[Problem] Freetz auf 7390 mit 6.03 Callmonitor TCPdump und Dropbear. Große Stabilitätsprobleme

[R0cket]

Hallo,



ich habe versucht gezwungenermaßen auf die aktuelle Firmware 6.03 zu aktualisieren, wegen der Sicherheitslücke in den älteren Firmware Versionen.

Das Problem ist, dass die Firmware total instabil ist. Mal rebootet die FIrmware bei eingehenden Anrufen, mal bricht die W-LAN Verbindung ab usw.

Alles was ich brauche ist die aktuellste Frmware mit Freetz und den Paketen Callmonitor, TCPDump und Dropbear.

Ich versuche jetzt schon seit mehreren Tagen durch Trial and Error dahinter zu kommen, welche Option ich AUswählen bzw. abwählen muss, um eine stabile Firmware zu bekommen.

Neben der Auswahl der drei Pakete versuche ich über Removal Patches die Firmware klein genug zu bekommen, dass die Größenlimits eingehalten werden.

Daneben habe ich auch Versucht die Pakete auf den USB SPeicher, oder den NAND Speicher auszulagern.

AN der Problematik mit der Stabilität ändert dies jedoch nichts.

Ich muss daher gezwungenermaßen mit der unsicheren 5.53 arbeiten, weil diese FIrmware noch stabil läuft.

Kann jemand helfen. Hat jemand die aktuelle firmware mit den drei Paketen ohne Stabilitätsprobleme am laufen?

Welche Patches muss ich wählen bzw. nicht wählen, damit alles problemlos läuft. EVtl. Kann jemand eine Firmware mit den drei Paketen bereitstsellen, sofern das hier erlaubt ist. Ansosnten würde ich die Firmware selber compilen. Nur wie bekomme ich eine stabile Firmware hin?

Danke für die Hilfe!

 

[olistudent]

Dann fang doch mal ohne die 3 Pakete an und schau, ob die Firmware stabil läuft. tcpdump kann man ausschließen, da das nur läuft, wenn du es aufrufst. dropbear lässt eigentlich nicht die Box neu starten. Bliebe noch der callmonitor...

Gruß
Oliver

 

[R0cket]

An den drei Paketen liegt es nicht.

Es liegt an den Removal Patches, oder dem auslagern einzelner Pakete.

Denn die 6.X Firmwares sind auch schon ohne irgendwelche Pakete mit Freetz zu gross und mann muss Removal Patches nutzen.

Während die 5.X Firmwares damit ganz gut klar kommen, muss man bei den 6.X Firmwares mehr Removal Patches nutzen und dann fängt das Problem an.

In der 5.X FIrmware lösche ich nur den Assistenten und alles ist OK.

In der 6.X muss ich auch noch FEHM löschen, damit es für das Größenlimit reicht. Dann aber mangelt es schon an der Stabilität. Und das auch, wenn ich FEHM oder andere Removal Patches nicht nutze und einige Pakete auslagere. Auch dann habe ich Stabilitäts Probleme.

Das ist die Zwickmühle.

Wenn ich keine Removal Pataches nutze oder die Pakete nicht auslagere, ist die Firmware zu groß. Wenn ich aber die removal patches nutze oder die Pakete auslagere, ist die Box total instabil.

Mit der 6.X Firmware komme ich auf keinen grünen Zweig. Und dank den Riesen Bock den AVM mit der Sicherheitslücke geschossen hat, ist ein Update zwingend geworden. Wenn das Sicherheitsupdate nicht wäre, würde ich überhaupt nicht updaten.

 

[olistudent]

Aber die 6.X Firmware ohne Freetz läuft stabil?

 

[R0cket]

Ja! Nur 6.X läuft OK.

 

[df8oe]

...und genau DAS ist das Problem, warum ich nicht auf die aktuelle FW wechseln möchte. Ich habe so viele Module zusätzlich gebaut und eingebunden - wenn das schon bei Dir bei so kleinen Änderungen instabil wird... Ich brauche auch die neuen Features nicht.

