Freetz 2.0 Stable oder lieber Trunk?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

Smoke_Master

Neuer User
Mitglied seit
26 Okt 2015
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Die überschrift sagt es bereits...

Der Hintergrund: es gab ja mal diese Lücke welche dazu geführt hat das unerlaubte Anrufe nach *sonstwonistan* geführt wurden. Ich meine es war ein Fehler des MyFritz Dienstes.
Da ich damals auch ne Nette Telefonrechnung hatte und darauf nicht noch mal scharf bin, Frage ich mich ob es sicher ist ein Freetz auf Basis einer alten (und wahrscheinlich in Hinsicht auf diesen Bug ungefixten) Fritz OS Firmware zu bauen?

Oder reicht es den MyFritz dienst deaktiviert zu haben (habe ich seit dem Bug ohnehin)?

Habe mir heute erfolgreich zwei mal Freetz gebaut: einmal Stable und ein mal Trunk. Mein Plan war jetzt eigentlich erst die Stable zu flashen, wenn das gut rennt dann flashe ich die Trunk Version. Da ich allerdings meinen Kopf oder noch wertvolleres verliere wenn meine Frau ihr Festnetz verliert... Naja... Da würde ich ehrlich lieber bei Stable bleiben;)
 
Smoke_Master schrieb:
Ich meine es war ein Fehler des MyFritz Dienstes.
Zum Vergrößern anklicken....
Nein, war es nicht! Die sogenannte webcm-Lücke hat mit MyFritz direkt nichts zu tun.

Smoke_Master schrieb:
Frage ich mich ob es sicher ist ein Freetz auf Basis einer alten (und wahrscheinlich in Hinsicht auf diesen Bug ungefixten) Fritz OS Firmware zu bauen?
Zum Vergrößern anklicken....
Natürlich nicht, das wäre grob fahrlässig. Jede FritzBox die noch mit so einer Firmware betrieben wird ist mit einfachsten Mitteln angreifbar, z.B. jeder normale Webseitenbesuch mit einem beliebigen Gerät (PC, Smartphone, Smart-TV usw.), welches über die FritzBox an das Internet angebunden ist, ermöglicht theoretisch einen Angriff von außen, selbst wenn man nur "seriöse" Webseiten besucht. Ob dabei MyFritz oder auch ein völlig anderer DynDNS-Dienst genutzt wird oder auch nicht spielt keine Rolle.

Smoke_Master schrieb:
Oder reicht es den MyFritz dienst deaktiviert zu haben (habe ich seit dem Bug ohnehin)?
Zum Vergrößern anklicken....
Natürlich auch nicht, die Lücke ist wesentlich kritischer. Etwas Lektüre:
http://heise.de/-2115745
http://heise.de/-2135241

Freetz 2.0 sollte nur noch für FritzBoxen verwendet werden für die gefixte ältere FritzOS-Versionen (vor FritzOS 6.x, z.B. Ver. 84.05.54 bei der 7390) veröffentlicht wurden, also alle FritzBoxen bis zur 7170/3170, 3270, 7240, 7270, 7340, 7390 und 7570. Für alle anderen/neueren FritzBoxen (z.B. 7272, 7360 oder 7490) gilt ohne Ausnahme: Freetz trunk, was anderes wäre grob fahrlässig!
 
Zuletzt bearbeitet:
Vielen dank für die beiden Links und die Aufklärung!
Allerdings sagt AVM hier das erst ab Fritz OS 6.03 die Lücke gefixt ist!
Mein Freetz (übrigens habe ich eine 7390) habe ich mit der von dir beschriebenen 84.05.54 gebacken. Laut menuconfig ist das die Fritz OS version 5.5? -Also ungepatcht?
Ich bin etwas verunsichert... Und tendiere ehr zur Trunk Version... Gibt es da Erfahrungen bezüglich der Stabilität?
 
