bencede
New member
Lancom yönlendiricileri, kök parolanın kimsenin haberi olmadan boş bir parolayla değiştirilmesine olanak tanıyan bir güvenlik açığına sahiptir. Bu, LAN veya WLAN üzerindeki kullanıcıların SSH aracılığıyla cihazlara erişmesine ve cihazların kontrolünü en yüksek haklarla ele almasına olanak tanır.
Duyuru
Bir okuyucunun ipucu bizi doğru yola soktu: Windows Kurulum Yardımcısı, başka bir yönetici kullanıcı yazılımı bir VPN profili ayarlamak gibi bir yapılandırma değişikliği yapmak için kullanırsa kök parolayı sıfırlar. Lancom, tam bir konfigürasyon yazıldıktan sonra – örneğin LANconfig'teki konfigürasyon asistanı aracılığıyla – “root” yönetici şifresinin sıfırlandığını ve ardından süpervizör iznine sahip başka bir yönetici hesabı altında silindiğini açıklıyor. Bu tür takımyıldızlar, yöneticilerin genellikle bireysel erişime sahip olduğu şirketlerde alışılmadık bir durum değildir.
Lancom: Sadece birkaç ay önce ortaya çıkan güvenlik açığı
Üreticiye göre, yönlendiricinin ürün yazılımı, LCOS sürüm 10.80 RU1'den 10.80 RU3'e (10.80 RU3 dahil) kadar olan güvenlik açığından etkilenmiştir; yeni sürüm 10.80 RU4, hatayı düzeltir. Lancom'a göre eski sürümler bu soruna duyarlı değil. Üretici ayrıca, WAN'dan bireysel protokollere erişime izin verilse bile, kök erişimi için İnternet'ten yönlendiriciye erişimin mümkün olmayacağını da ekliyor. WAN tarafında boş parolaya sahip yönetici hesapları için yönlendiriciler oturum açma girişimini “Erişim Reddedildi” ile onaylar. Ayrıca, İnternet'ten erişime ilişkin tüm protokoller varsayılan olarak devre dışıdır.
Ürün yazılımı güncellemesi hala mümkün değilse Lancom, ek yönetici hesaplarının cihazlardan geçici olarak kaldırılmasını ve kök hesabın kullanılmasını önerir. Alternatif olarak, güvenlik açıklarından etkilenmeyen LCOS 10.72 RU7'ye donanım yazılımının düşürülmesi de mümkündür. Ancak Lancom'un talimatlarını takip etmek önemlidir.
Lancom, Federal Bilgi Güvenliği Dairesi'nin (BSI) BT güvenlik mührünü taşıyan yönlendiricileri piyasaya sunan ilk üreticilerden biriydi. BT güvenlik etiketi, örneğin ürünlere en azından etiketin ömrü boyunca güvenlikle ilgili güncellemeler sağlamayı, ortaya çıkabilecek güvenlik açıklarını kapatmayı ve hata düzeltmelerinin durumunu BSI'ya iletmeyi gerektirir. BSI, web sitesinde sertifikalı cihazlar hakkında daha fazla bilgi sunmak istediğinden, Lancom'un BSI'yı güvenlik açığı konusunda bilgilendirmesi ve bunu güncellenmiş ürün yazılımıyla birlikte not etmesi gerekir. Bu durumda birkaç günlük bir gecikmeye neden oldu.
Üretici, kullanım süresi dolmak üzere olan Lancom cihazları için güvenlik etiketlerini genişletmeyi planlıyor.
(Bilmiyorum)
Haberin Sonu
Duyuru
Bir okuyucunun ipucu bizi doğru yola soktu: Windows Kurulum Yardımcısı, başka bir yönetici kullanıcı yazılımı bir VPN profili ayarlamak gibi bir yapılandırma değişikliği yapmak için kullanırsa kök parolayı sıfırlar. Lancom, tam bir konfigürasyon yazıldıktan sonra – örneğin LANconfig'teki konfigürasyon asistanı aracılığıyla – “root” yönetici şifresinin sıfırlandığını ve ardından süpervizör iznine sahip başka bir yönetici hesabı altında silindiğini açıklıyor. Bu tür takımyıldızlar, yöneticilerin genellikle bireysel erişime sahip olduğu şirketlerde alışılmadık bir durum değildir.
Lancom: Sadece birkaç ay önce ortaya çıkan güvenlik açığı
Üreticiye göre, yönlendiricinin ürün yazılımı, LCOS sürüm 10.80 RU1'den 10.80 RU3'e (10.80 RU3 dahil) kadar olan güvenlik açığından etkilenmiştir; yeni sürüm 10.80 RU4, hatayı düzeltir. Lancom'a göre eski sürümler bu soruna duyarlı değil. Üretici ayrıca, WAN'dan bireysel protokollere erişime izin verilse bile, kök erişimi için İnternet'ten yönlendiriciye erişimin mümkün olmayacağını da ekliyor. WAN tarafında boş parolaya sahip yönetici hesapları için yönlendiriciler oturum açma girişimini “Erişim Reddedildi” ile onaylar. Ayrıca, İnternet'ten erişime ilişkin tüm protokoller varsayılan olarak devre dışıdır.
Ürün yazılımı güncellemesi hala mümkün değilse Lancom, ek yönetici hesaplarının cihazlardan geçici olarak kaldırılmasını ve kök hesabın kullanılmasını önerir. Alternatif olarak, güvenlik açıklarından etkilenmeyen LCOS 10.72 RU7'ye donanım yazılımının düşürülmesi de mümkündür. Ancak Lancom'un talimatlarını takip etmek önemlidir.
Lancom, Federal Bilgi Güvenliği Dairesi'nin (BSI) BT güvenlik mührünü taşıyan yönlendiricileri piyasaya sunan ilk üreticilerden biriydi. BT güvenlik etiketi, örneğin ürünlere en azından etiketin ömrü boyunca güvenlikle ilgili güncellemeler sağlamayı, ortaya çıkabilecek güvenlik açıklarını kapatmayı ve hata düzeltmelerinin durumunu BSI'ya iletmeyi gerektirir. BSI, web sitesinde sertifikalı cihazlar hakkında daha fazla bilgi sunmak istediğinden, Lancom'un BSI'yı güvenlik açığı konusunda bilgilendirmesi ve bunu güncellenmiş ürün yazılımıyla birlikte not etmesi gerekir. Bu durumda birkaç günlük bir gecikmeye neden oldu.
Üretici, kullanım süresi dolmak üzere olan Lancom cihazları için güvenlik etiketlerini genişletmeyi planlıyor.
(Bilmiyorum)
Haberin Sonu