Digi Security Center

Falsche Authentifizierung für Digi PortServer TS; Digi One SP, SP IA, IA; Digi One IAP

Digi International hat eine Sicherheitslücke identifiziert, die alle Versionen dieser Produkte mit Firmware vor dem Jahr 2025 betrifft:

• PortServer TS
• Digi One SP/Digi One SP IA/Digi One IA
• Digi One IAP

Wir setzen uns für die Sicherheit und Integrität unserer Produkte und für die Sicherheit unserer Kunden ein. Nach der Entdeckung dieses Problems hat unser Entwicklungsteam eine umfassende Untersuchung eingeleitet und eine Lösung für die Sicherheitslücke entwickelt.

Sicherheitskorrekturen wurden für ConnectPort LTS veröffentlicht

Eine Reihe von Sicherheitskorrekturen zur Verbesserung der Behandlung von Anfragen in der Webschnittstelle für den Digi ConnectPort LTS wurde veröffentlicht und steht unter dem folgenden Link zum Download bereit:"https://hub.digi.com/support/products/infrastructure-management/digi-connectport-lts-8-16-32-terminal-server/?path=/support/asset/connectport-lts-eos-firmware".

Kunden, die die Firmware nicht aktualisieren können, sollten die Webseite der ConnectPort LTS Einheit deaktivieren, bis sie eine Aktualisierung planen können.

Die Befehle zum Deaktivieren und erneuten Aktivieren des Webdienstes über die Befehlszeile lauten wie folgt:

#> set service ra=10,11 state=off

um den Webdienst wieder zu aktivieren:

#> set service ra=10,11 state=on

Sicherheitskorrekturen wurden für WR11, WR21, WR31, WR44R, WR44RR veröffentlicht

Für WR11, WR21, WR31, WR44R, WR44RR Version 8.6.0.4 wurde ein Sicherheitskorrektur veröffentlicht, um die SSH Entität zu patchen, um eine nicht initialisierte Variable zu initialisieren, die den Abschluss einer nicht authentifizierten SSH Sitzung verhindert, nachdem die erste SSH Sitzung aufgebaut wurde. Bitte laden Sie die neueste Firmware von unserer Support-Seite oder über Digi Remote Manager

Terrapin-Angriff - SSH-Schwachstelle

Sehr geehrte Kunden, wir möchten Sie über eine kürzlich entdeckte CVE-Schwachstelle (Common Vulnerabilities and Exposures) informieren, die einige unserer Geräte betrifft. Weitere Informationen und Handlungsempfehlungen finden Sie unter dem folgenden Link. Wir freuen uns über Ihre Aufmerksamkeit in dieser Angelegenheit und danken Ihnen für Ihr anhaltendes Vertrauen in unsere Dienste.

RealPort CVEs

Das beigefügte Dokument enthält Schwachstellenfeststellungen aus einem Bericht, den Dragos eingereicht hat. Es handelt sich um CVEs, die Dragos an uns, Digi International, gemeldet hat. Das Dokument enthält eine Tabelle der Produkte von Digi International, die von Dragos als verwundbar gemeldet wurden.

Ripple20 Öffentliche Bekanntgabe

Digi International hat vor kurzem festgestellt, dass CVE-2020-11901 immer noch Auswirkungen auf unsere NDS- und NET+OS-Produktlinien hat, die Teil der Ripple20-Schwachstellen waren. Digi hat festgestellt, dass es angemessen ist, die Sicherheitslücke zu patchen. Bitte lesen Sie unseren wissensbasierten Artikel zu den Patch-Releases im Zusammenhang mit dieser Schwachstelle.

Unser Entwicklungsteam hat bereits einen Patch für diese Sicherheitslücke entwickelt. Wir empfehlen Ihnen dringend, das Update so bald wie möglich anzuwenden, um die Sicherheit Ihres Geräts zu gewährleisten.

Wir nehmen die Sicherheit unserer Produkte sehr ernst und entschuldigen uns für alle Unannehmlichkeiten, die dadurch entstehen können. Wenn Sie Fragen oder Bedenken haben, zögern Sie bitte nicht, unser Support-Team zu kontaktieren.

In Anlehnung an Digis vorherige Ankündigung von WiFi Frag Attack.

Hier ist der Link zu unserem wissensbasierten Artikel, der detailliert auf WiFi Frag Attack eingeht
Frag Attack Sicherheitsinformationen

Sicherheitsupdate für OpenSSL Kritische CVE's: CVE-2022-3786 und CVE-2022-3602

Digi International untersucht die neuen kritischen OpenSSL SchwachstellenCVE-2022-3786, und CVE-2022-3602.

Derzeit sind die Geräte EX50 und TX64 für CVE-2022-3786 und CVE-2022-3602 anfällig. Alle anderen Digi Accelerated Linux (DAL) Produkte sind nicht betroffen. Die EX50- und TX64-Firmware wird mit dem nächsten Patch-Release aktualisiert, um diese Schwachstellen zu entschärfen.

Digi Embedded Yocto Version 4.0-r1 ist derzeit anfällig für CVE-2022-3786 und CVE-2022-3602 und wird mit dem nächsten Patch-Release aktualisiert, um diese Schwachstellen zu beseitigen. Alle anderen Versionen von DEY sind nicht betroffen.

Auch andere OpenSSL-Bibliotheken werden untersucht. Die Bibliotheken, die nicht auf dem neuesten Stand sind, werden ebenfalls mit Patches versorgt.

Alle weiteren Fragen...... werden wir angehen, um diese Bedenken weiter zu zerstreuen.

In Bezug auf Kalifornien SB-327 und CISA-Beratung 22-216-01 in Bezug auf die Digi Connect Port X-Geräte, die vor dem 1-1-2020 hergestellt wurden

Digi International empfiehlt, bei Connect Port X-Geräten, die vor dem 1.1.2020 hergestellt wurden, das Standardpasswort für den Root-Benutzer in einen eigenen Wert auf dem Gerät zu ändern.

Der Prozess zur Einreichung von Sicherheitslücken bei Digi hat sich geändert

Sie können Schwachstellen in der oberen rechten Ecke melden, indem Sie das Formular von Bugcrowd ausfüllen. Wir ermutigen die Forscher oder Kunden, eine E-Mail anzugeben, um besser mit Ihnen kommunizieren zu können. Bitte reichen Sie jede Schwachstelle erneut ein, die in den letzten 90 Tagen an security@digi.com gesendet wurde und auf die wir nicht geantwortet haben. Wir sind Ihnen dankbar, dass Sie weiterhin dazu beitragen, dass die Produkte von Digi International Inc. sicher bleiben.

Software-Validierungshashes sind jetzt Teil der Versionshinweise

Besuchen Sie die Digi-Support-Website und finden Sie Ihr Produkt

CVE-2022-22963 und CVE-2022-22965 haben keine Auswirkungen auf Produkte der Marke Digi

Nach eingehender Prüfung sind die Produkte der Marke Digi weder für CVE-2022-22963 noch für CVE-2022-22965 (Spring4Shell) anfällig.

Digi Passport Firmware-Aktualisierung

Eine Sicherheitskorrektur zur Verbesserung der Behandlung von Anfragen in der Weboberfläche wurde veröffentlicht und steht unter folgendem Link zum Download bereit: https://hub.digi.com/support/products/infrastructure-management/digi-passport/?path=/support/asset/-digi-passport-1.5.2-firmware/

Spring4Shell-Sicherheitslücke (CVE-2022-22963)

Digi untersucht derzeit die Auswirkungen auf alle unsere Produktlinien. Updates werden hier veröffentlicht.

OpenSSL-Endlosschleife in BN_mod_sqrt() (CVE-2022-0778)

Digi untersucht derzeit die Auswirkungen auf alle unsere Produktlinien. Updates werden hier veröffentlicht.

Wir haben festgestellt, dass die folgenden vier unserer Produkte anfällige Versionen im Zusammenhang mit den log4j-Schwachstellen CVE-2021-44228 und CVE-2021-45046 aufweisen

Beachten Sie, dass diese Produkte nicht für die neueste log4j-Schwachstelle anfällig sind, die in CVE-2021-45105 genannt wird, und die neuesten Installationsprogramme unten bringen log4j auf den Stand 2.16. Wir haben die direkten Links, die die erwähnten CVEs patchen, neben jedem Produkt unten angegeben.

Smart IOmux: Smart IOmux

Digi XCTU: XCTU

Digi XBee Multi-Programmiergerät: XBee-Multiprogrammierer

Digi XBee Netzwerkassistent: Digi XBee Netzwerkassistent

Wir gehen davon aus, dass diese Schwachstellen in unseren Produkten nicht direkt ausgenutzt werden können, da es sich um Desktop-Anwendungen handelt, die von einzelnen Anwendern ausgeführt werden und die nicht über das Internet zugänglich sind oder über Webdienste genutzt werden. Bei den vier oben genannten Produkten handelt es sich um alle betroffenen Produkte, von denen wir zu diesem Zeitpunkt wissen. Sollten wir weitere Probleme feststellen, werden wir diese Seite aktualisieren. Weitere Informationen zu den nicht betroffenen Produkten finden Sie in dem unten stehenden Beitrag vom 14. Dezember 2021.

Nach einer detaillierten Untersuchung hat Digi festgestellt, dass Apache Log4j CVE-2021-44228 nicht viele unserer Produkte/Produktfamilien betrifft. Die nicht betroffenen Produkte sind unten aufgeführt.

Wenn Sie ein Produkt nicht finden, beachten Sie bitte, dass wir die internen Tests fortsetzen und die Liste unten aktualisieren werden, sobald die Ergebnisse bekannt sind.

Geräte, die nicht von Apache Log4j CVE-2021 betroffen sind:

• CTEK G6200-Familie
• CTEK SkyCloud
• CTEK Z45-Familie
• Digi 54xx-Familie
• Digi 63xx Familie
• Digi AnywhereUSB (G2) Familie
• Digi AnywhereUSB Plus-Familie
• Digi Connect Familie
• Digi Connect EZ-Familie
• Digi Connect IT-Familie
• Digi ConnectPort Familie
• Digi ConnectPort LTS-Familie
• Digi Connect Sensor-Familie
• Digi Connect WS-Familie
• Digi Embedded Android
• Digi Embedded Yocto
• Digi EX-Router
• Digi IX-Router
• Digi LR54
• Digi One Familie
• Digi Passport Familie
• Digi PortServer TS-Familie
• Digi Rabbit Embedded Familie
• Digi TX-Router
• Digi WR11
• Digi WR21
• Digi WR31
• Digi WR44R/RR
• Digi WR54
• Digi WR64

Software/Verwaltungsplattformen:

• ÜberallUSB-Manager
• Aview
• ARMT
• AVWOB
• Digi-Navigator
• Digi Remote Manager
• Digi Xbee mobile app
• Dynamik C
• Leuchtturm
• Realport
• Dienstprogramm zur Konfiguration des Remote Hubs

Apache Log4j Sicherheitslücke CVE-2021-44228

Digi untersucht derzeit die Auswirkungen auf unsere gesamte Produktlinie. Zum jetzigen Zeitpunkt haben wir noch keine Auswirkungen festgestellt. Wir werden unsere Arbeit gewissenhaft fortsetzen und Sie informieren, sobald wir zu einem Ergebnis in der gesamten Organisation kommen.

FragAttacks - WiFi-Fragmentierungs- und Aggregationsangriffe

Zu diesem Zeitpunkt prüft Digi noch diese Angriffe und wie sie sich auf unsere Geräte auswirken. Aufgrund der Art der Angriffe gehen wir davon aus, dass Digi-Geräte betroffen sein werden.

Es ist jedoch kritisch anzumerken, dass selbst bei diesen Angriffen, es immer DIgi's Politik und Vorschläge waren, dass die Netzwerkkommunikation sich niemals auf die Schutzmaßnahmen und Standards der Datenschichten (WiFi/BlueTooth) verlassen sollte. Viele davon sind in HW implementiert und können nur schwer geändert werden. Wenn gute Netzwerkpraktiken verwendet werden (TLS/Zertifikate usw.), dann führen diese Schwachstellen zu keinen wirklichen Auswirkungen. Diese Schwachstellen können sich nur auswirken, WENN andere Schwachstellen oder Probleme vorhanden sind.

Es ist die Absicht von Digi, diese Probleme anzugehen, damit wir unsere Defense-in-Depth-Strategie für die Sicherheit unserer Produkte beibehalten. Aufgrund der Komplexität dieser Probleme glauben wir, dass wir in der Lage sein werden, diese bis zum vierten Quartal 2021 oder, wenn möglich, früher zu lösen.

AMNESIA:33 - VU#815128 - Mehrere TCP/IP-Stacks, die im Internet der Dinge (IoT ) verwendet werden, weisen mehrere Schwachstellen auf, die auf unsachgemäße Speicherverwaltung zurückzuführen sind.

Digi International hat keine Produkte hergestellt, die von den AMNESIA:33-Schwachstellen betroffen sein könnten. Es besteht kein Handlungsbedarf für unsere Kunden.

Digi International veröffentlicht Software-Validierungshashes

Dieses Dokument stellt kryptographische Hashes zur Verfügung, um zu überprüfen, ob es sich bei der erhaltenen Software um die Software handelt, die Digi offiziell bereitgestellt hat. Diese menschlichen Validierungsmethoden sind für CIP-010-3 R1 Teil 1.6 und für andere gute Sicherheitspraktiken erforderlich, bevor kritische Software oder Firmware für das Unternehmen bereitgestellt wird.
Herunterladen

RIPPLE20 - Mehrere Schwachstellen in TRECK TCP/IP Embedded Software - VU#257161

Es wurde eine Reihe von hochgradigen Sicherheitslücken (CVEs) identifiziert, die die interne TCP/IP-Stack-Verarbeitung betreffen. Digi arbeitet seit Februar mit Kunden zusammen, um Firmware-Updates zu installieren, die dieses Problem beheben. Unter bestimmten Umständen kann es möglich sein, dass diese Schwachstellen über einen netzwerkbasierten Angriff ohne Authentifizierung zu einer Remotecodeausführung führen können.

CVSSv3.1-Wert von 8.1: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Mehrere Digi-Produkte wurden als betroffen identifiziert, und wir empfehlen dringend, dass Sie Ihre Firmware sofort aktualisieren.

Zu diesen Produkten gehören:

• Digi Connect® ME, Digi Connect® EM, Digi Connect® WME, Digi Connect® SP, und Digi Connect® ES; Digi Connect® 9C, Digi Connect® 9P;
• Digi ConnectPort® TS, Digi ConnectPort® X2, Digi ConnectPort® X4;
• Digi AnywhereUSB® (First und Second Gen, NICHT Plus);
• NetSilicon 7250, 9210, 9215, 9360, 9750;
• Alle Produkte, die die NET+OS 7.X Entwicklungsumgebungen verwenden.

Weitere Informationen finden Sie im Digi Knowledge Base Artikel.

Reflexionsangriff WR11,WR21,WR31,WR41,WR44 Serie Router - VU#636397 - CVE-2020-10136

Eine hochgradige Schwachstelle (CVSS => 7.0) wurde auf den Digi WR11,WR21,WR31,WR41, und WR44 Mobilfunk Routern entdeckt. Der Angriff erlaubt es, die IP-in-IP-Kapselung zu nutzen, um beliebigen Netzwerkverkehr durch ein verwundbares Gerät zu leiten.

