Sicherheitslücke in allen Snom-Telefonen

Hallo pascom,

wie gestern Abend heise online berichtete, gibt es seit Oktober vergangenen Jahres eine Sicherheitslücke in allen Snom-Telefonen. Im Snom-Wiki wird ebenfalls darauf hingewiesen. Mit eurem jüngsten Update 7.08.03 wurde lediglich die Firmware-Version 8.7.5.8.2 für Snom-Model 715 ausgeliefert.

Wie ist der Stand dazu bei euch? Kann man bedenkenlos den “Important Security patch 8.7.5.15” installieren?

Beste Grüße
Sebastian

Hallo Sebastian,

Du hast bei der MobyDick schon immer die Möglichkeit eigene Firmwareversionen hochzuladen und dann auszurollen.
Gerne kannst Du die 8.7.5.15 installieren und in die Geräte provisionieren lassen.

Den Heise Post werden wir noch bewerten.

Gruß,

Thomas

Hallo Thomas,

danke für deine schnelle Rückmeldung.
Die Möglichkeit ist bekannt und wurde in der Vergangenheit auch rege genutzt.

Wir haben die 8.7.5.15 auf zwei Testapparaten (Snom 720) laufen. Telefonieren geht schon mal. :wink:

Beste Grüße
Sebastian

Hallo zusammen,

als Information zum Thema haben wir folgendes Video erstellt:

LG
Mathias

Sehr vorbildlich.

Sehr vorbildlich.

Danke ;).

Wir haben jetzt erste Testergebnisse.

Die hier angebotene snom Firmware http://wiki.snom.com/8.7.5.15_OpenVPN_Security_Update hat leider Probleme mit dem Besetztlampenfeld :(. Sonst scheint die mal grob mit MobyDick zu funktionieren.

In Kürze hier mehr.

LG
Mathias

Hi Mathias,

ich habe hier mit dem Snom 370 bzw. 760 noch KEINE Probleme bezüglich BLF feststellen können.

Grüße

Maik

Hi Maik,

danke für Deine Rückmeldung!

Heute laufen Tests auf allen Modellen. Diese sollten abends abgeschlossen sein. Ich melde mich dann hier nochmals. Die Probleme hatten wir bisher nur auf einem 370. Das muss noch nichts heißen.

LG
Mathias

Hallo zusammen,

wir können bisher auch keine Probleme feststellen. Getestet bisher nur mit Snom 720.

Beste Grüße
Sebastian

Hallo miteinander,

erst mal noch Danke für die Rückmeldung von Sebastian. Gut!

Das mit den LED Problemen war auf einem anderen 370 nicht mehr nachvollziehbar. Unsere Tests sind zu 90% durch und sehen soweit sehr gut aus. Morgen werden wir hier bei uns intern alle SNOMs mit der neuen Firmware produktiv nehmen.

Kommt nichts mehr dazwischen wird unser nächstes Bugfix (7.08.04) die Firmware offiziell enthalten.

LG
Mathias

Hallo miteinander,

Kommt nichts mehr dazwischen wird unser nächstes Bugfix (7.08.04) die Firmware offiziell enthalten.

Es kam leider was dazwischen.

  1. Die Firmware hat einige “glitches”. Z.B. # Wählen funktioniert nicht immer. LED gehen nicht immer …
  2. SNOM hat die Firmware jetzt ganz zurückgenommen!

Die Aussage von SNOM ist jetzt, dass es genügt, wie in meinem Video beschrieben, das http-passwort zu setzen und das Provisioning auf SSL zu schalten.

Provisioning auf SSL kann man sich sparen, da das von der MobyDick lokal erledigt wird. Auch wenn das Telefon provisoning.snom.com fragen will sagt die MobyDick einfach “das bin ich” ;). Falls jemand für die Telefone nicht die MobyDick als DNS nutzt sollte er das in diesem DNS auch so machen.

Einzige Ausnahme: Wer die openvpn Implementierung verwenden möchte braucht, um sicher zu sein, die neueste Firmware. Diese ist aber wie gesagt von allen SNOM Servern entfernt worden und steht nicht mehr zur Verfügung.

Aktuell können wir euch also keine neue Firmware empfehlen und müssen warten was SNOM macht. Es sollte aber durch die bereits im Video beschriebenen Maßnahme vorerst gut genug sein.

LG
Mathias

Hallo Mathias,

danke für das ehrliche Statement. Und natürlich für das gute Video. Du bist eben ein echter VoIP Guy :wink:

Grüße

Maik

Falls jemand die zurückgezogene Beta-Firmware benötigt, sie kann noch immer über den Direktlink geladen werden: http://downloads.snom.net/beta/snom870-8.7.5.15-SIP-r.bin. Im Link muss nur das Modell geändert werden.