Menü

Fritzbox-Mediaserver verrät Geheimnisse [2. Update]

Von
vorlesen Drucken Kommentare lesen 164 Beiträge

Die Router der Fritzbox-Reihe von AVM bringen einen Medienserver mit, der Musik, Videos und Bilder an UPnP-Geräte im lokalen Netzwerk liefert. Doch der stellt auch andere Dateien bereit – unter anderem Konfigurationsdateien, die je nach Modell sogar Passwörter enthalten. Die einfachste Abhilfe ist, den Medienserver zu deaktivieren. Wer seine Medien unbedingt von der Box beziehen möchte, sollte die Freigabe des internen Speichers abschalten und für USB-Medien die Freigabe auf die Ordner mit Mediendateien beschränken. Kurz nachdem heise Netze den Hersteller AVM auf den Fehler aufmerksam machte, hat dieser ein Firmware-Update bereitgestellt. Bisher gibt es korrigierte Beta-Versionen (bei AVM Labor genannt) für die Modelle 7390 und 7270.

Der Fehler steckt zwar in der UPnP-Software, betrifft aber nicht direkt dieses Protokoll. Denn der Server gibt per UPnP nur eine Liste der Mediendateien heraus. Für den Abruf der darin verzeichneten Medien enthält er zusätzlich einen http-Server auf einem anderen Port, in dem der Fehler steckt: Er liefert nicht nur die Medien aus der UPnP-Liste aus, sondern allerhand andere Dateien, sofern man bei der Abfrage den richtigen Pfad angibt. Dazu gehören auch Konfigurationsdateien, die bei einigen Fritzbox-Modellen sicherheitsrelevante Daten wie das WLAN-Passwort im Klartext enthalten. Für den Abruf ist kein Passwort erforderlich. Der Server bedient zwar nur Stationen im lokalen Netzwerk. Doch per Cross-Site-Scripting kann ein externer Angreifer wahrscheinlich den Browser dazu bringen, die Daten weiterzugeben.

[Update 22.5.2012 16:00]: Die Labor-Firmware scheint das Problem nicht zu beheben. Ein Leser wies heise Netze darauf hin, dass die kritischen Dateien weiterhin erreichbar sind, allerdings mit einem längeren Pfad. Auch das Beschränken der Freigabe auf den USB-Speicher behebt das Problem nicht; in unseren Experimenten ließen sich die Dateien trotzdem aus der Box auslesen. Die einzige Abhilfe ist derzeit das Deaktivieren des Medienservers.

[Update 24.5.2012 12:00]: AVM stellt eine neue Beta-Firmware bereit, die das Problem behebt. (je)

Anzeige
Anzeige