Ce sujet a été fermé aux nouveaux messages en raison d’une inactivité. Nous espérons que vous rejoindrez la conversation en répondant à un sujet ouvert ou en créant un nouveau.
Re: MISE À JOUR 25/06/30: Avis de sécurité important : Informations sur les produits NETGEAR concern
Bonjour,
Je lis sur la page dédiée à cette vulnérabilité critique en face de mon répeteur Wi-Fi WN3100RP et en face de mon routeur WNDR4500v2 la phrase "Aucun ; hors période de support de sécurité".
Dois-je comprendre que mon routeur et mon répéteur ne seront jamais mis à jour et que n'importe qui pourra pirater mon réseau ? Merci.
Re: MISE À JOUR 25/06/30: Avis de sécurité important : Informations sur les produits NETGEAR concern
Est-ce que je dois encore attendre une mise à jour éventuelle, ou jeter tout mon matériel Netgear et changer de marque ? Merci de me répondre.
Vous avez été mis au courant de cette vulnérabilité critique DEPUIS 8 MOIS ! On attend un correctif depuis votre avis public depuis 2 MOIS. Et finalement, vous ne corrigez qu'un tiers de vos matériels en recommandant de, je cite, "remplacer les périphériques en fin de vie qui ne sont plus pris en charge par des correctifs de sécurité.".
Il y a tellement de façons faciles de corriger cette vulnérabilité ! Elle est dans une fonction de mise à jour du firmware. Ça tombe bien, les produits sont en fin de vie, ils ne seront plus jamais mis à jour, alors faites une derniere mise à jour qui enlève la fonctionnalité de mise à jour du firmware, cela corrigera la vulnérabilité ! Même pas besoin de tester, vous enlevez une fonctionnalité qui de toute facon ne sert plus à rien...
Plus serieusement, vous limitez la taille de la copie dans le buffer lors du memcpy et on est bon. Rien à tester non plus tellement c'est trivial. On ne demande même pas de stack cookies, qui pourtant auraient déjà dû être là si vous étiez un minimum concerné par la sécurité de vos produits. Tant pis pour les vulnérabilités futures, au moins je voudrais que mon routeur ne puissent pas être piraté par le premier script kiddy qui télécharge son exploit sur exploitdb.
Ou rendez les firmwares des produits en fin de vie opensource, que la communauté puisse faire votre travail. Mais étant donné ce qu'on voit en dessasemblant le code, j'imagine que vous ne souhaitez pas vraiment qu'on voit la qualité du code...
Vous êtes à des années lumières de (je cite encore) votre objectif qui est "d'anticiper autant que possible les problèmes de sécurité et de prendre très au sérieux la fiabilité de vos produits et la sécurité de vos utilisateurs.".