Natürlich möchte ich auch kein Sicherheitsproblem. Deswegen ist meine FB "nach Aussen" nicht mehr offen, ich habe die Ports woanders hingelegt, die default-ip 169.xxxx gibt es auch nicht mehr, die Domain fritz.box weist ins Nirwana. Besser würde ich mich fühlen, wenn ich wüsste, welche Dateien ich aus der neuen FW in die alte kopieren müsste, um das Loch zu stopfen anstatt Tannen drumherum zu pflanzen.

Aber da kommt der Interessenkonflikt ins Spiel:
- die Leute, die soweit sind wie ich, werden ausgebremst, wenn die (bekannte) Lücke nicht genauer bezeichnet wird. In der Hoffnung, dass die, die "keine Ahnung" haben und noch nicht upgedated haben, keiner Flut von "bösen Jungs" gegenüberstehen. Aber irgendwie ist die Lücke ja bekannt - es wird also nicht mehr lange dauern, bis sie sogar via google zu finden sein wird. Müssen die "guten Jungs" solange auf die Lösung warten, was sie verändern müssen??

Bei Open-Source sieht die Vorgehensweise bei Vorhandensein einer Vulnerability anders aus

Gruß
df8oe

 

[R0cket]

DIe AVm Firmware ist doch Open SOurce.

Ich dachte immer, der Vorteil von Open Surce sei, dass alles transparent sei und jeder auf Lücken hinweisen und beheben kann.

Scheint wohl doch nicht der Falll zu sein.

Das die AVM Firmware trotz Open Source wohl seit Jahren eine eklatante Lücke hatte, ohne dass es jemanden aufgefallen ist, zeigt wie hilflos man ausgeliefert ist.

Ich denke, dass auch nach dem Patch man sich nur auf sein Glück verlassen muss, dass Hacker einem nicht ins Visier nehmen.

Denn Sicher ist man auch nach dem Update nur solange bis die nächste Lücke entdeckt wurde.

Ob mit oder ohne Patch SIcher ist man genauso gut oder schlecht wie vorher auch. Daher zunächsteinmal kein Update für mich. Ich werde erstaml das automatische aufladen meines Prepaid Voip Accounts abstellen, so kann ich Fall der Fälle den Schaden begrenzen.

 

[donaldd13]

... ist aber tröstlich, daß ich nicht der einzige mit diesen Problemen bin.

 

[RalfFriedl]

AVM Firmware im allgemeinen war noch nie Open Source. AVM verwendet einige Open Source Programme, geben aber Quelltexte nur für den Text heraus, wo sie es unbedingt müssen, und auch da oft reichlich spät.

 

[R0cket]

Über die genaue Definition will ich mich nicht streiten.

Für mich als Amateur ist wichtig, dass ich die Firmware erweiteren kann und das "Builden" der Firmware sieht für mich aus wie SOurce Code compilieren und ich komme mir sehr l33t dabei vor. Jedenfalls ist die Fritzbox im Gegensatz zu anderen Routern näher an Open Source als andere Router.

Wichtig ist mir, dass die Box tut was ich will und ich nicht meinen IT Infrastruktur jeden der in meiner Reichweite ist oder meine IP Kennt offenbaren muss.

Ich dachte, als ich die Fritzbox gekauft habe, dass ich das richtige getan habe, aber bei dem Bock den AVM jetzt geschossen hat, erweist sich dass nun als falsch.

Das ist sehr ärgerlich.

Noch ärgerlicher ist, dass ich die Lücke nicht schließen kann, ohne die Funktionalität des Routers auf die eines ramsch routers herunterzustezn.

Ohne die Freetz funktionalität, kann ich auch meinen 10 Jahre alten T Sinus router auspacken und hätte mir keinen 200 € Router anschaffen brauchen.

Durch diese Sicherheitslücke hat sich der Wert der Fritzbox für mich schlagartig nahezu auf null verringert oder ich muss damit leben, dass jemand mein Netzwerk missbraucht.

Schöner Mist!



@ donaldd13: Hast du auch Stabilitätsprobleme? Welche Pakete brauchts du und welche Removal Patches verwendest du?

 

[df8oe]

Richtig - man kann und braucht sich nicht darüber streiten ob es Open-Source ist oder nicht:

ES IST KEINE OPEN-SOURCE.

Open-Source bedeutet, dass die Quellen zu ALLEN TEILEN frei verfügbar sind und auch tatsächlich verfügbar sind (!!!).

Beides ist bei AVM nicht der Fall.

Lediglich die Tatsache, dass AVM das Linux-System nicht "völlig entstellt" hat, ist die Begründung, dass es sowas wie FREETZ überhaupt geben kann. Beim Bauen des Freetz-Images wird kein einziges Binary des AVM-Originalteiles neu kompiliert - das sind alles die Erweiterungen von Freetz, die für die Prozessorarchitektur der FB neu gebaut werden. Und eingebunden werden sie an Stellen, die sowieso in Linux vorhanden sind. So ist es z.B. nicht möglich, ein neues Kernelmodul für die FB zu bauen - weil niemand weiss, wie weit der Kernel von AVM schon gepatcht (oder sollte ich lieber "tainted" sagen?) wurde.

Der Kern ist auf jeden Fall:
Es gibt schon gute Jungs, die die Lücke kennen. Sie wüssten, welches cgi das Scheunentor öffnet. evtl. ist es möglich, das zu fixen, indem man nur dieses eine cgi austauscht. Evtl. auch gleich ein paar mehr - sie wissen es, aber ausser ihnen nur noch ein paar "böse Jungs".

Jetzt stellt sich die Frage: wo verbreitet sich "des Pudels Kern" schneller: unter den bösen Jungs oder unter den guten Jungs?

Wäre die FW von AVM Open-Source, wäre der Fehler schon längst entdeckt worden. Weil irgendein Freak irgendwas modifizieren wollte, und dabei wäre ihm die Stelle aufgefallen.

In der "kommerziellen Software-Welt" gilt nach wie vor die Regel: "Was andere noch nicht herausgefunden haben, das braucht man nicht breitzutreten oder zu fixen. Erst, wenn das Kind im Brunnen liegt, wird gehandelt...

Gruß
df8oe

 

[R0cket]

Es ist zum Glück die 84.05.54 rausgekommen.


Habe seit gestern diese Version mit dem aktuellen Freetz laufen und alles läuft wie es soll.

Und ich hoffe das bleibt auch so.

Mit der 6.03 habe ich trotz mehrwöchiger Experimente es nicht geschafft eine akzeptable Firmware zu bauen.

Wenn die Firmware stabil läuft, wird zumindest der USB STick nicht eingebunden und das ob mit oder ohne freetz. Total ärgerlich ist das.


Ich bleibe erstmal bei der nun hoffentlich sicheren und stabilen 84.05.54.

 

[donaldd13]

Wo wurde die sichere 84.05.54 veröffentlicht?

 

[qwertz.asdfgh]

Auf dem AVM Server.

edit
Na gut, ich bin mal nicht so:
ftp://service.avm.de/Downgrade/FRITZ!Box_7390/

 

[zaptac]

Hast Du mal die Labor Firmware probiert? Die 6.03 machte bei mir massive Probleme hinsichtlich der Internetverbindung.

Seit 23.02. läuft 06.04-freetz-devel-11805 stabil und ohne Mucken. Ich habe auch wegen der Platzproblematik alle möglichen Removal-Patches drauf.

 

[R0cket]

Ja das mit dem Platz habe ich hinbekommen, indem ich Chronyd und TSR69 oder so ähnlich entfernt habe.

Und auch das mit den reboots scheint mitlerweile OK zu sein.

Mein aktuelles Problem ist weiterhin, dass der USB Stick nicht erkannt wird. Die Firmwares vor der 6.X haben alle keine Probleme damit.

Beta habe ich bisher noch nicht probiert, da ich davon ausgehe, dass die mehr probleme machen, wenn noch nichtmal die stable vernünftig läuft.