Bitte laden Sie die Firmware V8.1.0.1 (oder höher) herunter, um dieses Problem zu beheben. Alternativ kann dieser Angriff auch durch Aktivieren der Firewall-Funktion am Port der WAN-Schnittstelle des Geräts (oder der Schnittstelle Mobilfunk ) verhindert werden.

Weitere Informationen zu dieser Sicherheitslücke finden Sie im Knowledge Base Artikel im Digi Support Bereich

Randomisierung von Secure Session SRP ephemeren Werten

Auf den Firmwares Digi XBee 3 Zigbee und Digi XBee 3 802.15.4 wurde eine Schwachstelle entdeckt, bei der die für die Secure Session SRP-Authentifizierung verwendeten ephemeren Werte nicht randomisiert werden, sofern BLE nicht aktiviert ist. Diese Funktion wird normalerweise verwendet, um Netzwerke gegen unbefugte Fernkonfiguration zu schützen.

Weitere Informationen finden Sie unter: https://www.digi.com/support/knowledge-base/xbee-3-%E2%80%93-secure-session-srp-randomization

Zigbee-Transportschlüssel werden "unbemerkt" gesendet

Auf XBee-ZigBee-Modulen der früheren Generation (S2B, S2C und S2D) wurde eine Schwachstelle entdeckt, bei der ein Router, der zuvor mit dem Netzwerk verbunden war, mit einem ungültigen vorkonfigurierten Verbindungsschlüssel wieder in das gesicherte Netzwerk zugelassen werden kann. Danach könnte dieser Knoten den Netzwerkschlüssel versehentlich "im Klartext" an Geräte weitergeben, die versuchen, sich über ihn zu verbinden.

Weitere Informationen finden Sie unter: https://www.digi.com/support/knowledge-base/xbee-zigbee-keys-can-be-sent-in-the-clear

Sicherheitslücken in Digi ConnectPort LTS - 1 unbeschränkter Upload und 3 gespeicherte Cross-Site-Scripting-Schwachstellen - ICS Advisory (ICSA-20-042-13)

Die Schwachstellenforscher Murat Aydemir und Fatih Kayran entdeckten die oben genannten Schwachstellen in der ConnectPort LTS-Webschnittstelle der Digi ConnectPort LTS-Firmware. Die empfohlene Behebung dieser Probleme beinhaltet ein Update der Firmware auf die neueste Version für Ihr Produkt. Die vollständige US-CERT-Anleitung finden Sie unter: https://www.us-cert.gov/ics/advisories/icsa-20-042-13

Firmware-Updates finden Sie unter: https://www.digi.com/support/supporttype?type=firmware

Folgeartikel zur SACK-Schwachstelle in der Knowledge Base

Eine detailliertere Liste der Digi-Geräte, die von der SACK-Schwachstelle betroffen sind, finden Sie im folgenden KB-Artikel, https://www.digi.com/support/knowledge-base/sack_vulnerability

"SACK"-Schwachstelle - (CVE-2019-11477, CVE-2019-11478, CVE-2019-5599 und CVE-2019-11479)

Digi Intl. hat Kenntnis von vier aktuellen Sicherheitslücken, die als "SACK"-Schwachstellen bekannt sind. Wir prüfen derzeit die Auswirkungen und koordinieren die Behebung der Schwachstellen in unseren bekannten betroffenen Produkten. Weitere Informationen zum Zeitplan für die Behebung der Schwachstellen werden nächste Woche verfügbar sein. Es ist wichtig zu beachten, dass diese Schwachstellen KEINE Auswirkungen auf die Vertraulichkeit und Integrität von Digi-Geräten haben. Alle diese Schwachstellen sind als "Denial of Service"-Probleme eingestuft. Das bedeutet, dass es möglich sein kann, ein Gerät aus dem Netzwerk zu werfen oder neu zu starten.

Digi LR54/WR64/WR54 CVE-2018-20162 Schwere Sicherheitslücke - Eingeschränkte Shell-Flucht

Stig Palmquist hat in den oben genannten Routern eine Sicherheitslücke entdeckt. Diese Sicherheitsanfälligkeit ermöglicht es einer Person mit vollem Admin-Zugriff über die Befehlszeile, eine Root-Shell auf dem Gerät zu erhalten. Diese Schwachstelle ist nicht aus der Ferne ausnutzbar. Wir empfehlen unseren Kunden ein Upgrade auf die Version 4.5.1 oder höher. Es wird auch darauf hingewiesen, dass trotz dieser Schwachstelle viele kritische Teile des Routers schreibgeschützt sind und der installierte Code durch einen sicheren Boot-Prozess geschützt ist. Weitere Einzelheiten zu diesem Problem werden in der Wissensdatenbank von Digi veröffentlicht.

libSSH Kritische Sicherheitslücke : CVE-2018-10933

Digi ist sich einer kritischen Sicherheitslücke in den libssh-Bibliotheken bewusst. Wir haben eine Auswirkungsanalyse durchgeführt, um festzustellen, ob Digi-Produkte betroffen sind. Wir gehen derzeit davon aus, dass KEINE Digi-Produkte von dieser Sicherheitslücke betroffen sind, da wir diese Bibliothek nicht für Funktionen in unseren Produkten verwenden. Wir werden die Situation weiter beobachten und weitere Informationen veröffentlichen, wenn sich der Status ändert.

Sicherheitslücken Spectre und Meltdown - (CVE-2017-5715, CVE-2017-5753 und CVE-2017-5754)

Digi ist sich der Sicherheitslücken Spectre und Meltdown bewusst, die kürzlich veröffentlicht wurden. Diese Schwachstellen beeinträchtigen die Vertraulichkeit von Daten, die auf Intel-, AMD- und ARM-Prozessoren laufen.

Für Digi-Hardwareprodukte verwenden wir keine Intel- oder AMD-Prozessoren, und als Folge davon betrifft die "Meltdown"-Schwachstelle keine Digi-Hardwareprodukte.

Für die Spectre-Schwachstelle arbeiten die Sicherheitsteams von Digi daran, die praktischen Auswirkungen und Patches für Digi-Hardwareprodukte, die ARM-Prozessoren verwenden, zu ermitteln.

Für Digi Remote Manager & Device Cloud arbeiten wir mit unseren Anbietern an der Behebung von Spectre und Meltdown.

Zusätzliche Informationen werden zur Verfügung gestellt, sobald sie verfügbar sind. Weitere Informationen zu diesen Sicherheitslücken finden Sie auf der Website https://meltdownattack.com/.

Bitte schauen Sie weiterhin an dieser Stelle nach Updates, oder abonnieren Sie den obigen RSS-Feed.

Entdeckte Sicherheitslücken bei Routern der TransPort WR-Serie Mobilfunk

Drei Schwachstellen wurden von Kasperski Labs innerhalb der Transport-Router der WR-Serie gefunden. Diese Schwachstellen sind von hoch bis niedrig eingestuft. Die betroffenen Geräte sind der Digi TransPort WR11,WR21,WR41,WR44 und der WR31. Dazu gehören auch die "R"- und "RR"-Versionen. Die betroffenen verwundbaren Dienste sind SNMP, FTP und die Befehlszeilenschnittstelle. Weitere Informationen zu den entdeckten Schwachstellen, einschließlich Patches, Abhilfemaßnahmen und Gesamtrisiko, finden Sie im Knowledge Base-Artikel.

Blueborne-Schwachstelle

Digi ist sich der BlueBorne-Schwachstelle bewusst, die mit dem Eindringen in Bluetooth-Verbindungen zusammenhängt und zu einem potenziell unbefugten Zugriff auf Geräte und/oder Daten führt. BlueBorne betrifft gewöhnliche Computer, Mobiltelefone, eingebettete Geräte und andere verbundene Geräte mit Bluetooth-Konnektivität. Ausführliche Informationen über die Sicherheitslücke finden Sie unter https://www.armis.com/blueborne/. Für eingebettete Produkte empfehlen wir unseren Kunden dringend, die verfügbaren öffentlichen Informationen über die Blueborne-Schwachstelle zu prüfen und Abhilfemaßnahmen zu ergreifen, einschließlich bereits verfügbarer Korrekturen in der Community. Wir beabsichtigen außerdem, so bald wie möglich Korrekturen/Workarounds für die damit verbundenen Sicherheitslücken bereitzustellen. In der Zwischenzeit wenden Sie sich bitte an uns, wenn Sie Fragen dazu haben, wie sich diese Sicherheitslücke auf die von Ihnen verwendeten Digi-Produkte/Plattformen auswirken kann.

DNSmasq Netzwerkdienst (CVE-2017-14491)

Wir haben die Auswirkungen dieser Sicherheitslücke auf unsere Geräte untersucht und sind zu dem Schluss gekommen, dass der Transport LR54 das einzige betroffene Digi-Gerät ist. Wir haben einen Patch für diese Sicherheitslücke in den Firmware-Versionen 3.1.0.4 und höher zur Verfügung gestellt. Die Firmware-Versionen für das LR54-Produkt finden Sie auf der Digi-Supportseite.

KRACK-Angriff

Digi ist sich einer Schwachstelle innerhalb des definierten Wi-Fi Sicherheitsprotokolls WPA2 bewusst. Wir haben neue Firmware für die betroffenen Produkte veröffentlicht. Eine vollständige technische Erklärung zu den betroffenen Produkten und Umgehungslösungen finden Sie in unserem Knowledge-Base-Artikel.

Untersuchungen der Auswirkungen des Mirai-Botnetzes

Zum jetzigen Zeitpunkt haben wir dies überprüft und sind uns keiner unserer Geräte bewusst, die durch dieses Botnet kompromittiert werden können. Wir überwachen dies weiterhin, falls sich dies in Zukunft ändern sollte.

Bewertung der Sicherheitsschwachstelle VU#561444

Erweiterte Informationen zu CVE-2014-9222, CVE-2014-9223
Viele Digi-Produkte enthalten und verwenden die RomPager by Allegrosoft Webserver-Technologie. Wir sind darauf aufmerksam geworden, dass dieser eingebettete Webserver, der für die Verwaltung unserer Geräte verwendet wird, eine von uns als kritisch eingestufte Sicherheitslücke enthält. Wir fordern alle Kunden, die eines dieser Produkte besitzen, bei denen der administrative Webserver in unsicheren Netzwerken verfügbar ist, auf, entweder die Firmware auf eine gepatchte Version zu aktualisieren oder den Webserver für die Verwaltung dieser Geräte zu deaktivieren.

Praktische Exploits für SHA1-Hashing wurden jetzt entdeckt

Obwohl wir die Verwendung von SHA1 in unseren Produkten in den letzten Jahren migriert haben, werden wir unsere Produkte auf die verbleibende Verwendung von SHA1-Hashes hin neu bewerten. Wir gehen davon aus, dass künftige Versionen die Verwendung von SHA1-Hashes aufheben und auf die stärkeren SHA3- bzw. SHA2-Routinen umstellen werden.

OpenSSL - Neue Sicherheitsversion 1.1.0c

Wir sind noch dabei, die Auswirkungen auf unsere Geräte zu prüfen. Wir glauben, dass dies keine Auswirkungen auf Digi haben wird, da wir in unseren Produkten die OpenSSL Long Term Support (LTS) Version von Openssl v1.0.2 und nicht v1.1.0 verwenden.

Schmutzige COW - (CVE-2016-5195)

Wir sind gerade dabei, unsere Produkte vollständig auf diese Sicherheitslücke zu testen. Derzeit haben wir ein paar Geräte gefunden, die leicht betroffen sind. Aufgrund des Produkttyps gibt es jedoch keine Möglichkeit, die Geräte mit dieser Sicherheitslücke effektiv auszunutzen.