[Info] FRITZ!Box 7490 Labor-Firmware 06.69-40929 (02.09.2016)

Status
Für weitere Antworten geschlossen.
Ich weiß zwar nicht wie ihr testet, fakt ist es gibt Downstream Aussetzer (von AVM sogar bestätigt).
Wie soll dabei IPTV/HbbTV vernünftig laufen :confused:.
Sogar mein INet-Radio hat Aussetzer, ist zwar ein wenig besser geworden aber es nervt.
Und ja, mit der Release 06.60 gibt es diese Probleme nicht.
 
Wieso nervt Dich das??? Du musst ja nicht für AVM das Versuchskarnickel spielen und denen ihre eigentlich Arbeit unentgeltlich abnehmen! Ich habe in meiner raren Freizeit wahrlich besseres zu tun. Außerdem bekommst von denen eh keinen Dank - oder hat hier schonmal jemand etwa ein Wort des Dankes gelesen? Würde ich mir mal ehrlich ein paar Gedanken drüber machen...
 
Mich nerven die Aussetzer des INet-Radio.
Und natürlich Kommentare "hier alles gut" oder keine Probleme ohne es wirklich getestet zu haben.
Ich weiß wann es ein Problem gibt und wann nicht, außerdem kann ich zwischen drei Boxen switchen.
Leider sind die Power FRITZ!Boxler ja hier (bis auf einer Handvoll) ausgestorben :-(
 
Wotan-Box, gerade die Nachrichten auf N-TV geschaut, mit einem Tablet, ohne Probleme.
(Mit VLC, wichtig Hardwarebeschleunigung aus)
Probier doch mal den Media-Receiver bei den Echtzeitanwendungen einzutragen, vielleicht hilfts :)
 
Ich kann das genauso bestätigen. Ich habe gestern die Labor 'rauf gemacht und umgehend meine zuvor (mit 6.60) einwandfreien spielenden SONOS wieder eingeschaltet -> selbe Effekt wie bei den anderen Labor Versionen der 6.69er!
Zwar nicht mehr so doll und häufig wie vorher, aber dennoch störend. Nach ca. 10min bin ich auch gleich wieder zurück auf die Release und alles wieder gut.
Eins ist mir noch aufgefallen -positiv-, beim einspielen dieser Labor-Version brauchte ich keine DECT Geräte neu anmelden. Beim Rückspielen der Einstellungen in die Release mußte ich die C5 nicht, aber die Gigasets hingegen schon wieder neu anmelden.

Also bin der Meinung, das in dieser Labor Reihe irgendwie voll der Wurm drin ist. Hatte ich schon lange nicht (mehr) und ich bin gerne Labor-Tester...
 
VLC und diverse Media-Player interessieren mich überhaupt nicht.
Es geht hier um IPTV/HbbTV am Samsung/ Pioneer TV, Mediathek von ARD/ZDF & co.
Box Hardware kann ich auch ausschließen, drei 7490 mit unterschiedlichen Herstellungs Jahren (2014-2016).
 
Zuletzt bearbeitet:
Also, hier läuft gerade Inernetradio Arabella Classic Rock und nur zum testen für dich ;) die Sendung mit der Maus (ohne Ton) über ein Samsung TV, wirklich ohne Aussetzer.
 
An welcher DSL/VDSL Leitung hängst du??? WLAN oder LAN ???
Ich habe hier nur 13.615 kbit/s auf der Leitung (nicht viel zum Puffern).
 
VDSL 50, das TV ist über WLan verbunden, hängt an einem 1750e. Internetradio läuft über einen Denon AVR-X 1100W der über Lan angebunden ist.
Als Software für I-Radio benutze ich AVM Mediaserver, meist über ein Fritzfon, aber wie schon gesagt , abgespielt wird über den Denon.
 
oder hat hier schonmal jemand etwa ein Wort des Dankes gelesen?
Hier, hier (schnips) ... ich.

Ich habe tatsächlich schon E-Mails von AVM erhalten (ich könnte es auch "beweisen"), die mit den Worten
vielen Dank für Ihre PGP-Verschlüsselte Email.
begannen.

Da kannst Du nicht meckern ... zu weiterem Gedankenaustausch muß das aber auch noch nicht zwangsläufig führen; jedoch den Vorwurfs des "Undanks" kann man so eigentlich nicht stehen lassen.

Wenn die Leute "in der Entwicklungsabteilung" die E-Mails dann nicht lesen, kann auch niemand sich beschweren ... denn die bleiben ja weitgehend "im Dunklen". Man kann zwar an einigen wenigen Stellen ein paar "Benutzernamen" aus Pfadangaben extrahieren, aber ansonsten werden die schon gut abgeschirmt und wenn so eine Mail dann nicht versehentlich tatsächlich beim richtigen Bearbeiter landet, bin ich mir teilweise nicht einmal mehr sicher, ob die überhaupt gelesen werden.

Nach 3-4 weiteren Nachfragen zum Stand der Bearbeitung so einer Meldung (in aller Regel kriegt man eine "Incident-Nummer", damit man sich auf irgendetwas beziehen kann) erhält man auch eine weitere (leider meist auch ausweichende bzw. ziemlich windelweiche) Antwort, auch da brennt nichts an.

Bei meinen E-Mails an AVM bzgl. irgendwelcher Sicherheitsprobleme bin ich entweder von Beginn an so ausführlich und präzise, daß die geschilderten Probleme ohne weiteres nachvollzogen werden können oder es dauert tatsächlich extrem lange, bis die bei AVM dann mal "durchdringen". Ich habe jedenfalls (wenn ich mich richtig erinnere) noch zu keiner einzigen Meldung eines Sicherheitsproblems nach dem April 2015 eine Nachfrage von AVM erhalten.

Irgendwann hatte ich dann mal die Nase voll und habe meinerseits an die Stelle ständiger "Nachfragen" die einmalige Feststellung gesetzt, daß ich innerhalb von 4 Wochen nach Meldung so einer Lücke eine Bewertung erwarte, seitdem kommen die (mehr oder weniger aussagekräftig) dann auch zurück. Die Kommunikation bei der (unaufgeforderten) Meldung von Sicherheitsproblemen steckt bei AVM definitiv noch in den Kinderschuhen ... aber das wird ja vielleicht noch.

Beispiel:
- Meldung eines Problems an AVM am 02.06.2016 per E-Mail
- Antwort von AVM (mit einem oben zitierten "danke") am 03.06.2016, mit dem folgenden Text:
Sehr geehrter Herr XXX,
vielen Dank für Ihre PGP-Verschlüsselte Email. Ich habe Ihr Anliegen unter
Incident-ID: #nnnnnn erfasst und Ihre Daten und Informationen an die AVM
Entwicklungsabteilung zur Prüfung weitergeleitet.
Ich melde mich bei Ihnen wieder, sobald mir Informationen vorliegen.
- dieser Text ist vermutlich ein Baustein, ich habe ihn in exakt derselben Formulierung von zwei verschiedenen AVM-Mitarbeitern vorliegen und auch mehr als einmal
- dann zwei Wochen "bedeutungsschwere Stille"
- nach 14 Tagen (20.06.) habe ich die Spannung dann kaum noch ausgehalten und einfach einmal nachgefragt, wann denn nun "Informationen vorliegen" würden.
- am 24.06. dann gleich noch einmal, da die erste Nachfrage nicht einmal mehr einer Eingangsbestätigung für würdig befunden wurde
- auf diese Nachricht erhielt ich dann (noch an demselben Tag, denn ich hatte noch vormittags geschrieben) folgende Antwort:
Sehr geehrter Herr XXX,
vielen Dank für Ihre erneute Nachfrage.
Ich kann Ihnen mitteilen, dass der Issue zu Incident #nnnnnn im kommenden
Major-Release gefixt sein wird. Wir planen das Release ca. Q3/2016.
Auch hier ist also der Dank keineswegs zu kurz gekommen, auch wenn er sich halt auf meine hartnäckigen Nachfragen und nicht auf die Meldung (und Geheimhaltung) einer potentiellen Lücke in der Firmware bezieht. Insofern stimmt es auf der anderen Seite tatsächlich, daß sich AVM grundsätzlich zwar für "die Post" bedankt (auch die Support-Mails werden bestimmt einen passenden Textbaustein enthalten), aber eine Kommunikation mit den Leuten, die in ihrer Firmware Sicherheitsprobleme entdecken (oder auch generelle Fehler aufzeigen) und diese an AVM melden, ist offensichtlich weder erwünscht noch findet sie wirklich in nennenswertem Umfang statt.

Nicht daß jetzt jemand denkt, ich hätte aus den E-Mails von AVM irgendetwas Wichtiges unterschlagen ... danach kommt dann nur noch die Grußformel, der Name des Mitarbeiters oder der Mitarbeiterin und dann noch die Angaben im "Impressum" zur Firma - so knackig und präzise wird dort kommuniziert. Das nehme ich auch nicht übel, schließlich wurde vermutlich schon genug Zeit in die Lektüre des Posteingangs investiert und Zeit ist bei AVM wahrscheinlich ein äußerst knappes Gut (die haben wahrscheinlich auch nicht mehr als 24 Stunden pro Tag zur Verfügung).

Das war hier als Beispiel zwar nur ein kleineres Problem (der Jugendschutz der Firmware kann unter bestimmten Umständen ausgehebelt werden), aber auch bei größeren Problemen wird man eher als lästiger Bittsteller behandelt (wenn man dann gar noch wissen will, ob oder wann das gefixt sein wird, damit man es gefahrlos veröffentlichen kann) und von einer aktiven Kommunikation von AVM-Seite aus kann ich nichts berichten (zumindest nicht aus eigener Erfahrung).

Selbst eine Meldung eines eher schweren Problems (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:U/RC:U/CR:X/IR:X/AR:X/MAV:N/MAC:L/MPR:N/MUI:N/MS:U/MC:N/MI:N/MA:H) - der Text der Eingangsbestätigung vom 04.07. unterscheidet sich, mit Ausnahme der Nummer, tatsächlich nicht von dem oben bereits zitierten - am 02.07.2016 brachte bis zum 01.08. dann nichts anderes als "bleierne Stille" (ich schickte dann am 15.07. noch einen weiteren PoC hinterher, der das noch einmal eindringlicher demonstrierte) und dann kam die folgende Antwort (ich hatte deutlich verkündet, daß ich nach 4 Wochen ohne Reaktion meinerseits zur Veröffentlichung schreite, weil das vermutete Problem dann wohl nur ein Hirngespinst meinerseits war):
Sehr geehrter Herr XXX,
der von Ihnen gemeldete Punkt unter Incident-ID #nnnnnn wird aktuell noch
untersucht.

Sobald eine Einschätzung unserer Entwicklung vorliegt, melden wir uns
wieder bei Ihnen.
Inzwischen wurde mir am 10.08. (mit den Worten: "BTW: der Fehler wird mit dem nächsten geplanten Major Release behoben sein.") mitgeteilt, daß man sich des Problems anzunehmen geruhte. Allerdings ist das tatsächlich die einzige aktuelle E-Mail, in der dann einmal die Worte vorkommen:
Vielen Dank nochmals fur Ihre Meldung von Incident #515119.
Nun weiß ich zwar nicht (auch nicht nach der Kontrolle des gesamten Mailverkehrs zu diesem "Incident"), was da das Wort "nochmals" zu suchen hat, denn es war tatsächlich die erste Erwähnung eines "Dankes", die sich nicht auf den reinen Versand einer E-Mail bezog und das gilt ausdrücklich auch für die anderen vier offenen "Incidents" seit der ersten Meldung am 02.06.2016.

Fazit: Rein formal hast Du an dieser Stelle unrecht ... aber inhaltlich könnte man das tatsächlich so sehen.
 
Ich verstehe jetzt gar nix, bei mir hat die Box gleich diese Version als Update genannt:
screenshot.PNG
 
Was verstehst du da nicht???
Wenn du bei den offiziellen Labor-Version geblieben wärst hättest du jetzt die 929.
Du hast zur Zeit eine Entwicklerversion installiert.
An deiner stelle würde ich bei den offiziellen Labor-Versionen bleiben.
Das schreibe ich auch nur wegen deiner Verständnislosigkeit.
 
Ach so... Das heißt, die Updatefunktion erkennt das und schlägt auch nur diese vor?
Aha!
 
Ja, so ist es.

Nochmal zum Thema Aussetzer bei:
IPTV/HbbTV und INet-Radio, zur Zeit läuft es.
Geändert habe ich 5GHz WLAN (mit Band Steering) deaktiviert.
Alle Geräte im 2,4 GHz Netz.
Die Downstream Aussetzer sehe ich aber noch im Online-Monitor.
 
Zuletzt bearbeitet:
Mich nerven die Aussetzer des INet-Radio.
Und natürlich Kommentare "hier alles gut" oder keine Probleme ohne es wirklich getestet zu haben.

Und mich nervt es, wenn behauptet wird man hätte nicht getestet. :(
 
Wen es interessiert
ADSL-Treiber Version
1.100.8.11

Leider Sync immer noch fast 1Mbit weniger als bei der guten 7270v3
 
Kurz allgemein zum Dialog mit AVM:
Ich denke mal, dass AVM kaum eine Sicherheitslücke in einer Mail an eine Privatperson bestätigen wird, die dann auf einmal in die Presse gelangt. Da hat man sicher aus der Vergangenheit gelernt.
Vor 3 Jahren hatte ich mit der 7390 einen längeren Dialog mit dem Support wegen verlorener Pakete zwischen dem 2,4 und 5 GHz Port. Ich hatte dann immer die gleiche Ansprechpartnerin im Support. Diese habe ich sogar auf der Cebit persönlich getroffen, da sie dort Messestanddienst hatte. Support / Feedback durch AVM gibt es ja für die Laborversionen nicht. Das steht seit Jahren in jeder Laborversion drin. Es sind aber durchaus Fehler, die ich gemeldet hatte, ausgemerzt worden. In dieser Version habe ich einen Schreibfehler in einem Menü gefunden. Den habe ich gemeldet. Bin mal gespannt ob der wohl korrigiert wird.

Zum Sync-Verhalten: Die mehrfach täglichen Resyncs der 40766 Laborversion an meinem Broadcom VDSL100 Port sind weg. Die Stabilität entspricht jetzt der Releaseversion.
 
Zuletzt bearbeitet:
Ich denke mal, dass AVM kaum eine Sicherheitslücke in einer Mail an eine Privatperson bestätigen wird, die dann auf einmal in die Presse gelangt. Da hat man sicher aus der Vergangenheit gelernt.
Da kann ich die Überlegung gar nicht nachvollziehen ... wenn man lange genug insistiert, kriegt man ja die Bestätigung, daß ein beschriebenes Problem als solches erkannt, akzeptiert und behoben wurde.

Alles andere wäre auch schon blöd (auf Deutsch gesagt) - wenn AVM sich an der Stelle gar nicht äußern würde, gewinnen sie auch nichts.

Ich habe auch nie behauptet, daß sie überhaupt nicht reagieren würden, nur die Zeitspannen und die (für mich etwas rüde) Art der Kommunikation (es ist eben schon ein Ausdruck einer Geisteshaltung, wenn ein Anliegen weitergeleitet wird und kein Hinweis auf eine mögliche Schwachstelle in der Firmware) habe ich moniert, gepaart mit der Feststellung, daß man auf Dank in Bezug auf gemeldete Probleme lieber nicht (zumindest nicht immer, es gibt durchaus auch andere, positive Beispiele) hoffen sollte - ob das auch für "Labor-Probleme" gilt, kann ich nicht sagen, dort wird aber gleich von Beginn an klargestellt, daß man nicht mit einer individuellen Antwort rechnen sollte (das ist zumindest mal ehrlich, auch wenn bis vor kurzem ein Ansturm von Meldungen zu stets denselben Themen ja durchaus auch "hausgemacht" war, weil es die "Bekannten Probleme" auch noch nicht so lange gibt).

Trotzdem verblüfft mich die (hoffentlich nur zur Schau gestellte) Gelassenheit, mit der man Security-Meldungen dann ebenfalls erst einmal "etwas abhängen" läßt (selbst bei schweren Problemen), immer wieder aufs Neue.

Ich hatte mal im Rahmen des "webcm"-Problems die Theorie geäußert, daß es AVM problemlos auch gelungen wäre, eine rechtzeitige Meldung dieser Lücke erst einmal eine Weile liegen zu lassen ... das mag heute vielleicht nicht mehr gelten (es hat sich ja definitiv nach dem GAU etwas getan), nach meinen eigenen Erlebnissen zuvor mit dem Support (es gab ja nicht einmal eine spezielle E-Mail-Adresse für Security-Probleme und man mußte sich erst durch den "normalen Support" quälen, wo das ggf. auch mal versandete - auch das hat sich geändert) halte ich das definitiv nicht für ausgeschlossen.

Nebenbei ... wenn ein Hersteller sich auf eine solche Meldung absolut nicht rührt, dann landet das Problem am Ende auch in der Öffentlichkeit (eigentlich ja erst recht) und wenn es dann wirklich besteht und jeder es nachvollziehen kann, braucht es auch keine "Bestätigung" durch den Hersteller mehr, damit das durch die Presse geht - also bringt so eine "Verweigerungshaltung" auch eher Nachteile (vorausgesetzt ein Problem existiert und ist gravierend genug).

Das Vorgehen bei "responsible disclosure" verlangt gerade nach einem Dialog zwischen dem Finder einer Lücke und dem Hersteller - sonst kann es kaum funktionieren. Was das genau ist, erkläre ich jetzt nicht noch einmal, da gibt es notfalls auch ein Papier vom BSI, wo das recht anschaulich beschrieben ist und den ersten Satz im zweiten Absatz bei "Coordinated Disclosure" sollte man doppelt unterstrichen irgendwo aufhängen.

Ich kann sogar versichern, daß es auch schon Fälle gab, wo ein Problem zeitnah bestätigt wurde (und es sogar einen Dank für die Meldung des Problems und nicht nur für die Mail gab) und obendrein eine geänderte Firmware zum Test angeboten wurde, ob das Problem da tatsächlich gefixt ist (und es ging nicht darum, daß etwas nicht funktionierte, sondern um einen Angriff auf den Update-Mechanismus des FRITZ!OS).
Sehr geehrter Herr XXX,

vielen Dank für diese Meldung.
Wir konnten den Issue #nnnnnn nachvollziehen und haben das Problem intern
behoben.
Der Fix wird im kommenden Major-Release enthalten sein. Wir planen das
Release ca. Q3/2016.
Wir möchten Ihnen gerne eine Vorab-Firmware zur Verfügung stellen, mit der
Sie es verifizieren können.
Das ist ein positives Beispiel (nicht daß ich solche unterschlagen will) in Relation zu mehreren anderen - hier war die Rückmeldung dann tatsächlich schon am nächsten Werktag da und auch der Rest der "Erledigung" erfolgte recht zügig. Es geht also auch anders ... vielleicht muß das Problem nur brisant oder bekannt genug sein.

Ansonsten gibt es durchaus auch Handlungsempfehlungen des BSI zum Umgang mit Schwachstellen - das kann jeder selbst mit seinen Erfahrungen vergleichen, wie weit da was umgesetzt ist beim hier diskutierten Hersteller.

Ich finde da meine Erwartungen durchaus wieder ... sooo überzogen sind diese offenbar dann doch nicht. Ich habe auch keinerlei Berührungspunkte zu den Autoren dort und so ganz taufrisch sind diese Empfehlungen nun auch nicht mehr, daß man irgendwie auf den Trichter kommen könnte, das braucht alles noch etwas Zeit in der Umsetzung.
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,197
Beiträge
2,247,888
Mitglieder
373,755
Neuestes Mitglied
grdex
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.