- Communauté Orange
- ➔
- internet & fixe
- ➔
- Livebox
- ➔
- Patch faille CVE-2020-12695
Vous avez une question ?
Interrogez la communautéPatch faille CVE-2020-12695
- S'abonner au fil RSS
- Marquer le sujet comme nouveau
- Marquer le sujet comme lu
- Placer ce Sujet en tête de liste pour l'utilisateur actuel
- Marquer
- S'abonner
- Page imprimable
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Patch faille CVE-2020-12695
Bonjour, est ce qu'un patch est prévue pour la faille CVE-2020-12695 qui concerne UPNP et pour laquelle les Liveboxs sont vulnérables:
Testé sur Livebox v2.5.10 avec le PoC github.com/yunuscadirci/CallStranger (information sur la faille: https://callstranger.com/)
Verified vulnerable services:
1: http://192.168.1.1:60000/776c93ed/upnp/control/WANCommonIFC1
2: http://192.168.1.1:60000/776c93ed/upnp/control/WANIPConn1
3: http://192.168.1.1:60000/776c93ed/upnp/control/WANIPv6FwCtrl1
Le correctif temporaire est désactiver UPnP mais cela bloquera le décodeur pour ceux qui l'utilise (je ne l'utilise pas).
Cdlt,
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Patch faille CVE-2020-12695
Bonjour @Shepah
L'UPnP est par principe un processus qu'il faut désactiver dans un routeur !
Comme son rôle est d'ouvrir automatiquement un port à la demande d'un logiciel, un malware "cheval de troie" est capable d'exploiter le processus pour faire entrer n'importe quoi dans une machine...
----
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Patch faille CVE-2020-12695
Bonjour @HiSpeed ,
Sans l'UPnP, nombre de logiciels ne pourraient pas fonctionner "simplement": le Xbox Live, le jeu en réseau, le peer to peer, etc...
Pour un tas de tâches madame Martin et monsieur Toutlemonde devraient s'embêter à ouvrir et fermer des ports à tout bout de champ, et ces gens ne sont ni bricoleurs ni informaticiens.
Donc non, ce n'est pas "par principe un processus qu'il faut désactiver dans un routeur" (pis d'abord, c'est un protocole, pas un processus), et de toute ça ne répond pas à l'impératif de correction des failles de sécurité.
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Patch faille CVE-2020-12695
Bonjour @Ninolacom
On ne peut pas raisonner sainement en informatique si on considère que l'utilisateur final est un ignorant qui n'a pas besoin d’être informé...
Boucher un seul trou dans une passoire ne sert à rien (qu'on l'appelle processus ou protocole).
UPnP sur les routeurs et les risques de sécurité
----
- Marquer comme nouveau
- Marquer
- S'abonner
- S'abonner au fil RSS
- Imprimer
- Signaler
Re: Patch faille CVE-2020-12695
"On ne peut pas raisonner sainement en informatique si on considère que l'utilisateur final est un ignorant qui n'a pas besoin d’être informé..."
Je n'ai jamais dit le contraire, nous sommes d'accord.
Je t'invite cependant à montrer à madame Martin et monsieur Toutlemonde la liste des ports à ouvrir et à fermer systématiquement juste pour que leurs enfants puissent profiter pleinement du Xbox Live, tu auras l'occasion de les voir changer de couleurs deux fois :
https://support.microsoft.com/fr-fr/help/4026770/xbox-open-these-network-ports-for-xbox-one
Entendons-nous bien: je ne remets pas le défaut de sécurité que représente UPnP.
Je souligne le fait qu'il est activé par défaut sur les box des opérateurs car ces matériels sont adressés au grand public et que ça rends beaucoup service à aux utilisateurs, la plupart du temps non-techniques.
Ne t'en fais pas, les opérateurs sont bien au courant du danger qu'UPnP représente (après tout les attaques se passent sur leurs réseaux), et malgré ça ils considèrent qu'il est préférable de le laisser actif. Il y a toujours une raison rationnelle à ce genre de décisions
Comme évoqué précédemment sans l'UPnP nombre de logiciels ne pourraient pas fonctionner "simplement" et le décodeur de pourrait pas marcher correctement.