Frage zum aktuellen Security Issue #1786
-
|
Hallo Jens, es ist vermutlich eine blöde Frage, aber ich stelle sie trotzdem mal ;) Wenn ich die Veröffentlichung richtig verstehe, werden Daten mittels Upload über 80/443 einfach angenommen und ggf. ausgeführt. Dies bedeutet doch, dass die RM
Oder habe ich einen Vektor übersehen? Danke und LG, |
Beta Was this translation helpful? Give feedback.
Replies: 1 comment 1 reply
-
|
Das ist prinzipiell richtig. Nur innerhalb des LAN kann man die älteren Versionen wie beschrieben "attackieren" und beliebige Shell-Befehle ausführen. Oder eben auch aus dem WAN wenn man die Zentrale via Port Forwarding von Port 80/443 fälschlicherweise im Router freigegeben hat. Darüberhinaus gibt es aber noch locker eine handvoll mehr Angriffsvektoren gegen Port 80/443 aus dem LAN die auch teilweise technisch bedingt nicht gänzlich geschlossen werden können und man z.b. immer noch vom "AutoLogin" Feature gebrauch macht (was man nicht sollte!) |
Beta Was this translation helpful? Give feedback.
-
|
Dann habe ich es ja richtig verstanden... danke :) |
Beta Was this translation helpful? Give feedback.
Das ist prinzipiell richtig. Nur innerhalb des LAN kann man die älteren Versionen wie beschrieben "attackieren" und beliebige Shell-Befehle ausführen. Oder eben auch aus dem WAN wenn man die Zentrale via Port Forwarding von Port 80/443 fälschlicherweise im Router freigegeben hat.
Darüberhinaus gibt es aber noch locker eine handvoll mehr Angriffsvektoren gegen Port 80/443 aus dem LAN die auch teilweise technisch bedingt nicht gänzlich geschlossen werden können und man z.b. immer noch vom "AutoLogin" Feature gebrauch macht (was man nicht sollte!)