Hallo!
Habe einen Sicherheits-Bug unter 10.1 entdeckt.....

(Bei "Befehl ausführen" wird mein Firewall-Router nur einmalig nach dem Passwort gefragt - danach kommt man beliebig oft ohne Passwort in das Web-Interface des Routers und könnte dort alles verändern!)

An wen sollte man das melden bzw. mittteilen?

Danke im Voraus
chriscross

An wen sollte man das melden bzw. mittteilen?


So erstmal keinem, die Susianer werden nur "Bahnhof" verstehen... ;)

@drcux
HÄ? - Deine Antwort verstehe ich überhaupt nicht!

Ist doch offensichtlich - Nur einmalige Abfrage, danach offen wie ein Scheunentor - bei Firefox z.B. wird das Passwort immer wieder neu abgefragt....... (aber "Befehl ausführen" macht dieses nicht)

Ich meinte eigentlich eine Stelle wo man solche Bugs mitteilen bzw. beschreiben kann, zwecks Nachbesserung - evtl. ist der Bug ja auch noch unter 10.2 vorhanden.................

chriscross

Ich verstehe aber auch nur Bahnhof...

Was genau machst und was passiert dann?

-hanky-

Firefox z.B. wird das Passwort immer wieder neu abgefragt.......


Wenn du den Firefox einmal geschlossen hast.



(aber "Befehl ausführen" macht dieses nicht)


Ich denke mal, du meinst "Befehl ausführen" und dann die Eingabe der Routeradresse?

Das benutzt Konqueror und der Konqueror wird erst vollständig beendet, wenn du dich einmal abmeldest.



Ich meinte eigentlich eine Stelle wo man solche Bugs mitteilen bzw. beschreiben kann, zwecks Nachbesserung - evtl. ist der Bug ja auch noch unter 10.2 vorhanden.................


opensuse.de

Aber wo ist der "Sicherheits-Bug"? Es wäre ein Bug, wenn man als anderer User auf der gleichen Kiste das Passwort auch "mitbekommen" würde.

OK - wenn ich das so schlecht beschrieben habe - genauer....

Ich habe einen Hardware Firewall-Router von Netgear, an dem 4 PCs dranhängen und über den die gesamte Netzwerkkommunikation gehändelt wird......
Normalerweise kann ein Admin diesen Router via Web-Interface (Browser) konfigurieren - allerdings nur wenn er sich in den Router vorher mit Passwort einloggt.........
Dort kann man dann alle relevanten Einstellungen vornehmen......
Macht man dieses über Firefox wird auch jedesmal das Passwort vom Admin angefordert sonst bekommt man keinen Zugriff auf den Router......
Der Router hat seine "eigene" IP-Adresse die man im Browser angibt (z.B http://192.168.0.99)

Wie gesagt - mit Firefox kein Problem - der fragt das Passwort immer wieder neu ab - aber nicht wenn man es mit "Befehl ausführen" macht............
Einmalig damit eingeloggt ist danach keine Abfrage mehr vorhanden...........

Ist also der Admin einmalig darüber eingeloggt gewesen kann jeder User danach ohne Passwort ins Menü des Routers und dort alles mögliche verändern.............

Und das ist eindeutig eine Sicherheitslücke....!

chriscross

ps: @drcux
im router kann man einstellen wie lange es dauern soll, bis das passwort wieder abgefragt werden soll.... (z.B. 5 min)
das konquerer das alles ignoriert finde ich schon bedenklich - ist ja auch mehr oder weniger ein browser

It's a feature, not a bug. Beende den Browser (Firefox oder Konqueror) komplett und probier es nochmal. Wenn nicht gerade so Schnickschnack wie "Passwörter speichern und automatisch senden" aktiviert ist, wird er dich nochmal nach dem Passwort fragen.
Davon abgesehen sollten verschiedene Benutzer an einem Rechner auch unterschiedliche Konten haben, dann passiert schonmal nichts, wenn du deinen Browser zuviele Daten speichern lässt.

Ist also der Admin einmalig darüber eingeloggt gewesen kann jeder User danach ohne Passwort ins Menü des Routers und dort alles mögliche verändern.............


Also wenn du dich aus KDE abmeldest, einen anderen User anmeldest brauchst du immer noch kein Passwort?



Und das ist eindeutig eine Sicherheitslücke....!


Wenn das so ist, ja. Aber keine von SUSE sondern eine von KDE: http://bugs.kde.org/

@Roger Wilco
für wie blöd hälst du mich? - das ich "kennwort speichern" aktiviere und danach über einen BUG unter linux rede und hier einen beitrag ins forum schreibe? (kopfschüttel)

@drcux
ja, du hast recht - ich hatte vergessen mitzuteilen, das ich KDE (3.5.6 release 19.1) drauf habe, deshalb ist es wohl auch ein KDE-BUG mit dem aktuellen konquerer.................
dein link ist leider nicht hilfreich da dort englisch "geschnackt" wird......
ich weiß nicht, ob das was nutzt es dort auf deutsch hinzumailen..?!

trotzdem - thanx boys
chriscross

hallo!

jetzt kommt, gebt euch alle einen kuss und hört auf streiten.
chriscross, melde deinen bug und gut ist.

//richard