Digitalisierungsbox Premium Version 1 bekommt keine Updates mehr!

[tango501]

"Die Digitalisierungsbox Premium - Version 1 wird nicht mehr mit neuen Firmware-Updates versorgt, da die bintec elmeg GmbH den Geschäftsbetrieb eingestellt hat. Das Insolvenzverfahren wurde am 04.08.2024 eröffnet. Darüber hinaus wird die Digitalisierungsbox Premium - Version 1 zum 01.01.2025 den Status "End of Life" erreichen. Die Folge ist, dass die Digitalisierungsbox Premium - Version 1 keine Software-Updates und keinen Support mehr von uns erhält."
Quelle: https://telekomhilft.telekom.de/t5/...icht-Version-2-Gibt-es-weiterhin/td-p/6807519

Direkt betroffen sind davon die Modelle Digitalisierungsbox Premium (Version 1), Digitalisierungsbox Standard und Digitalisierungsbox Smart (Version 1).
Weiterhin betroffen sind auch die "bauähnlichen" bintec elmeg Geräte be.IP, be.IP_4isdn, be.IP_plus, be.IP_plus_v2, be.IP_plus_world_edition und be.IP_smart.
Bereits bestehende Sicherheitslücken, beispielsweise resultierend aus der Verwendung von mittlerweile veralteten OpenSSL Versionen, werden nun nicht mehr geschlossen.

 

[NDiIPP]

BTW:

beispielsweise resultierend aus der Verwendung von mittlerweile veralteten OpenSSL Versionen

OpenSSL ist (wenn überhaupt, genaue Informationen dazu hat Bintec imo nie bekanntgegeben) nur in (kleinen) Teilen (Modulen) Bestandteil des (proprietären) BOSS. Bintec scheint nach bestimmten Informationen seit 2014 keine neueren Bestandteile von OpenSSL mehr verwendet zu haben. Ob BOSS von älteren und/oder neueren Lücken von OpenSSL überhaupt betroffen ist, scheint unbekannt zu sein. Wenn einige Informationen stimmen, hat Bintec nie auf was aktuelleres als OpenSSL 1.0.4f aufgebaut, was von Heartbleed betroffen war (wobei auch hier unbekannt ist, ob die Implementierung von Bintec überhaupt jemals anfällig war/ist für Heartbleed, Bintec behauptete damals nein, BOSS sei nicht dafür anfällig gewesen).

 

[tango501]

Ob BOSS von älteren und/oder neueren Lücken von OpenSSL überhaupt betroffen ist, scheint unbekannt zu sein.

OpenSSL ist in BOSS enthalten und war auch schon in der Vergangeheit von Sicherheitslücken betroffen.
Dazu nur ein Beispiel aus 2022:

System Software 11.01.03 Patch 11 (11.01.03.111) (April 2022). Verbesserungen / Fehlerbehebungen
- Die Systemsoftware wurde gegen die in CVE-2022-0778 beschriebene Schwachstelle abgesichert.
Quelle: https://www.telekom.de/hilfe/downloads/firmwareaenderungen-digitalisierungsbox-premium.pdf

Release 10.2.10 Patch 2, Sicherheitsrelevante Änderungen
• CVE-2022-0778 - Zur Absicherung gegen die in CVE-2022-0778 beschriebenen möglichen Angriffe wurden die von OpenSSL zur Verfügung gestellten Patches in die Systemsoftware integriert.
Quelle: https://archive.bintec-elmeg.com/Fi.../r10210p02/release_notes_beip_10210p2_ger.pdf

NVD - CVE-2022-0778

nvd.nist.gov

This issue affects OpenSSL versions 1.0.2, 1.1.1 and 3.0. It was addressed in the releases of 1.1.1n and 3.0.2 on the 15th March 2022. Fixed in OpenSSL 3.0.2 (Affected 3.0.0,3.0.1). Fixed in OpenSSL 1.1.1n (Affected 1.1.1-1.1.1m). Fixed in OpenSSL 1.0.2zd (Affected 1.0.2-1.0.2zc).

 

[NDiIPP]

Daran ist aber leider immer noch nicht zu erkennen, welche Bestandteile von OpenSSL nun wirklich in BOSS enthalten sind und ob andere/neue Lücken von OpenSSL die Implementierung in BOSS betreffen.

Edit:
Könnte durchaus sein, dass da Bintec die Fixes von OpenSSL letztlich "nur" für Backports der eigenen Implementierung verwendet hatte. Genaueres ist halt unbekannt.