVI in einem Ford Focus erlebt).

Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.

Das nimmt ja alles kein Ende. Morgen findet dann irgendwer eine Sicherheitslücke in einem anderen Router usw.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

a.spengler
Kabelexperte
Beiträge: 154
Registriert: 07.10.2006, 15:37
Wohnort: Hanau

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von a.spengler » 06.02.2013, 15:39

Cablemen hat geschrieben:Wenn du beim Händler diesen Router kaufst willst du ihn haftbar machen weil D-Link eine fehlerhafte Software installiert hat? Du hast schon eine seltsame Ansicht! Aber man kann ihn sicherlich reklamieren (sprich 25€ zurück) und du kaufst dir einfach einen anderen!
Was anderes als "haftbar machen" - im Sinne von Sachmangelgewährleistung reklamieren - ist das, was Du im zweiten Satz beschreibst?
Bild

a.spengler
Kabelexperte
Beiträge: 154
Registriert: 07.10.2006, 15:37
Wohnort: Hanau

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von a.spengler » 06.02.2013, 15:43

Knifte hat geschrieben:Und ich finde den Vergleich zwischen Fehler in der Software (=Firmware) und Fehler in der Hardware (=Bremsen) schon irgendwie hinkend. Ich gebe dir vollkommen recht, dass der Hersteller bei fehlerhaften Bremsen haftet, aber bei fehlerhafter Software können die auch nix machen (habe ich selber bei meinem eingebauten NAVI in einem Ford Focus erlebt).
Haften bei einem Kaufvertrag tut immer der Händler - und da ist es völlig egal, ob es sich um einen Software- oder einen Hardware-Mangel handelt. Der Hersteller bietet eventuell noch eine Garantie, die ist aber immer unabhängig von der gesetzl. Gewährleistung zu sehen.
Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.
Ganz offensichtlich sind hier die zwei Jahre schon um...
Bild

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Knifte » 06.02.2013, 15:44

Aber selbst wenn ich das Ding gestern erst bekommen hätte, würde ich das nicht benutzen, weil es einfach Schrott ist :D

Ich hätte dafür aber auch keine 25 Euro gezahlt.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

MentalFS
Kabelneuling
Beiträge: 40
Registriert: 20.08.2009, 11:07
Wohnort: Unitymedia-Territorium

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von MentalFS » 06.02.2013, 16:26

Keyser Soze hat geschrieben:Viel wichtiger als die Haftungsfrage finde ich die Frage, ob es irgendwie möglich ist, den Router irgendwie(?) so notdürftig abzusichern, dass keine Angriffe mehr möglich sind.
Ich würde sagen, natürlich den Zugriff von außen verbieten und den Port auf einen anderen als 80 oder 8080 ändern, am besten etwas eher zufälliges.

piotr
Glasfaserstrecke
Beiträge: 2202
Registriert: 13.08.2008, 18:26

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von piotr » 06.02.2013, 16:31

a.spengler hat geschrieben:
Vor allen Dingen gibts den D-Link DIR 300 seit zig Jahren (ich habe einen Ende 2009 beim Vertragsabschluss kostenlos bekommen). Ich hab den zwar nie genutzt, aber ich würde auch nie im Leben erwarten, dass der jetzt noch "sicher" gemacht wird.
Ganz offensichtlich sind hier die zwei Jahre schon um...
Es kommt darauf an, wann der DIR-300 (und auch der Netgear WGR614) von UM ausgeliefert wurde.

Seit ca Mitte 2010 sind alle UM Router keine kostenlosen Goodies mehr.
Sie werden nur noch fuer die Dauer des Vertrages dem Kunden kostenlos zur Verfuegung gestellt und muessen nach Vertragsende zurueckgegeben werden.

D.h. UM ist der Eigentuemer des Geraetes.

Und UM ist damit bei allen Routern die nach ca Mitte 2010 ausgeliefert wurden in der Pflicht, den Mangel (d.h. die fehlende Betriebssicherheit) abzustellen.

Die hier oft zitierten 25 Euro sind kein Kaufpreis.
Es ist die Gebuehr, die die Kosten abdecken soll, dass das Lager der eingesetzten Subunternehmer genutzt wird, die Techniker sich den Wagen mit den Dingern vollstopfen und dann Dir einen davon uebergeben. Das Ganze nennt sich Installationsgebuehr.

Keyser Soze
erfahrener Kabelkunde
Beiträge: 64
Registriert: 25.05.2009, 12:39

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Keyser Soze » 06.02.2013, 17:05

MentalFS hat geschrieben:
Keyser Soze hat geschrieben:Ich würde sagen, natürlich den Zugriff von außen verbieten...
Wie genau kann man dies einstellen und prüfen?

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Es geschieht wohl doch etwas seitens dlink

Beitrag von koax » 06.02.2013, 17:28


CarNie
Übergabepunkt
Beiträge: 294
Registriert: 15.05.2011, 12:40

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von CarNie » 06.02.2013, 18:50

Zuletzt geändert von CarNie am 06.02.2013, 18:58, insgesamt 1-mal geändert.

paul
Übergabepunkt
Beiträge: 398
Registriert: 10.01.2013, 21:08

Re: Es geschieht wohl doch etwas seitens dlink

Beitrag von paul » 06.02.2013, 18:53

Wer sagt es denn? Das LKA NS sieht die Angelegenheit ganz anders als der "User" Knifte. :brüll: :brüll: :brüll:

Leider gibt es für den DIR 300 noch keinerlei Updates wie im Heise-Artikel für heute angekündigt.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Es geschieht wohl doch etwas seitens dlink

Beitrag von koax » 06.02.2013, 19:17

Wer sagt es denn? Das LKA NS sieht die Angelegenheit ganz anders als der "User" Knifte. :brüll: :brüll: :brüll:
Das LKA ist der Meinung, dass die Benutzer gewarnt werden sollten und erwägt das zu tun.
Was hat das mit Gewährleistung zu tun?

paul
Übergabepunkt
Beiträge: 398
Registriert: 10.01.2013, 21:08

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von paul » 06.02.2013, 20:08

Alleine die Tatsache, das sich ein Landeskriminalamt mit dieser Geschichte beschäftigt zeigt doch deutlich, das es hier um eine besonders gefährliche Angelegenheit geht. Ich bin mir ziemlich sicher, das UM sich wie üblich taub stellen wird, aber die haben die Dinger massenhaft in Umlauf gebracht. Da UM seine betroffenen Kunden nicht auf die Sicherheitslücke aufmerksam macht, wird im Schadensfall eine Mithaftung nicht ausgeschlossen werden.

Benutzeravatar
koax
Kabelkopfstation
Beiträge: 3970
Registriert: 09.12.2007, 10:43
Wohnort: Köln

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von koax » 06.02.2013, 21:56

paul hat geschrieben:Alleine die Tatsache, das sich ein Landeskriminalamt mit dieser Geschichte beschäftigt zeigt doch deutlich, das es hier um eine besonders gefährliche Angelegenheit geht.
Ja. Schließlich ist die Aufgabe der Polizei auch die Verbrechensvorsorge und ein löcheriger Router begünstigt die Internetkrimilarität.
Allerdings interessiert das LKA Dein Vertrag mit Unitymedia und die daraus resultierenden Rechte und Pflichten nicht die Bohne.

carknue
erfahrener Kabelkunde
Beiträge: 82
Registriert: 04.12.2010, 12:25

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von carknue » 06.02.2013, 22:03

CarNie hat geschrieben:Neue Firmwareversionen sind seit gut einer halben Stunde raus.

ftp://ftp.dlink.de/dir/dir-300/driver_s ... 130206.zip <-- DIR-300 Rev.B

ftp://ftp.dlink.de/dir/dir-600/driver_s ... 130206.zip <-- DIR-600 Rev. B1 und B2

ftp://ftp.dlink.de/dir/dir-600/driver_s ... 130206.zip <-- DIR-600 Rev. B5

Quelle: http://www.computerbase.de/news/2013-02 ... problemen/

Hmm, habe erst gestern den DIR-600 von UM bekommen. Die online Update funktion zeigt noch an, dass es keine neue Firmware gibt. Aktuell ist die vom 22.12.2011 2.11DE. Hat UM da ne eigene Firmware drauf? Das Teil taugt aber eh nix, man kann nicht mal WPA 2 only einstellen...

Benutzeravatar
l3art
Kabelneuling
Beiträge: 38
Registriert: 05.02.2010, 07:41
Wohnort: Unitymedia Hessen

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von l3art » 07.02.2013, 00:42

Hab immer noch den DIR-300 Rev.A mit der 1.05DE Firmware.

Gibt es für diese Version keinen Support mehr? bzw. ein Sicherheitsproblem. Wird auch garnichts zu erwähnt im Artikel auf CB.
Vertrag: 2play PREMIUM 200/20@IPv4 Kommunikation: Fritz!Box 6490
SmartDNS: dns4me DVB-S2: 19,2° Ost Streaming: DAZN, Zattoo CH, ES-Player

Bild

JimMorrison
Kabelexperte
Beiträge: 168
Registriert: 28.05.2008, 06:34

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von JimMorrison » 07.02.2013, 07:32

Ich sag mal so, man bekommt, was man bezahlt.... Mit 25 € für den Dir-300 bei UM dafür bekommt man halt nur minderwertige Qualität... oder erwartest du für 25 € nen Router der Wlan n/ac kann?

