PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,300
- Punkte für Reaktionen
- 1,761
- Punkte
- 113
Wer jetzt tatsächlich dachte, das am Freitag noch einmal nachgeschobene Update auf die 42111 hätte das DNS-Problem beseitigt, der irrt:
oder auch noch einmal mit kürzeren Antworten, damit das Umschalten auf TCP nicht erfolgt:
Das war also vermutlich schon mal nicht der Grund für das Nachschieben. Dann glaube ich auch nicht so richtig daran, daß es bei der 7580 gefixt ist.
- Kennwort-Fehler beim Export ist weiterhin vorhanden.
- verwaiste Links in der Übersicht (MyFRITZ!-Freigaben)
- falsche externe FTP-Adresse im ersten Adressfeld nach Aktivierung und Änderung des Ports
- Kuddelmuddel bei Portfreigaben (imho) noch vorhanden, jetzt ein neuer Fehler - ein "Standardtest" als Beispiel:
- weiterhin keine Zugriffsbeschränkungen für den HTTP-Server auf Port 49200
- TFFS-Node 29 wird beim Start nicht mehr immer unbesehen extrahiert (geht doch - Incident-Nummer war die 480894), jetzt werden die zu entpackenden Dateien selektiv ausgewählt - damit ist diese Lücke endlich geschlossen; entpackt werden jetzt gezielt:
- die AVM-BusyBox entpackt aber immer noch Symlinks und schreibt Dateien, die sich danach im Tarball befinden, auch unter Nutzung so eines entpackten Symlinks irgendwohin
EDIT: Die Lücke zu 480894 ist tatsächlich schon mindestens seit der 41875 (also seit 14 Tagen) gefixt - wenn man die Leute dazu auffordert/zwingt, bei solchen Fixes gefälligst selbst in jeder neuen Version zu überprüfen, ob und wann man da etwas ändert, dann geht schon mal eine Änderung dabei verloren. Die 41756 zwischendrin habe ich gar nicht erst untersucht, weil drei Tage später schon die 41875 erschien - in der 41670 hatte ich noch getestet. In jedem Falle wird für keine der für den Fix in Frage kommenden Versionen auch nur mit einem Wort erwähnt, daß ein Sicherheitsproblem beseitigt wurde.
EDIT2: Es ist tatsächlich bereits in der 41756 vom 01.11.2016 beseitigt gewesen - zumindest der "Ansicht" nach, auf Wirksamkeit getestet habe ich es nicht nachträglich.
Code:
# dig @192.168.XXX.1 fritz.box.fritz.box. any
;; Truncated, retrying in TCP mode.
; <<>> DiG 9.9.6-P1 <<>> @192.168.XXX.1 fritz.box.fritz.box. any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22474
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;fritz.box.fritz.box. IN ANY
;; ANSWER SECTION:
fritz.box.fritz.box. 3439 IN MX 10 your-dns-needs-immediate-attention.box.
fritz.box.fritz.box. 3439 IN SRV 10 10 0 your-dns-needs-immediate-attention.box.
fritz.box.fritz.box. 3439 IN A 127.0.53.53
fritz.box.fritz.box. 3439 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision"
fritz.box.fritz.box. 3439 IN RRSIG A 8 1 3600 20161217144124 20161117140520 56838 box. cHu9uD66pkGhP8OKELzZg5qycIfAmW0NLRwV7VGqKNuF64nSuUBONM2i Hj99n0zpzyOmdK+assUtBIP+kkp+eWymfr8zCtjydUslUB9FpQPj84+b Tjho34rHhImXIud/u4SLF6YpVEWwwuZdXy//BNNGL4qaw+mjDmSRf4ET wgWiuBELb2TdUhjbL+Qdn6B4+ykFZwe2ADhaE3DjnM4p0A==
fritz.box.fritz.box. 3439 IN RRSIG MX 8 1 3600 20161217144124 20161117140520 56838 box. T+NLdYWQHARbJBUuAJtSItEGPUONdL+ZzT4QQqYpY/RtnfhhYOWvankK QrJXU1bprILvOR0zfTHwYNFW3b0oJ00WqIo4ylmDxoMQkg8WJbxrOt+a vtF0MaLtyjEpu7AGjs1eu1dWfRJravcVS69KXiRy2jIy5gMcvTWR+jPY ghnZlWKEfo0XL0ZjAY4VerppFnRiTb2SOF/aywofHfbToQ==
fritz.box.fritz.box. 3439 IN RRSIG TXT 8 1 3600 20161217144124 20161117140520 56838 box. h3b3LRKdz3phIDU49xIOfM+Er0q8yf74leD5ioUPqLaUdqRQgpR3EHIB EhOvKwh+cnN9SWLPzyU+kE1hTUXv5ZKLcX5yGQoFLNbLhtrzNtgoWPxc jbOqw9vsD1crUBNKgnSZa2SBNBZlUDmEx35q9O4iFkDeJ9Q6j8xrMw2J cLlKo9C7BP+bGWjePPly7M51FJo6rJ3goWgVSPOgV8oqbg==
fritz.box.fritz.box. 3439 IN RRSIG SRV 8 1 3600 20161217144124 20161117140520 56838 box. Zayt5kRUv2gX1uuOLuenw05hOly708rb5Ri/2ILwfCmYqwY9r72Hx731 Ul05p1GezCDT/e9JUOuydYkAK5GR8u/fcTfsPdl+6eAkXYDy5JZrbKi+ KJJhOvpAg5HuX6VmbAS+NCqya2qMcJBPH85mdsfSG0/XczwPjEXttZax z27FofmuOJfZQgVjpwIGnciQtVsmQalpMhrMSBej/OiyuQ==
;; Query time: 2 msec
;; SERVER: 192.168.XXX.1#53(192.168.XXX.1)
;; WHEN: Sun Nov 20 03:28:47 CET 2016
;; MSG SIZE rcvd: 1050
Code:
# dig @192.168.XXX.1 fritz.box.fritz.box.
; <<>> DiG 9.9.6-P1 <<>> @192.168.XXX.1 fritz.box.fritz.box.
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2311
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;fritz.box.fritz.box. IN A
;; ANSWER SECTION:
fritz.box.fritz.box. 3600 IN A 127.0.53.53
;; Query time: 98 msec
;; SERVER: 192.168.XXX.1#53(192.168.XXX.1)
;; WHEN: Sun Nov 20 03:30:05 CET 2016
;; MSG SIZE rcvd: 64
- Kennwort-Fehler beim Export ist weiterhin vorhanden.
- verwaiste Links in der Übersicht (MyFRITZ!-Freigaben)
- falsche externe FTP-Adresse im ersten Adressfeld nach Aktivierung und Änderung des Ports
- Kuddelmuddel bei Portfreigaben (imho) noch vorhanden, jetzt ein neuer Fehler - ein "Standardtest" als Beispiel:
- MyFRITZ!-Freigabe auf ein (WLAN-)Gerät eingerichtet (TCP-Port 123, nur zum Testen)
- das Gerät zieht um in das Gastnetz (ist easy in diesem Falle)
- Versuch des Löschens der Portfreigabe, Warnmeldung:
- bis hierher noch kein Problem, aber jetzt kommt's:
- die 172.irgendwas ist die aktuelle IP-Adresse des iPads, das jetzt halt im Gastnetz hängt
- die Portfreigabe ist aber glücklicherweise nicht wirklich eingerichtet, das GUI behauptet das nur tapfer (nicht von außen getestet, sondern innen nachgesehen im FRITZ!OS)
- es gibt keine Möglichkeit, die Portfreigabe zu löschen, jeder weitere Versuch endet mit oben gezeigten Ergebnis
- die Freigabe ist natürlich in Wahrheit lange gelöscht, nur eben im DOM nicht "ausgetragen" worden, wo die IPv4-Adresse herkommt, weiß AVM garantiert besser
- weiterhin keine Zugriffsbeschränkungen für den HTTP-Server auf Port 49200
- TFFS-Node 29 wird beim Start nicht mehr immer unbesehen extrahiert (geht doch - Incident-Nummer war die 480894), jetzt werden die zu entpackenden Dateien selektiv ausgewählt - damit ist diese Lücke endlich geschlossen; entpackt werden jetzt gezielt:
Code:
provider_additive/ar7.cfg
provider_additive/voip.cfg
provider_additive/tr069.cfg
provider_additive/user.cfg
provider_additive/vpn.cfg
provider_additive/desc.txt
provider_additive/startinfo.txt
EDIT: Die Lücke zu 480894 ist tatsächlich schon mindestens seit der 41875 (also seit 14 Tagen) gefixt - wenn man die Leute dazu auffordert/zwingt, bei solchen Fixes gefälligst selbst in jeder neuen Version zu überprüfen, ob und wann man da etwas ändert, dann geht schon mal eine Änderung dabei verloren. Die 41756 zwischendrin habe ich gar nicht erst untersucht, weil drei Tage später schon die 41875 erschien - in der 41670 hatte ich noch getestet. In jedem Falle wird für keine der für den Fix in Frage kommenden Versionen auch nur mit einem Wort erwähnt, daß ein Sicherheitsproblem beseitigt wurde.
EDIT2: Es ist tatsächlich bereits in der 41756 vom 01.11.2016 beseitigt gewesen - zumindest der "Ansicht" nach, auf Wirksamkeit getestet habe ich es nicht nachträglich.
Zuletzt bearbeitet: