[Info] FRITZ!Box 7390 Version FRITZ!OS 5.50 (84.05.50) vom 12.12.12

[RudatNet]

Bitte sehr:

BusyBox v1.19.3 (2012-10-12 14:52:09 CEST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.

Usage: busybox [function] [arguments]...
   or: busybox --list[-full]
   or: function [arguments]...

        BusyBox is a multi-call binary that combines many common Unix
        utilities into a single executable.  Most people will create a
        link to busybox for each function they wish to use and BusyBox
        will act like whatever it was invoked as.

Currently defined functions:
        [, [[, arp, arping, ash, basename, brctl, bunzip2, bzcat, bzip2, cat,
        chgrp, chmod, chown, chroot, cmp, cp, cut, date, dd, df, dirname,
        dmesg, dnsdomainname, du, echo, egrep, env, ether-wake, expr, false,
        fgconsole, fgrep, find, flock, free, ftpget, ftpput, getopt, grep,
        groups, gunzip, gzip, halt, hostname, id, ifconfig, ifdown, ifup,
        inetd, init, insmod, iostat, ip, ipaddr, ipcs, iplink, iproute, iprule,
        iptunnel, kill, killall, killall5, ln, login, logname, ls, lsmod,
        md5sum, mkdir, mkfifo, mknod, mkswap, modprobe, more, mount, mpstat,
        mv, nbd-client, nc, netstat, nice, nohup, nslookup, passwd, pidof,
        ping, ping6, pivot_root, pmap, poweroff, printenv, printf, ps, pstree,
        pwd, pwdx, readlink, realpath, reboot, renice, reset, rm, rmdir, rmmod,
        route, sed, seq, setconsole, setserial, sh, sleep, smemcap, sort, stat,
        stty, swapoff, swapon, switch_root, sync, sysctl, tail, tar, tee,
        telnetd, test, tftp, time, top, touch, tr, traceroute, true, tty,
        ubimkvol, ubirmvol, ubirsvol, ubiupdatevol, umount, uname, uniq, unxz,
        unzip, uptime, vi, wc, wget, whois, xargs, xz, xzcat, zcat

 

[eisbaerin]

Ich danke dir noch einmal ganz herzlich.

 

[DDD]

- ein "Deep"-Link wie https://[dein.dyndns]/cgi-bin/system_status geht jetzt sogar ohne jede Abfrage, wtf?

Was ist an dem System Status denn so schlimm und geheim?! Sehe da jetzt keine geheimen Infos oder möglichkeiten
die Box anzugreifen.
Oder gibts da noch schlimmere Links?

 

[JoeMiller2]

Es geht nicht nur um den System-Status. Auch andere Erweiterungen wie das beliebte Fritz!Load sind betroffen. Unter http://[IP]/cgi-bin/fritzload/gui_download.cgi?i=1 kann dir dann jeder beliebige Downloads eintragen, falls der Remote-Zugang aktiviert ist. Wenn dann was strafrechlich relevantes auf deiner Box landet, dürftest du ein ziemliches Problem haben.

 

[DDD]

Aber wenn man keine externen Addons nutzt dann kann nichts passieren?


Edit: Ich habe zu dem Downloadspeedeinbruch bei VDSL folgende Antwort von AVM bekommen:

Es ist schade, dass Ihre FRITZ!Box 7390 nach dem Firmwareupdate nicht mehr
zuverlässig funktioniert.

Bitte führen Sie folgende Maßnahmen durch.

http://service.avm.de/support/de/SK...windigkeit-an-als-mit-DSL-Anbieter-vereinbart

 

[HabNeFritzbox]

Die Standard FW hat kein Fritz!Load, daher hier falsches Thema was Lücken oder Feedback angeht.

Was soll der SKB Link bringen von AVM?
FW updaten? Lustig, dadurch ist Fehler doch erst entstanden.
"Störsicherheit zurücksetzen" wenn Werte nicht verändert wurden?
Verkabelung überprüfen? Die ändert sich durch ein FW Update nicht.
Und alten DSL Treiber haben wir hier doch auch schon probiert, bringt nichts. Lösung ist also weiterhin nur Downgrade, leider.

 

[DDD]

Was der bringen soll weis ich auch nicht, aber wenn man den Fehler neu meldet kann man schon mal sagen man hat das schon alles gemacht.

 

[mattberlin]

Nach nun langer Laufzeit bin ich der Meinung, dass im Bereich Priorisierung des Internetdatenverkehrs bei dieser Firmware einiges richtig schief läuft.

 

[DDD]

Auch mit deinem externen DSL Modem?

Ich sollte hier mal mal ein externes Modem testen:
http://service.avm.de/support/de/SK...windigkeit-an-als-mit-DSL-Anbieter-vereinbart

6 DSL-Geschwindigkeit mit anderem DSL-Modem testen

Wichtig:
Testen Sie das andere Modem zeitnah zur FRITZ!Box, damit der Test unter gleichen Bedingungen stattfindet.

Entfernen Sie die FRITZ!Box vom DSL-Anschluss.
Schließen Sie ein anderes DSL-Modem am DSL-Anschluss an.
Testen Sie, welche Geschwindigkeit Sie mit dem anderen DSL-Modem erreichen.

 

[dieguteFrauWaas]

Auch mit deinem externen DSL Modem? ...

Wenn es um das Downloadbandbreitenproblem bei Telefonieren geht: Externes Modem schon getestet.

Zum Aufruf des Downloadbandbreitentests beim Telefonieren und Öffnen eines AVM-Supportfalles gibt es schon 6 hier bekannte Tickets ... da geht doch noch bestimmt mehr, Leute!

 

[andilao]

Was ist an dem System Status denn so schlimm und geheim?!

Man kann ohne jegliche Zugangsdaten, also ohne HTTPS-Authentifizierung, ohne Kennwort, ohne Session-ID ... den Systemstatus abfragen, neben dem (kleinen) Einbruch in die Privatsphäre könnte genau das ein möglicher Angriffspunkt werden. Und ein Loch bleibt ein Loch und hat man erst einmal den Fuß in der Tür, kommen meist noch andere zum Vorschein. Was da gefunden wurde, sind ja nur Symptome und möglicherweise die Spitze eines Eisberges.

Und ob Du immer noch "Was ist ... denn so schlimm und geheim" schreibst, wenn Deine 1&1-Telefonrechnung 1-2 kEuro höher ausfällt, diesmal ohne Kulanz?

 

[DDD]

Ja, könnte würde hätte müsste, is schon klar dass das nicht schön ist, ich wollte ja nur wissen ob ich beim systemstatus irgendwas übersehen habe was
evtl. noch schlimmer ist, als das was ich dort gesehen habe. Und ob es schon andere bekannte Angriffspunkte gibt die man ausnutzen kann (wenn man keine
Addons nutzt).

 

[PCMor]

Man kann ohne jegliche Zugangsdaten, also ohne HTTPS-Authentifizierung, ohne Kennwort, ohne Session-ID ... den Systemstatus abfragen (...)

Sorry, ich kann bei mir die von dir angegebenen Lücken nicht nachvollziehen: beim ersten deiner in Posting #740 angegebenen Links erhalte ich lediglich eine unformatierte Textzeile mit Angabe des FB-Modells und Firmwareversion, beim zweiten wird eine fehlerhafte URL zurückgegeben, die in Opera zum Anzeigen einer leeren Seite in einer sich wiederholenden Schleife und in Firefox zu einem einzelnen, aber ebenso nutzlosen Ergebnis führt.

Was müsste ich denn tun, damit ich diesen Fehler nachbauen kann? Sind's vielleicht einfach nur Cookies, Browercache oder sonstwas in der Art?

 

[andilao]

Textzeile mit Angabe des FB-Modells und Firmwareversion

Das ist korrekt, sollte aber nicht zum Allgemeinwissen des gesamten Internets werden. Bisher wusste nur mein SIP-Provider "AVM FRITZ!Box Fon WLAN 7390 84.05.50 (Dec 11 2012)" und jetzt alle? Mit /cgi-bin/webcm? komme ich selbstverständlich zu einem Login (danach zum HTTPS-Login), wenn allerdings die hyperaktiven Browser bei nicht gefundenen Links aus fritz.box www.fritz.box machen, bevor die Fritzbox ihn umleiten kann. Man nehme dann die IP-Adresse.

Mein mir vorschwebendes Szenarium für puren Schabernack wäre:
- DOS auf systemstatus oder einen cgi-bin-Link bis die Box absemmelt, was ja bei dieser FW nicht so schwer sein dürfte ;-)
- Rücksetzen (Wiederherstellen der Werkseinstellungen) der Box am einfachen Login. yippie!

 

[mega]

Rücksetzen der Werkseinstellungen nach dem absemmeln bringt ja nicht so viel...
Hat man die Werksresetet, kommt man ja von außen nicht mehr drauf, weil die dann nicht ins Internet kommt.

Ist also vorallem ärgerlich für den Besitzer, aber dem Angreifer bringts nichts.

 

[HabNeFritzbox]

Der DoS wäre mit jedem erreichbaren Dienst möglich, also auch bei VoIP, FTP ect.

Zurücksetzen kann der gerne anklicken, gibt es halt eine Meldung, dass Box einmal vom Strom getrennt werden muss weil die 10 Minuten abgelaufen sind.

 

[andilao]

@mega: Daher nannte ich es auch "puren Schabernack".

Hiermit möchte ich offiziell anzweifeln, dass eine unvorhergesehen abgesemmelte Fritzbox wissen soll, dass sie nicht vorher vom Stromnetz getrennt wurde.

 

[PCMor]

Mit /cgi-bin/webcm? komme ich selbstverständlich zu einem Login (danach zum HTTPS-Login), wenn allerdings die hyperaktiven Browser bei nicht gefundenen Links aus fritz.box www.fritz.box machen, bevor die Fritzbox ihn umleiten kann. Man nehme dann die IP-Adresse.

Kann's immer noch nicht nachvollziehen: bei mir kommt keinerlei Login, sowohl Opera als IE9 wiederholen sich 'nen Wolf beim Versuch etwas anzuzeigen, FF versucht's einmal, bei allen dreien bleibt bei mir aber der Bildschirm leer, sowohl bei Aufruf per https, als auch ohne, egal ob DynDNS-Name oder interne IP...

Kann das mit MyFritz zusammenhängen? Nutze ich nämlich nicht.

 

[mattberlin]

@DDD
Ja, auch mit meinem externen Modem. Ich hab extra zum Vergleich eine Strippe quer durch die Gegend gezogen und das interne Modem probiert: kein Unterschied.

In meinem Fall hat die Box einen Upload auf den Onlinespeicher gemacht. Ein paralleles Telefonat war abgehakt. Ein paralleler Download nutzt die Downloadkapazität nicht voll aus. Es ist zum wiederholten Male offensichtlich, dass ein Upload zu sehr priorisiert wird, so dass die nötigen Bestätigungspakete nicht gesendet werden.
Das hat vor vielen Jahren bei einer 3050 deutlich besser funktioniert.

 

[mega]

Hat hier sonst keiner das Problem, das sich IP-Gigasets nicht mehr registrieren?
Hatte daher direkt wieder das letzte Labor drauf. Und da heute ein neues IP-gerät eingerichtet und jetzt hab ich da das gleiche Problem.
Es betrifft nur das C610 A IP. Grandstream und Baudisch gehen.