Für die Firmware von D-Link kann UM gar nix....

Ich persönlich würde nie ein Gerät von DLink oder Netgear kaufen. Den Dlink den ich damals von UM kostenlos bekommen habe, ist gleich ohne zu öffnen im Keller gelandet.....
BildBild

Knifte
Glasfaserstrecke
Beiträge: 2464
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Knifte » 07.02.2013, 07:45

Und die im Router eingebaute Funktion der Firmwareaktualisierung bzw. der Prüfung auf eine neue Firmware Version hat zumindest beim DIR 300 noch nie geklappt.

Das zeigt mir u.a. auch, was für ein tolles Gerät das ist. :D
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4

Benutzeravatar
reset
Glasfaserstrecke
Beiträge: 1389
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von reset » 07.02.2013, 12:10

Alternative kann man ja auch auf dem DIR-300 und DIR-600 die DD-WRT Firmware installieren.

http://www.dd-wrt.com/site/support/router-database

Gruß reset

Benutzeravatar
l3art
Kabelneuling
Beiträge: 38
Registriert: 05.02.2010, 07:41
Wohnort: Unitymedia Hessen

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von l3art » 07.02.2013, 14:36

Knifte hat geschrieben:Und die im Router eingebaute Funktion der Firmwareaktualisierung bzw. der Prüfung auf eine neue Firmware Version hat zumindest beim DIR 300 noch nie geklappt.
Doch, doch ... hat gefunzt. Was meine Frage aber nicht beantwortet.
Vertrag: 2play PREMIUM 200/20@IPv4 Kommunikation: Fritz!Box 6490
SmartDNS: dns4me DVB-S2: 19,2° Ost Streaming: DAZN, Zattoo CH, ES-Player

Bild

carknue
erfahrener Kabelkunde
Beiträge: 82
Registriert: 04.12.2010, 12:25

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von carknue » 07.02.2013, 20:59

reset hat geschrieben:Alternative kann man ja auch auf dem DIR-300 und DIR-600 die DD-WRT Firmware installieren.

http://www.dd-wrt.com/site/support/router-database

Gruß reset
Schade, die B5 Revision ist da nicht gelistet vom DIR-600

paul
Übergabepunkt
Beiträge: 398
Registriert: 10.01.2013, 21:08

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von paul » 07.02.2013, 21:52

koax hat geschrieben: Ja. Schließlich ist die Aufgabe der Polizei auch die Verbrechensvorsorge und ein löcheriger Router begünstigt die Internetkrimilarität.
Allerdings interessiert das LKA Dein Vertrag mit Unitymedia und die daraus resultierenden Rechte und Pflichten nicht die Bohne.
Und genau diese Beiträge der UM-Fanboys sind es, was das Land nun gleich gar nicht benötigt.

UM sollte sich sehr wohl um die Angelegenheit kümmern, denn nicht zuletzt hat dieses Unternehmen seinen Kunden diese Router massenhaft geliefert und tritt durch das Branding der Geräte auch noch in besonderer Weise in Erscheinung.

Aber wie so oft, von UM ist dazu nichts zu lesen.

Toengel
Kabelneuling
Beiträge: 12
Registriert: 27.07.2012, 09:12

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von Toengel » 07.02.2013, 22:03

Tachchen,
Bei dem D-Link-Router DIR-615 gelang Messner das Einschleusen von Befehlen auf ähnliche Weise über den Parameter ping_ipaddr. Messner konnte diese und einige weitere Lücken in der Firmware-Version 8.04 ausmachen, die auf den 15. Januar 2013 datiert ist. Auch in diesem Fall hat er den Hersteller informiert, der das Problem jedoch – wie schon bei den Lücken im DIR-300 und DIR-600 nicht schließen wollte, da es sich um Lücken im Browser handle.
http://www.heise.de/newsticker/meldung/ ... 99954.html

Toengel@Alex

hioryi
erfahrener Kabelkunde
Beiträge: 59
Registriert: 29.09.2009, 16:15

Re: Kritische Sicherheitslücken im D-Link DIR-300 und DIR-60

Beitrag von hioryi » 08.02.2013, 01:20

ohweia, ich nehm mal an der dir300 rev A ist davon auch betroffen, richtig?

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste