Die Router der Fritzbox-Reihe von AVM enthalten einen Medienserver, der Musik, Videos und Bilder im lokalen Netzwerk liefert. Doch er stellt auch Konfigurationsdateien bereit, die je nach Modell sogar Passwörter enthalten. Die einfachste Abhilfe ist, den Dienst zu deaktivieren. Wer aber seine Medien unbedingt von der Box beziehen möchte, sollte die Freigabe des internen Speichers abschalten und für USB-Medien die Freigabe auf die Ordner mit Mediendateien beschränken. Kurz nach bekannt werden des Fehlers, hat AVM ein Firmware-Update bereitgestellt.

Zwar steckt der Fehler in der UPnP-Software, betrifft aber nicht direkt dieses Protokoll, denn der Server gibt nur eine Liste der Mediendateien per UPnP heraus. Für den Abruf der darin verzeichneten Medien ist zusätzlich eine http-Server auf einem anderen Port enthalten, in dem der Fehler steckt: Er liefert nicht nur die Medien aus der UPnP-Liste, sondern auch allerhand andere Dateien aus. Auch Konfigurationsdateien, die bei einigen Fritzbox-Modellen sicherheitsrelevante Daten wie das WLAN-Passwort im Klartext enthalten, gehören dazu. Zwar bedient der Server nur Stationen im lokalen Netzwerk, doch ein externer Angreifer kann per Cross-Site-Scripting den Browser dazu bringen, die Daten weiterzugeben.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE