AVM Sicherheitshinweise für die 6.30 wurde mit Inhalt gefüllt

[andiling]

Dann wird wohl kaum ein Unternehmen Dein Vertrauen wert sein, deswegen bleibt nur die Wahl des geringsten Übels.

 

[grauGolz]

AVM war es nicht und wird es nie sein. Die haben sich nicht mit Ruhm bekleckert.

Es gibt doch Alternativen und mein Schlaf ist ungestört.

 

[andiling]

Auch pfSense kümmert sich bestenfalls monatlich um sicherheitsrelevante Patches, wenn das Deine Definition von "umgehend" ist...

 

[grauGolz]

Du kennst doch pfSense gar nicht. Weshalb hier Unwahrheiten verbreiten?

 

[PeterPawn]

@grauGolz:
Dann solltest Du darüber nachdenken, pfSense zu nehmen ... ach nein, halt, das erfordert ja auch wieder das Vertrauen in "Electric Sheep Fencing LLC" (eine Firma aus den USA, die per "gag order" sogar dazu verdonnert werden könnte, bei einem Download für Dich ganz persönlich eine manipulierte Version anzubieten) - wobei Du sicherlich nur die Community-Edition verwendest und die Hash-Werte der gerade geladenen Version nicht nur mit den bei Dir in der Webseite angezeigten, sondern auch noch mit allen anderen Internet-Nutzern abgleichst. Solltest Du noch einen Schritt weiter gehen wollen, übersetzt Du Dir die gleich selbst aus den verfügbaren Quellen bei GitHub (die Community wird schon darüber wachen, daß da keine Hintertüren eingebaut wurden) ... natürlich erst, nachdem Du selbst ein "code review" durchgeführt hast.

Also sollte man auch realistisch bleiben ... warum Du einer Firma aus den USA da per se eher vertrauen willst als einer aus Deutschland, magst Du ja vielleicht noch erläutern - aber auch hier gilt wieder das Prinzip der praktikablen Lösung für den Großteil der Kunden/Benutzer und da ist AVM auch weiterhin ggü. anderen Firmen keine so ganz schlechte Wahl. Aber selbst wenn man ihnen das Prädikat "die Besten in D" anheften will/wollen würde, auch der Beste kann in aller Regel noch besser werden und nur weil es andere noch schlechter machen, muß man sich nicht "auf den Lorbeeren ausruhen".

Weiss jemand, ob diese Luecken bei der 7270 mit der FW 6.0.6 geschlossen wurden?

Das ist für die 06.06 durch reine Ansicht nicht definitiv zu entscheiden ... ausgehend davon, daß dort die Wiederherstellung der /var/post_install noch enthalten ist:

$ strings usr/bin/tr069fwupdate | grep "var\.tar"
rm -rf /var/post_install ; ( cd / ; tar xf /var.tar ./var/post_install )

würde ich spontan "ist noch vorhanden" sagen - ist in firmwarecfg genauso noch enthalten und "/var/packet" "/var/unpack" fehlt dort ... also würde ich (ohne einen entsprechenden Test ausgeführt zu haben) eher "nein" antworten.

 

[grauGolz]

Zu pfSense:

Es gibt keine monatlichen Patches. Sie erfolgen zeitnah nach dem Bekanntwerden von kritischen Lücken in verwendeten Softwarekomponenten (OpenSSL, strongSwan)
in Form eines RELEASE mit allen Informationen zu den Änderungen. Da wird nichts unter den Tisch gekehrt.

Schlafe ich deshalb so gut?

 

[grauGolz]

Wozu wird der Dienst dsl_control gebraucht, der auf port 8080 lauscht?

https://www.redteam-pentesting.de/e...box-remote-code-execution-via-buffer-overflow

 

[PeterPawn]

Schlafe ich deshalb so gut?

Keine Ahnung ... vielleicht liegt es ja auch daran, daß Dir bewußt ist, daß Dein "Modem" Speedport 221 genau den Software-Teil, der beim Buffer-Overflow angegriffen wird, ebenfalls enthält: http://www.onlinekosten.de/forum/showthread.php?p=1996128#post1996128 - und Du freust Dich nur darüber, daß dieses "Modem" per se keine Oberfläche hat (wenn die von der Telekom ausgelieferte Software darauf läuft).

Hast Du denn auch mal überprüft, daß dort intern (und ggf. sogar extern) keine anderen Ports geöffnet sind? Wie hast Du das denn festgestellt ohne eine Shell auf dem "Modem"? Ein reiner Port-Scan ist ja nun alles andere als ein Beweis, daß da keine Dienste "lauern" ... wie willst Du das bei einem UDP-basierten Listener erkennen, wenn der nur auf korrekte Pakete überhaupt reagieren sollte?

Nun könnte man natürlich davon ausgehen, daß Telekom-Geräte generell nicht von Sicherheitslücken betroffen sind. Amen.

 

[grauGolz]

Zurück zu AVM.

Da wissen wir inzwischen wie mit Sicherheitslücken umgegangen wird.

Naja, ist ja nur "SOHO router" und AVM wird sicher keine FB XYZ als Firewall verwenden. Oder?

 

[fibco]

Sicherheitshinweise 6.30/Command-Injection-Möglichkeit: 7390 nicht betroffen? Sicher?

AVM hat die Sicherheitshinweise zu den Fixes in Version 6.30 mit Informationen zu den gefixten Sicherheitslücken ergänzt.
Quelle: https://avm.de/service/sicherheitshinweise/
Sicherheitsverbesserungen FRITZ!OS 6.30
[...]
- Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490 (Hervorhebung von mir)
Behoben mit FRITZ!OS 6.30

Kann mir bitte jemand erklären, warum die 7390 nicht betroffen sein sollte?

Fragt fib

 

[PeterPawn]

Ich habe auch einen Fehler im Text (korrigiere ich gleich noch) ... das Entpacken erfolgt natürlich nicht nach /var/packet, wie ich oben fälschlicherweise schrieb, sondern nach /var/unpack ... das wurde mit der Labor-Reihe 06.25 eingeführt. An der Einschätzung zur 7270 ändert das aber nichts ...

 

[Nero FX]

@fibco

Der "Fehler" also die Lücke stammt vom Infineon Chipsatz. Die 7390 hat einen Ikanos Chipsatz.

 

[Ohrenschmalz]

Die von AVM haben heute wieder alle auf dem Hof gestanden und geraucht. Kein Wunder, das die ihre FW nicht dicht kriegen :dance:

 

[PeterPawn]

Kein Wunder, das die ihre FW nicht dicht kriegen

Das schaffen die schon ... Du hast doch ohnehin eher keine Probleme mit Sicherheitslücken oder Viren, eher mit Bakterien: http://www.augsburger-allgemeine.de...sso-Maschinen-Forscher-warnen-id36498312.html :mrgreen: ... sorry, vollkommen OT, aber die Kaffeemaschine begeistert mich schon immer - ich warte nur auf eine mit Internet-Anschluß bei jemandem hier, die man dann mal auf Herz und Nieren prüfen kann. Schon solche Späße wie die automatische Bestellung von fehlenden "Verbrauchsmaterialien" bieten so viel Raum für "Schabernack", daß ich mich auf das IoT mit solchen "gadgets" fast schon diebisch freue.

 

[MuP]

... Der "Fehler" also die Lücke stammt vom Infineon Chipsatz. Die 7390 hat einen Ikanos Chipsatz.

7340 und 7369 ebenfalls.