Fritz!Box 6490 recovern

  • Like
Reaktionen: prisrak1
Das mit den AGBs war nur ein Scherz, zwischenzeitlich drehte sich der Thread mal um die Frage, ob Leihgeräte letztlich in das Eigentum des Leihers übergehen.

Nein, das repo kannte ich bisher noch nicht. Da muss ich mich gleich mal durchwühlen (oder es jedenfalls versuchen).

In Sachen Backup: Wenn ich mehrere einzelne mtds ziehen muss, kann ich damit durchaus leben. Solang das entsprechende zurückspielen dieser Abbilder/Dateien dann den Urpsrungszustand wiederherstellt. Hauptsache Backup ;).

NACHTRAG: Okay, ich habe mich da jetzt durchgewühlt und bin relativ zuversichtlich, dass ich das hinbekomme. Nur die Frage nach dem Backup konnte ich nicht vollständig klären. Wenn ich die erweiterten Supportdaten erstellt habe, ist darin das Backup (des TFFS...?) bereits enthalten? Von was muss ggf. noch ein Backup erstellt werden? Und letztlich: Wie spiele ich besagtes Backup notfalls zurück?
 
Zuletzt bearbeitet:
etwas suchen, einlesen, was wofür gut ist.. :)
und z.B.
 
Also die beiden Posts helfen mir leider erstmal nicht was das Backup angeht, außer ich hab was übersehen (mea culpa!).

Ich habe meine FB zwischenzeitlich erfolgreich mit 7.12 geflasht, ohne dass bisher irgendwelche Probleme aufgetreten wären.

Einziges Manko: Wenn ich jetzt das nächste Update "automatisch" (d.h. via WebUI) installiere, dann ist die alte FW für immer weg... Ich kann natürlich künftig jedes Update über FTP einspielen, aber das erscheint mir eine etwas unsinnige Lösung. Daher würde ich die alte FW gern außerhalb der FB sichern, und dann künftig Updates einspielen wie bei einem original AVM Gerät.
 
Wenn ich jetzt das nächste Update "automatisch" (d.h. via WebUI) installiere, dann ist die alte FW für immer weg...
Das ist so richtig. Welche Version ist denn da noch drauf? Wenn die eh schon veraltet ist, erledigt sich das Problem irgendwann von selbst. Oder ist die Box noch im Eigentum und am Anschluss des Verleihers, und du willst im Fall des Falles unbedingt den Ursprungszustand wiederherstellen? Dann stellt der Provider den Eingriff demnächst sowieso selbst fest und die Box wird ausgetauscht.
 
  • Like
Reaktionen: prisrak1
Es ist mehr eine "Vorsicht ist ist besser als Nachsicht" Geschichte. Ich vermute, dass ich die alte FW in der Tat nicht mehr brauchen werde, aber ein Backup zu haben kann natürlich nicht schaden. Man weiß ja nie ;). Außerdem interessiert es mich auch einfach zum Verständnis.
 
Mal eine dumme Frage: Auf einer FB 6490 war als OS 6.50 installiert. Laut Seriennummer wurde sie Ende 2015 produziert. Nach meiner Kenntnis wäre es also möglich, dass hier nur ein Download Zertifikat vorhanden war. Trotz Werksreset und flashen auf eine neue OS Version steht in den Support Daten für die Zertifikate immernoch "new/new". Heißt das nun in dem Fall, dass ich Glück habe, und die FB das Zertifikat persistiert gespeichert hat, oder wäre es möglich, dass das Zertifikat nun in Wahrheit futsch ist, aber die Supportdaten das nicht korrekt wiederspiegeln...?

Vielen Dank!
 
Die Angabe Fxxx sprich 2015 ist zu ungenau. Iirc wurden um die Jahresmitte (Juli/August) die Zertifikate new/new in den Bootloader gepackt. Von daher spiegeln die Angaben der Supportdatei wohl den Status korrekt wider.
LG
 
Zuletzt bearbeitet:
Konkret stammt diese FB aus der KW 50, also ist das dort ziemlich sicher OK. Besten Dank schonmal!

Es hätte mich aber auch einfach allgemein interessiert ob so ein Fall auftreten kann, sprich dass die Supportdaten schlicht fehlerhaft sind, weil sie davon ausgehen, dass das Download Zertifikat noch existiert. Programmtisch gesprochen: Wenn ich von old nach new gehe, geht der Umweg new->old dann auch (oder wurde sowas evtl. übersehen)? Evtl. ist die Frage aber auch hinfällig, z.B. wenn ein Download Zertifikat nicht als "new" in den Supportdaten aufgeführt würde.
 
Die Frage "old" oder "new" wird bei den Zertifikaten nur anhand des Speicherorts in den (CM-)Einstellungen entschieden.
Code:
CMSECPATH=/nvram/1/security
CMDLPATH=/nvram/1/security/download
if [ -f $CMSECPATH/cm_cert.cer ] ; then
   if [ "`readlink $CMSECPATH/cm_cert.cer`" = $CMDLPATH/cm_cert.cer ] ; then
      echo -n "CM certificate: new"
   else
      echo -n "CM certificate: old"
   fi
else
   echo -n "CM certificate: missing"
fi

if [ -f $CMSECPATH/cm_key_prv.bin ] ; then
   if [ "`readlink $CMSECPATH/cm_key_prv.bin`" = $CMDLPATH/cm_key_prv.bin ] ; then
      echo "/new"
   else
      echo "/old"
   fi
else
   echo "/missing"
fi

if [ -f $CMSECPATH/mfg_cert.cer ] ; then
   if [ "`readlink $CMSECPATH/mfg_cert.cer`" = $CMDLPATH/mfg_cert.cer ] ; then
      echo -n "MFG certificate: new"
   else
      echo -n "MFG certificate: old"
   fi
else
   echo -n "MFG certificate: missing"
fi

if [ -f $CMSECPATH/mfg_key_pub.bin ] ; then
   if [ "`readlink $CMSECPATH/mfg_key_pub.bin`" = $CMDLPATH/mfg_key_pub.bin ] ; then
      echo "/new"
   else
      echo "/old"
   fi
else
   echo "/missing"
fi
Während mit der alten Firmware erzeugte Zertifikate direkt nach "/nvram/1/security" geschrieben wurden (das war ja die Sicherheitslücke, daß der zum Signieren dieser CM-Zertifikate erforderliche private Schlüssel in der Firmware enthalten war und man daher jederzeit damit ein eigenes Zertifikat generieren konnte), wird - sowohl bei Download-Zertifikaten als auch bei "ab Werk" verbauten - das bei der anderen Variante unterhalb von "/nvram/1/security/download" abgelegt und nur per Symlink an den ursprünglichen Speicherort (wo der Rest der Firmware dann nach dem Zertifikat sucht) gelegt. Auch bei den fest eingebauten Zertifikaten sorgt ein Skript beim Start dafür, daß diese entpackt und in das "download"-Verzeichnis gelegt werden, wenn die vorhandenen Dateien nicht mit denen übereinstimmen, die im Bootloader-Konfigurationsbereich fest verankert wurden.

Ein "old" oder "new" gibt also nur Auskunft über die Organisation der Speicherung und nicht wirklich über den Inhalt des Zertifikats - wer es darauf anlegt, kann auch mit einem "old"-Zertifikat dafür sorgen, daß die Ausgabe in der Support-Datei weiterhin "new" lautet.

Um den Inhalt des Zertifikats zu testen (das ist im DER-Format gespeichert, also als ASN.1-Struktur in binärer Form), braucht es entweder ein Programm, was diese Struktur versteht oder man muß sie (per Shell-Code) Schritt für Schritt so weit auseinandernehmen, bis man den Hash des zum Signieren benutzen Zertifikats gefunden hat, den man dann mit dem des aktuellen AVM-Herstellerzertifikats vergleichen kann.
 
Okay, dann funktioniert es wohl ganz anders als ich mir das vorgestellt hatte... Danke, wieder was gelernt!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.