Viel zu alt, die stable ist ja auch schon wieder 2j alt.
Ich kann mir vorstellen das es Probleme wenn dann eher nur mit einzelnen Paketen geben könnte die in Freetz enthalten sind.
Hatte mit Trunk bis jetzt noch keine gravierenden Probleme.
 
Smoke_Master schrieb:
Allerdings sagt AVM hier das erst ab Fritz OS 6.03 die Lücke gefixt ist!
Zum Vergrößern anklicken....
Wie ich bereits oben geschrieben habe gibt es für einige ältere FritzBoxen auch gefixte ältere Versionen, zu finden sind die z.B. auf dem FTP-Server von AVM:
ftp://service.avm.de/Downgrade/
ftp://service.avm.de/ISDN/
ftp://service.avm.de/WDS/

Alle dort verfügbaren Firmware-Versionen sind zumindest bzgl. der webcm-Lücke gepatcht.

Und für noch ältere FritzBoxen (<=7170) gab es schließlich nie FritzOS 6 dennoch gibt es für die betroffenen älteren Modelle ebenfalls gefixte Firmware Versionen.

Smoke_Master schrieb:
Mein Freetz (übrigens habe ich eine 7390) habe ich mit der von dir beschriebenen 84.05.54 gebacken. Laut menuconfig ist das die Fritz OS version 5.5? -Also ungepatcht?
Zum Vergrößern anklicken....
Nein gepatcht. Ich habe doch oben geschrieben, dass die 84.05.54 eine gefixte Version für die 7390 ist. Das kannst du auch nachlesen wenn du dir das Changelog zu dieser Version anschaust:
ftp://service.avm.de/Downgrade/FRITZ!Box_7390/deutsch/7390_5.54/info_7390-5.54.txt

Smoke_Master schrieb:
Ich bin etwas verunsichert... Und tendiere ehr zur Trunk Version... Gibt es da Erfahrungen bezüglich der Stabilität?
Zum Vergrößern anklicken....
Der Trunk ist in der Regel stabil, ich persönlich arbeite nur noch damit. Eine Garantie gibt es dafür natürlich nicht, die bekommst du aber auch nicht für Freetz 2.0.
 
Hab mich jetzt für Trunk entschieden! Ist die neuere AVM Firmware drin. Und Stable ist ja wirklich leicht veraltet. Da ist das Fritz OS ja fast älter als meine FritzBox ;)

qwertz.asdfgh schrieb:
Der Trunk ist in der Regel stabil, ich persönlich arbeite nur noch damit. Eine Garantie gibt es dafür natürlich nicht, die bekommst du aber auch nicht für Freetz 2.0.
Zum Vergrößern anklicken....

Ach jaaaaa... Wenn ich Garantie möchte bleib ich bei Stockfirmware. Das wäre aber irgendwie nicht ich :roll: Solange es nix nightly-unstable-alpha mäßiges ist. So etwas hätte ich nur ungerne auf meiner FritzBox.
 
Smoke_Master schrieb:
Solange es nix nightly-unstable-alpha mäßiges ist. So etwas hätte ich nur ungerne auf meiner FritzBox.
Zum Vergrößern anklicken....
Bei der Verwendung des Trunks mußt Du auch mal damit rechnen, daß es eine Änderung gibt, die ungetestet ist und ggf. sogar ein erfolgreiches Erstellen eines Images verhindert (bei einzelnen, mit Pech bei allen), dann geht man eben ein Changeset (oder auch mehrere) zurück.

Da Du aber jederzeit selbst entscheiden kannst, ob Du ein neues Freetz-Image erstellst und auf die Box bringst (da läuft nichts automatisch), bist Du am Ende derjenige, der das im Trac nachlesen und überlegen/entscheiden muß.

Wenn eine Änderung am OpenVPN eingepflegt wird und Du hast kein OpenVPN in Deinem Image, brauchst Du eben keine Aktualisierung und kannst fröhlich mit dem "alten Freetz" (das mußte mal raus als Geschichtsbezug von einem Preußen) weiterfeiern.
 
OT: War das nicht der alte Fritz ?
 
Welche OpenSSL Versionen werden in 2.0 Stable und Trunk verwendet? Welcher Nutzer will ein OpenVPN drauffreetzen mit einer löchrigen OpenSSL Version?

aktuell -> OpenSSL 1.0.2e
aktuell -> OpenSSL 1.0.1q

Gibt es so was wie "Sicherheits Hinweise" im Projekt freetz?
 
Trunk verwendet openssl 0.9.8zh/1.0.1q, also kein Problem. 2.0 stable wird nicht mehr gepflegt.
 
Naja, ich bin eigentlich nicht betroffen auf Grund der Wahl meiner Firewall. Mein Beitrag war nur als Hinweis
auf sicherheitsrelevante Aspekte im Projekt freetz gedacht.

Insofern ist die Aussage, daß 2.0 stable nicht mehr gepflegt wird, schon nützlich
und sollte auch dem potentiellen Nutzer so dargestellt werden.
 
Nur hat das mal rein gar nichts mit der Wahl der Firewall zu tun!
 
Da ich z. B. OpenVPN reingefreetzt auf FB XYZ nicht verwende auf Grund der Auswahl meiner Firewall, bin ich nicht vom Umgang des Projektes freetz
mit sicherheitsrelevanten Updates betroffen.

Der potentielle Nutzer von freetz sollte allerdings von den Entwicklern, denen ich hiermit meine Hochachtung für ihre unermüdliche Arbeit ausspreche,
auf diesbezügliche Risiken hingewiesen werden. Ist nur meine bescheidene Meinung.
 
Egal welche Firewall Du nutzt, selbst Deine "Auswahl", schützt Dich nicht vor SSL Lücken in genutzten Bibliotheken von anderen Anwendungen. Und openVPN in pfSense war genauso betroffen.
 
Das Problem ist doch der Umgang der Projektentwickler von Router-, Firewall-Software mit Sicherheitslücken, die es auch in Zukunft geben wird.

Also:

Welche Löcher wurden in Version xyz gestopft? Das sollte dem Nutzer mitgeteilt werden.
Ist nur meine bescheidene Meinung.
 
Zuletzt bearbeitet:
Einen Schuldigen findet man immer. Aber das wäre für mich zu allererst der Anwender, denn wer sich auf ein selbstgebautes Projekt einlässt, trägt auch die Verantwortung. freetz stellt keine fertigen Binaries bereit. Es ist nicht mehr als ein Werkzeug, der build Prozess ist beim Anwender.

Wenn man dann noch weiter ausholen möchte wäre als nächstes die Frage warum der Quellcode für die mit Lücken behafteten Bibliotheken nach wie vor zugänglich sind. Wäre er es nicht oder zumindest verschoben wäre schon einmal ein Download nicht möglich (vor lokalen Kopien schützt das nicht).
 
Ich stimme zu, daß der Anwender des Projektes freetz mit Verantwortung die ihm zur Verfügung gestellten Mittel nutzen sollte. Das wird ihm keiner abnehmen.
Das trifft natürlich auch auf den Anwender der Firewall Appliance YXZ zu. Da kann die Entwicklergruppe noch so diszipliniert arbeiten.

Mein Anliegen ist eher die Notwendigkeit der Bereitstellung eines Mindestmaßes an Informationen
bzgl. Entwicklungsstand, Entwicklungsfortschritt (incl. Behebung von Sicherheitsrisiken).

Transparenz in diesen Dingen schadet doch nicht!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 473 (Mitglieder: 25, Gäste: 448)

Neueste Beiträge

Statistik des Forums

Themen
246,730
Beiträge
2,256,550
Mitglieder
374,744
Neuestes Mitglied
Jerry8
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück