Ein Fehler im Webmanagement von 3Coms OfficeConnect Wireless 11g Access Point ermöglicht Angreifern, Name und Passwort des Admins und den WEP-Key des Gerätes auszulesen. Nach Angabe von iDefense ist dazu keine vorherige Authentifizierung notwendig, es reicht allein die Angabe der URLs:
/main/config.bin
/main/profile.wlp?PN=ggg
/main/event.logs
Standardmäßig ist der Web-Server aber nur auf der LAN-Ethernet- und der WLAN-Schnittstelle zu erreichen, für das WAN-Interface muss der Zugriff freigegeben werden. Betroffen ist die Firmware-Version 1.00.08 und wahrscheinlich vorhergehende. 3Com hat die fehlerbereinigte Version 1.03.07A zum Download bereit gestellt.
Cheeers
@JAckI:ysmn: