UPnP-Standardgremium zu Lecks: Wir sind nicht schuld

SicherheitSicherheitsmanagement

Die Sicherheitslücken im “Universal Plug&Play”-System, die kürzlich aufgedeckt wurden, entstammen nicht dem öffentlichen Standard, sondern einigen verwendeten veralteten Open-Source-Bibliotheken, versichert das UPnP-Forum.

Lücken in Webcams, digitalen Videorekordern und anderen Geräten, wie sie der Sicherheitsdienstleister Rapid 7 meldete, seien entgegen vieler Medienberichte nicht aufgrund von “Lücken in UPnP”  unsicher, beteuert upnp.org in einer Stellungnahme.

upnp-forumDie vielen offenen Geräte seien vielmehr Opfer älterer Implementationen der Programmierbibliotheken libupnp und MiniUPnP, wie sie noch in Foren der Open-Source-Gemeinde und auf Download-Services zu haben waren.

Gerätehersteller sollten lieber die neueste Version 2  des “Internet Gateway Device” nutzen statt V1, wie es heute noch verwendet wird und von Herstellern aus Diensten wie SourceForge oder minupnp.free.fr heruntergeladen wird.

Noch einmal betont das UPnP-Forum: “Der Bug ist NICHT  verbunden mit den UPnP-Spezifikationen selbst und auch nicht mit den Zertifizierungsprozess für UPnP-Stacks”. Außerdem seien die Standards nur für LAN-Ports gedacht und nicht für WAN-Ports, wie es bei einigen Herstellern passiert ist – was wiederum kein gutes Licht auf die Arbeit der betroffenen Anbieter wirft.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen