Fritzbox 6490 Cable Firmware Update?

Und wie kann man die Zertifikate aktualisieren / nachladen?
 
Dieser Satz kein Verb?

Muss ich das erklären?
Du kannst gerne eine Suchmaschine deiner Wahl bemühen und ein passendes Verb finden.
Ansonsten entschuldigst du mir vielleicht im Eifer des Gefechtes, dass ich den Satzbau nicht korrekt für dieses Forum verwendet habe.

Ich hoffe du hast trotzdem verstanden was ich mit meiner Ausdrucksweise gemeint habe.

- - - Aktualisiert - - -

Ein AVM-Problem, dass die Provider alte Zertifikate sperren, interessant...

Das ist wirklich in der Tat verdammt interessant ;)
Leider ahne ich, dass es nie zu einer offiziellen Meldung kommen wird.

Edit: Noch nie gewundert warum AVM selbst sagt, dass nur die Boxen mit einer bestimmten Artikelnummer für den freien Markt bestimmt sind? ;)
 
Zuletzt bearbeitet:
@tetzlav
Ja ich habe mir die Ausgabe des install Skripts auf die Telnetsitzung ausgeben lassen und dies war die Fehlermeldung
Hier das entspechende Codeteil aus dem install Skript
if [ -x /var/ewnw_check_install ] ; then
print_console "ARM Calling additional procedure (ewnw_check_install)"
/var/ewnw_check_install
ret=$?
if [ "$ret" -ne "0" ] ; then
print_console "ARM Calling additional procedure failed: UPDATE FAIL (${ret})"
/bin/update_led_off
exit $INSTALL_OTHER_ERROR
fi
fi
und dies war auf der Console zu sehen
/var/install [4528]: +++++++++++++ ARM write to /dev/mmcblk0p1 done
/var/install [4528]: +++++++++++++ ARM Calling additional procedure (ewnw_check_install)
/var/docsiscertdefaults: Kein CM Zertifikat im Urlader
dl complete but fp still open. (written 0 / 0)
dl complete but fp still open. (written 0 / 0)
/var/install [4528]: +++++++++++++ ARM Calling additional procedure failed: UPDATE FAIL (2)

scheinbar wird mit ewnw_check_install auf ein Zertifikat im urlader geprüft.

Hatte aber keine Lust dem weiter nachzugehen habe fast eine Woche gebraucht mich etwas in die Materie Linux/Fritzbox wieder einzuarbeiten. Das letzte mal war das vor 10Jahren und da vergisst man eine Menge habe ich gemerkt:(

@scuros
Wenn ich mal so frech bin und einfach frage: Warum wird da nie offiziell??
 
Zuletzt bearbeitet:
Ich hoffe du hast trotzdem verstanden was ich mit meiner Ausdrucksweise gemeint habe.
Eben nicht ... wenn da das Verb fehlt, kann genauso auch noch ein "k" abhanden gekommen sein ... eben weil ich den Sinn des Satzes (und zwar des gesamten, nicht nur des verkürzten Zitats) nicht verstanden habe bzw. vermeiden wollte, daß ich ihn falsch interpretiere, habe ich "nachgefragt" ... auch der Rest Deines Satzes ergibt eben keine eindeutige Aussage.

Wenn das heißen soll, Du wüßtest genau, daß auch bei KDG/Vodafone seit heute die alten Zertifikate gesperrt sind, dann stellt sich mir wieder die Frage, ob da auch Leute zwei Wochen im Urlaub waren, ebenso bei TC. Bei UM weißt Du es dann nicht genau ... ob da jemand im Urlaub war? Vielleicht "hängen" die ja wegen "Betriebsferien" hinterher?

Soll dann "UM ka die hängen ja ..." die Kurzform für "Bei Unitymedia habe ich keine Ahnung, die hängen ja ..." sein? Bist Du immer so "busy", daß nur noch "Steno" geht? dtdmlmnes.

Ganz im Ernst ... wenn man Beiträge erst "interpretieren" muß, damit man den Sinn versteht und dann immer noch die Gefahr besteht, daß da noch ein einzelnes "k" nach dem Verb zusätzlich fehlen könnte (da würde aus "ist ein AVM Problem" dann auf einmal "ist kein AVM-Problem" - na gut, den Bindestrich müßte man sich auch noch dazudenken), welches den Sinn komplett umkehrt, dann wäre vielleicht ein wenig mehr Sorgfalt beim Verfassen eines Beitrags doch nützlich ... dazu muß das nicht gleich als Germanistik-Seminar mißverstanden werden.

Wenn Du Deinen Beitrag einfach mal mit meiner "Interpretation" liest, wirst Du sicherlich merken, daß auch diese Aussage durchaus möglich wäre ... und bei "ordentlichem Satzbau" kommt kein Leser überhaupt auf die Idee, da ein zusätzlich fehlendes "k" in Erwägung zu ziehen.
 
Zuletzt bearbeitet:
scheinbar wird mit ewnw_check_install auf ein Zertifikat im urlader geprüft.

und das bedeutet für mich, dass selbst wenn es $irgendwann mal möglich sein sollte eine Retail-Firmware der Retail-Boxen auf die Provider-Boxen zu flashen, der Urloader, bzw. das Zertifikat darin nicht aktualisiert wird.

-> aus die Maus... :-/
 
hallo könnte mir mal jemand eine PM zukommen lassen wie das update angestossen wird komme mit telnet auf die box und für weiteres fehlen mir die infos
/var/install und weiter

Lg Babboy
 
Eben nicht ... wenn da das Verb fehlt, kann genauso auch noch ein "k" abhanden gekommen sein ... eben weil ich den Sinn des Satzes (und zwar des gesamten, nicht nur des verkürzten Zitats) nicht verstanden habe bzw. vermeiden wollte, daß ich ihn falsch interpretiere, habe ich "nachgefragt" ... auch der Rest Deines Satzes ergibt eben keine eindeutige Aussage.

Wenn das heißen soll, Du wüßtest genau, daß auch bei KDG/Vodafone seit heute die alten Zertifikate gesperrt sind, dann stellt sich mir wieder die Frage, ob da auch Leute zwei Wochen im Urlaub waren, ebenso bei TC. Bei UM weißt Du es dann nicht genau ... ob da jemand im Urlaub war? Vielleicht "hängen" die ja wegen "Betriebsferien" hinterher?

Soll dann "UM ka die hängen ja ..." die Kurzform für "Bei Unitymedia habe ich keine Ahnung, die hängen ja ..." sein? Bist Du immer so "busy", daß nur noch "Steno" geht? dtdmlmnes.

Ganz im Ernst ... wenn man Beiträge erst "interpretieren" muß, damit man den Sinn versteht und dann immer noch die Gefahr besteht, daß da noch ein einzelnes "k" nach dem Verb zusätzlich fehlen könnte (da würde aus "ist ein AVM Problem" dann auf einmal "ist kein AVM-Problem" - na gut, den Bindestrich müßte man sich auch noch dazudenken), welches den Sinn komplett umkehrt, dann wäre vielleicht ein wenig mehr Sorgfalt beim Verfassen eines Beitrags doch nützlich ... dazu muß das nicht gleich als Germanistik-Seminar mißverstanden werden.

Wenn Du Deinen Beitrag einfach mal mit meiner "Interpretation" liest, wirst Du sicherlich merken, daß auch diese Aussage durchaus möglich wäre ... und bei "ordentlichem Satzbau" kommt kein Leser überhaupt auf die Idee, da ein zusätzlich fehlendes "k" in Erwägung zu ziehen.


Darf ich fragen welches "k"?
Und sorry ich schreibe gerne kurz und vergesse dabei etwas leider. Deswegen kann man nachfragen.
Ich mag einfach gerne kurz schreiben du ausführlich, beurteile ich deswegen?
 
Zuletzt bearbeitet:
Kurz schreiben, lang zitieren - letzteres ist nun wieder kein Ersatz für eigenen Text und hier nicht gerne gesehen ... sorry, ich habe auch kein Problem, wenn jemand sich tatsächlich kurz faßt. Das kann man aber sicherlich auch in ganzen Sätzen oder zumindest so, daß es wirklich unmißverständlich ist. Aber sei's drum ... der Inhalt ist mir tatsächlich wichtiger.

Zur Frage nach dem "k" ... das habe ich doch geschrieben. Wenn da in "Und sry das ein AVM Problem" zwischen "das" und "ein" nicht nur vier Zeichen fehlen, sondern fünf ... dann erhält der gesamte Satz einen komplett anderen Sinn und wenn da schon vier Zeichen fehlen, könnten es eben genauso 25% mehr sein.

Genau aus diesem Grund habe ich ja nachgefragt ... wenn auch mit einer "stehenden Redewendung", denn die von mir verwendete Formulierung ist nun nicht vollkommen neu: http://www.mundmische.de/bedeutung/39741-Dieser_Satz_kein_Verb

Am Ende bin ich immer noch nicht schlauer ... wolltest Du uns jetzt mitteilen, daß es sich um ein Problem von AVM handelt oder ist es eben gerade kein AVM-Problem, sondern eines der von Dir aufgezählten KNB (weil deren CMTS (bzw. die Infrastruktur dahinter) bisher gar keine ordentliche Zertifikatprüfung für CM vorgenommen haben) und bei UM weißt Du nicht genau, ob die dasselbe Problem haben?

Wenn da für ein älteres "manufacturer certificate" für PACM (für andere Mitleser: Das steht für "provisioning/activation/configuration/management".) die Akzeptanz durch das CMTS bei einem KNB deaktiviert werden konnte und die Retail-Boxen trotzdem weiterhin verwendet werden können (und auch provisioniert werden), dann wäre ja meine Idee mit einem anderen Hersteller-Zertifikat für das Signieren des CM-Zertifikates bei einer "2000 2778"-Box wieder im Spiel. Und weil ich das genau auseinanderhalten will, frage ich nach ... ist auch nicht persönlich gemeint, ich will nur verhindern, daß ich es falsch interpretiere.

Wenn es wirklich nur die ganz alten Modelle betrifft, bei denen noch mit den Test-Zertifikaten gearbeitet wurde (das aktuelle AVM-Zertifikat (Serial 16:44:e7:85:bf:c6:03:f4:c4:fc:8e:d8:51:92:c5:ce) ist ja erst seit dem 13.03.2015 gültig und es gab auch vorher schon die 6490), dann ist das sicherlich etwas anderes, als wenn das AVM-Zertifikat mit der Seriennummer 18:d9:3d:04:72:8f:ce:2f:ba:a7:81:a8:1f:92:6a:43 gesperrt wurde (das ist vermutlich eines, mit dem schon die Vorgängermodelle gearbeitet haben, denn das ist schon aus 2009).
 
So ein aktuelles Zertifikat kann man nicht einfach auslesen und bei den alten Dingern einfügen? :D
 
Ja direktes Zitat noch nicht gefunden hier in den Funktionen. (Ja nur flüchtig geschaut)
Ich verstehe aber jetzt dein "k" Problem, habe das echt net bemerkt.
Allerdings schenke ich mir jetzt einen Link zur neuen deutschen Rechtschreibung, könnten wir das einfach lassen?

Ich sage nur AVM-Zertifikat mit der Seriennummer 18:d9:3d:04:72:8f:ce:2f:ba:a7:81:a8:1f:92:6a:43 sind ungültig.
Die Seriennummer ist nichtmal so wichtig, selbst eine 6.23 kann das neue Zertifikat haben.
 
Die Seriennummer ist nichtmal so wichtig, selbst eine 6.23 kann das neue Zertifikat haben.
Du meinst hier "Die Firmware-Version ist nicht einmal so wichtig, ..."? Das würde wieder logisch erscheinen, denn daß es keine Kopplung zwischen der FRITZ!OS-Version und dem Vorhandensein eines (aktuellen und gültigen) CM-Zertifikates im Urlader-"config"-Bereich gibt, wäre ja wieder klar.

Hinter dieser (jetzt ja dann wohl hoffentlich überall ungültigen) Seriennummer verbirgt sich das AVM-Zertifikat für den "public key" (2048 Bit):
Code:
00:97:91:e8:b9:3e:11:06:90:2f:9d:6e:97:43:c5:97:49:ca:af:f1:84:1b:71:ef:1b:8f:ee:68:20:32:
79:a2:64:c6:61:8c:30:25:8d:a0:b3:c8:41:07:3e:73:17:8a:39:39:87:f2:ee:9b:3c:f3:08:9d:2a:f7:
5a:ef:25:1b:40:97:3e:44:ee:cd:ad:a8:24:2a:d2:b4:ff:cf:5f:60:8b:78:7f:a9:22:c2:dd:f7:90:ec:
97:f7:aa:2a:39:4f:a2:4b:74:ce:e5:69:8d:85:56:04:d4:5f:2e:12:fb:72:e8:3c:2c:29:92:86:6e:1a:
b7:95:1d:8c:f5:e1:69:5d:52:e9:27:cf:eb:5b:49:24:6f:b2:4e:fa:25:40:c7:91:b1:84:ff:da:0f:b4:
49:03:79:55:c9:b2:4f:f8:a7:9a:2e:00:45:3f:b4:c5:e5:8a:34:93:ff:de:df:c8:18:90:50:e6:20:b5:
22:70:78:bd:06:f2:4d:2f:94:65:ea:16:36:92:b8:01:db:92:dc:80:89:9a:ce:83:01:11:9e:28:eb:0c:
9c:6f:fe:46:25:fe:8c:09:a4:27:fe:51:12:42:d9:11:38:72:37:36:d7:78:62:0a:1d:03:97:68:a4:51:
cb:49:78:96:f4:40:31:7f:7c:0d:d5:14:f4:6e:3f:5f:61
- das Zertifikat wurde am 30.07.2009 gültig und würde (theoretisch) noch bis zum 29.07.2029 gültig sein ... außer es wird vorher "revoked" und die betreffende CRL findet dann auch noch den Weg zu demjenigen, der die Gültigkeit prüfen will/soll.

Der Witz an der Sache war es, daß in älterer Firmware für die 6490 (ich habe hier die 06.10) neben dem erwähnten Zertifikat auch noch der dazugehörige private(!) Schlüssel enthalten war (zur Kontrolle: der "private Exponent" (d) beginnt mit 62:ac:49 und endet mit "a1:da:a5) ... ich vermute mal, daß da jemand das für PACM notwendige CM-Zertifikat "on the fly" (oder "dynamisch") erzeugen und signieren wollte.

Damit konnte dann aber jeder, der den Schlüssel aus der Firmware extrahieren konnte, ebenfalls mit diesem Schlüssel gültige Zertifikate unterschreiben, die von den KNB akzeptiert würden, solange das AVM-Zertifikat als Sub-CA "trusted" ist.

Es war also ohnehin höchste Zeit, daß diesem Zertifikat das Vertrauen bei den KNB entzogen wurde. In letzter Konsequenz ermöglicht die Kenntnis des privaten Schlüssels für ein CM-Zertifikat das Belauschen der verschlüsselten Kommunikation des entsprechenden Modems mit dem CMTS, solange man sich in demselben Kabelsegment befindet - schließlich ist das die Basis für (das früher verwendete) BPI(+) und (das aktuelle) SEC.

Von der Möglichkeit des "Klonens", wenn man selbst ein (vom KNB akzeptiertes) CM-Zertifikat erzeugen könnte, fange ich gar nicht erst an - hier könnte ja auch der KNB entsprechend gegensteuern, wenn der parallel noch überprüft, daß es tatsächlich keine doppelten MAC-Adressen aktuell in seinem Netz gibt.

Wobei das sicherlich zusätzlicher Datenbank-Aufwand wäre (aber auch die aktuell zugeteilten IP-Adressen müssen ja wegen der VDS ohnehin verwaltet werden) ... ob das "ein großer Anbieter" dann immer performant bewältigen kann, steht wieder auf einem anderen Blatt. Ich bin ja immer noch der Meinung, daß die zwei größeren Kabelausfälle bei VF Anfang/Mitte Juli u.a. auch mit der Umstellung im (ehemaligen) KDG-Netz zusammenhängen könn(t)en.

@ASWO:
Zum CM-Zertifikat gehört dann aber auch der passende private Schlüssel (aber auch der steht natürlich in der Box) ... das Zertifikat selbst übermittelt das CM jedenfalls sogar freiwillig an das CMTS - schließlich ist das "sein Ausweis".
 
Zuletzt bearbeitet:
also mein erkenntnisse bis jetzt
6490 mit 6.24
branding avm läuft und ist bei Unity angemelden. zieht sich kein update, telnet geht
branding lgi läuft und ist bei Unity angemelden. zieht sich kein ubpate, telnet geht.

"branding kdg"
verbindet sich zeigt online status an jedoch kein Gateway und somit kein Internet, telnet geht nicht,
in der Übersicht Diese Info "Vom Hersteller nicht unterstützte Änderungen: Weitere Informationen."
unter Ereignisse "Automatische Einrichtung und Updates für dieses Gerät durch den Dienstanbieter nicht möglich: Verbindung zum Autokonfigurationsserver fehlgeschlagen"


- - - Aktualisiert - - -

fritz2.PNG

Übersicht Diese Info "Vom Hersteller nicht unterstützte Änderungen: Weitere Informationen." ist nun verschwunden
internet geht noch telnet auch aber immer noch kein update bekommen
 
also mein erkenntnisse bis jetzt
6490 mit 6.24
branding avm läuft und ist bei Unity angemelden. zieht sich kein update, telnet geht
branding lgi läuft und ist bei Unity angemelden. zieht sich kein ubpate, telnet geht.
...
internet geht noch telnet auch aber immer noch kein update bekommen
Hallo babboy,
ich denke nicht, dass Dir UnityMedia ein FW-Update auf die Box pushed;

siehe UnityMedia FAQ zur Routerfreiheit:
https://www.unitymedia.de/privatkunden/landingpages/bestandskunden/routerfreiheit/
Spielt Unitymedia eigene Firmware auf meinen eigenen Kabelrouter und werden dann auch Funktionen abgeschaltet?

Nein, auf Ihrem eigenen Gerät sind sie selbst für die Firmware verantwortlich. Dies gilt insbesondere für sicherheitskritische Bugfixes. Wir werden Ihre Firmware nicht verändern und auch keine Funktion Ihres Geräts. Es gibt aber zusätzliche Serviceleistungen, die wir für Sie derzeit nur mit der von uns bereitgestellten Hardware erbringen können. Beachten Sie bitte weiter, dass es Funktionen geben kann, die Ihr Router zwar prinzipiell unterstützt, aber der bei uns gebuchte Tarif nicht. Diese werden dann auch durch einen Routerwechsel nicht verfügbar.

Eigener Router, eigene Verantwortung
Jeder Kunde, der einen eigenen Kabelrouter oder ein eigenes Kabelmodem betreibt, ist für diese Geräte selbst verantwortlich. Unitymedia kann für kundeneigene Hardware keinen Support anbieten.

Die Richtigkeit der vorgenommenen Geräteeinstellungen liegt in diesen Fällen ebenso in der Verantwortung des Kunden wie die regelmäßigen Firmware-Updates, um etwa Sicherheitslücken zu schließen.

sowie Details zur Schnittstellen-Definition:
https://www.unitymedia.de/privatkunden/landingpages/aktionen/schnittstellenbeschreibung/

Gruß
Pokemon20021
 
Wobei das sicherlich zusätzlicher Datenbank-Aufwand wäre (aber auch die aktuell zugeteilten IP-Adressen müssen ja wegen der VDS ohnehin verwaltet werden) ... ob das "ein großer Anbieter" dann immer performant bewältigen kann, steht wieder auf einem anderen Blatt. Ich bin ja immer noch der Meinung, daß die zwei größeren Kabelausfälle bei VF Anfang/Mitte Juli u.a. auch mit der Umstellung im (ehemaligen) KDG-Netz zusammenhängen könn(t)en.

Interessant - genau diesen Gedanken hatte ich damals bei den Ausfällen auch. ;)
 
bringt die Box den Fehler:
auth reject - permanent authorization failure

Kann es sein dass Primacom erst heute die Überprüfung scharf geschaltet hat?
ja leider wurde auch meine 6490 in der Konstellation bei Primacom gesperrt ...
 
Zuletzt bearbeitet:
Sollte man jetzt Angst haben, dass auch UM solche Maßnahmen ergreift? Oder ist das eher unwahrscheinlich?
Weiß jemand da etwas mehr aus sicheren Quellen?
Ich bereue langsam, dass ich mir das Modem Hitron CDA-32372 nicht geholt hatte...
 
Für mich steht nach etwa 16 Jahren als AVM-Kunde zumindest eines fest: Ich kaufe keine AVM Hardware mehr.
 
Für mich steht nach etwa 16 Jahren als AVM-Kunde zumindest eines fest: Ich kaufe keine AVM Hardware mehr.
Hat das jetzt einen Bezug zu diesem Thread oder gar seine Ursache in irgendeinem Text, den Du hier in diesem Thread gelesen hast? Oder ist das mehr eine grundsätzliche Überlegung? Ich habe hier irgendwie ein(en) "missing link".
 
Sollte man jetzt Angst haben, dass auch UM solche Maßnahmen ergreift? Oder ist das eher unwahrscheinlich?
Hallo Aux,
das wichtigste ist, dass Du valide CM-Zertifikate hast;
dies kannst Du im ersten Schritt anhand der Existenz einer Zeile "urladercerts.tar.gz" in Supportdata.txt prüfen;
sollte in etwa so aussehen:
---------x 1 root root 2116 Jan 1 01:00 urladercerts.tar.gz
Für genauere Analyse wäre Telnet erforderlich;

die Artikel-Nr. ist gemäß aktueller Recherche kein Ausschlußkriterium (jedenfalls konnte ich hierzu im IPPF nichts finden) für Provisionierung bei KNB-Provider:
Artikel-Nr.: "2000 2778" Retail-Boxen, Handelsware
Artikel-Nr.: "2000 2657" FB6490 Cable International,
Artikel-Nr.: "2000 2691" KDG Providerbox, VF Homebox 3
Artikel-Nr.: "2000 2689" Unity Media Edition (Weiss),

und dann kann man sich auch noch auf die Schnittstellenbeschreibung berufen.

Gruß
Pokemon20021
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.