Bolko
Commander
- Registriert
- Sep. 2012
- Beiträge
- 2.082
Sicherheitslücke in D-Link Routern:
http://www.heise.de/security/meldung/Sicherheitsalarm-fuer-D-Link-Router-1796519.html
Das gilt nicht nur für die D-300 und D-600, sondern auch für den D-615 mit aktueller Firmware.
Ich habe selber letzteren und man kann den Fehler einfach nachweisen, indem man folgendes in die Adresszeile des Browsers eingibt:
http://192.168.0.1/tools_admin.php?NO_NEED_AUTH=1&AUTH_GROUP=0
Man kommt direkt ohne Passwortabfrage auf den Router drauf.
Da der Zugriff auch aus dem Internet funktioniert und man beliebige Befehle absetzen kann und da es keinen Bugfix von D-Link gibt, sollte man statt der Originalfirmware besser die Firmware DD-WRT flashen.
Für den D-Link D-615 RevD3 habe ich diese DD-WRT genommen:
ftp://dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/2013/01-24-2013-r20548/dlink-dir615d/
Anschließende Tests haben gezeigt, dass die Lücke dann geschlossen ist.
Wer seinen Router selber mit DD-WRT flashen will, der muss unbedingt die exakt richtige Version benutzen.
http://www.heise.de/security/meldung/Sicherheitsalarm-fuer-D-Link-Router-1796519.html
Das gilt nicht nur für die D-300 und D-600, sondern auch für den D-615 mit aktueller Firmware.
Ich habe selber letzteren und man kann den Fehler einfach nachweisen, indem man folgendes in die Adresszeile des Browsers eingibt:
http://192.168.0.1/tools_admin.php?NO_NEED_AUTH=1&AUTH_GROUP=0
Man kommt direkt ohne Passwortabfrage auf den Router drauf.
Da der Zugriff auch aus dem Internet funktioniert und man beliebige Befehle absetzen kann und da es keinen Bugfix von D-Link gibt, sollte man statt der Originalfirmware besser die Firmware DD-WRT flashen.
Für den D-Link D-615 RevD3 habe ich diese DD-WRT genommen:
ftp://dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/2013/01-24-2013-r20548/dlink-dir615d/
Anschließende Tests haben gezeigt, dass die Lücke dann geschlossen ist.
Wer seinen Router selber mit DD-WRT flashen will, der muss unbedingt die exakt richtige Version benutzen.
