Alvorlig sikkerhetshull i UPnP

[ThorB]

http://www.grc.com/UnPnP/UnPnP.htm

Translating eEye's and Microsoft's statements into consequences, this means that without the security update patch, and with the Universal Plug and Play (UPnP) system in its default "enabled" state, any of the many millions of Internet-connected UPnP-equipped Windows systems could be remotely commandeered and forced to download and run any malicious code of a hacker's design. This includes using the machine to launch potent Denial of Service (DoS) and Distributed Denial of Service (DDoS) attacks.

er den sida der til å stole på. er ikke helt kjent med den der.

skulle ønske de kunne lage slike ting i scripts, der man ser alt programmet gjør med systemet.

[Tordenflesk]

Steve Gibson koder alt i assembly, og hater scripts. Endret 15. januar 2008 av Tordenflesk

[m0g1e]

Var noe herk med UPnP ja... visste det hele tiden

 

Har aldri helt benyttet meg av det, og skrur det av på alle rutere jeg kommer over

[Bludd]

Steve Gibson koder alt i assembly, og hater scripts.

Steve Gibson er en artig kar. Lurer på om han skrive webapplikasjonene sine in assembly også.

[Langbein]

Steve Gibson koder alt i assembly, og hater scripts.

Steve Gibson er en artig kar. Lurer på om han skrive webapplikasjonene sine in assembly også.

Tror han koder dem med hullkort. Assembly er bloat

 

Men seriøst, det er jo litt synd at så mange applikasjoner bruker denne tvilsomme UPnP protokollen. Det fins tross alt alternativer som MSN Messenger og andre kunne brukt i steden. Selv har jeg aldri likt UPnP, både av sikkerhetsmessige grunner, men også fordi det er en stygg protokoll. Har blant annet sett rutere hvor det har ligget igjen UPnP-konfigurerte portforwardinger i svært lang tid etter de har blitt brukt, til og med fra PCer som ikke lenger fins i nettverket (f.eks. fra noen som var på besøk fra leeeenge siden).

[Vindstille]

Steve Gibson er en artig kar. Lurer på om han skrive webapplikasjonene sine in assembly også.

As a matter of fact, he does.

Endret 17. januar 2008 av JonT

[haalo]

Dette får meg til å tenke på de ISPene som ikke opplyser hvilke porter som benyttes for f.eks iptelefoni.

De henviser kun til bruk av UPnP selv om det er kjent at det er mere sårbart enn begrenset portåpning.

Det samme gjelder også programvare som WLM...

Huff, ennå et eksempel på at "brukervennlighet" blir satt foran sikkerhet.

 

Glad dette ikke gjelder meg. Heldigvis for min del er jeg vant med å sette opp de portene jeg skal ha. Bruker OpenBSD med PF på en maskin som fungerer som brannmur og router. Hvis jeg skulle ha brukt IP-telefoni hadde jeg krevd å få vite portnummerene av leverandøren, slik at jeg kan sette opp uten bruk av UPnP. Foreldrene mine har en router som bruker UPnP, men maskinen de bruker hjemme er en laptop med GNU/Linux installert, derfor vil de aldri bli påvirket av dette.

Har det noe å si om det er Windows eller GNU/Linux som blir brukt? Trodde det gjaldt Flash Player generelt. (Går utifra at du ikke bruker Gnash.)

 

As a matter of fact, he do.

I do; you do; he, she it does: As a matter of fact, he does. Endret 16. januar 2008 av haalo

[Toast Is Pimp!]

UPNP ER et sikkerhetshull. Jeg har fjernet UPNP-komponentene i alle windows-installasjonene mine og skrudd det av på ruteren.

 

Jeg måtte aktivere UPnP på min windowsmaskin...

 

Im not afraid. Jeg ser hvilke porter UPnP har åpnet på rutern, ser jeg feks noe annet enn MSN og µTorrent så ringer det en bjelle. Fra før av kan jeg skjekke loggen...

Skaden skjer ikke lenge...

[Tordenflesk]

Du sjekker loggen etter at skaden er skjedd da altså? Foretrekker å vite hva som skjer på nettverket mitt jeg.