[Info] FRITZ!Box 7590-International FRITZ!OS 7.12 r70402

[Grisu_]

Das OS 7.12 scheint unaufhaltsam anzurollen mit möglichem Sack Panic Fix (siehe Changelog): https://www.facebook.com/fritzboxcyprus/
FRITZ!Box 7490 07.11-70154
FRITZ!Box 7590 07.11-70155
EDIT: die Links darin hier sind nur für internat. Boxen geeignet!

 

[IngoKlein]

Hmmm, merkwürdige Links... ist das offiziell?

 

[Grisu_]

Die beiden Download Links zeigen auf AVM.de, scheinen jedoch nur für die Internationalen Versionen geeignet zu sein. Meine deutsche verweigert sie, die österreichische nimmt sie hingegen an.
Und läuft bislang auch einwandfrei damit.

 

[H´Sishi]

Ist wohl ein "versteckter" Ordner auf AVM's Webserver, ähnlich wie der mit den Inhouse-Versionen.

 

[TCHAMMER]

Deutsche Version kommt die Tage vielleicht schon Montag. AVM hat es mir auf Facebook bestätigt weil ich wegen der Sack Panic Sache mehrmals nachgefragt hatte.

 

[stoney]

Na also, abwarten bis es über JUIS announciert wird

 

[PeterPawn]

Solche Download-Links verwendet AVM wohl öfter, zwischenzeitlich gab es auch die Open-Source-Pakete für die DOCSIS-Boxen mal auf diesem Weg, wie sicher andere auch noch wissen, die ebenfalls bei AVM nach diesen Paketen gefragt hatten.

--------------------------------------------------------------------------------------------------------------------------------

Aber schaut man mal etwas genauer hin, handelt es sich bei der eingesetzten Software an dieser Stelle offenbar um eine selbst angepaßte Version von "jirafeau" (https://gitlab.com/mojo42/Jirafeau), der nur irgendwie die Copyright-Hinweise und der Verweis auf die AGPLv3, unter der diese Software lizensiert wird, abhanden gekommen sind.

Die "Verwandschaft" ist jedenfalls nicht zu übersehen, man braucht nur den Quelltext der von AVM ausgelieferten Seite:

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title> </title>
<link rel="shortcut icon" href="/upload/media/modern/favicon.ico">
<link href="/upload/media/modern/style.css.php" rel="stylesheet" type="text/css" />
</head>
<body>
<script type="text/javascript" src="/upload/lib/functions.js.php"></script>
<div style="padding-top: 15px; padding-left: 15px">
    <div class="container-fluid">
Falls du große Dateien hochladen möchtest, kannst du dies hier tun. Den erstellten Link kannst du dann entweder direkt versenden oder in deinen Paste einfügen.
    </div>
</div>
<div id="content">
<h1>
    <a href="/upload/">
           </a>
</h1>
<center>
</center>
<br/><br/>
<div><form action="/upload/f.php" method = "post" id = "submit_post">             <input type = "hidden" name = "jirafeau" value = "3.1.0"/><fieldset><legend>FRITZ.Box_7490-07.11-70154-LabBETA.image</legend><table><tr><td><br/>Es wird heruntergeladen "FRITZ.Box_7490-07.11-70154-LabBETA.image" (32.5MB).</td></tr>        <tr style="text-align: center;"><td><br/><input type="submit" id = "submit_download"  value="Herunterladen"
        onclick="document.getElementById('submit_post').action='/upload/f.php?h=06c3jXG7&amp;d=1';
        document.getElementById('submit_post').submit ();"/></td></tr></table></fieldset></form></div></div>
<div id="jyraphe">
</div>
</body>
</html>

mal mit dem Inhalt der entsprechenden Datei aus dem "jirafeau"-Projekt vergleichen: https://gitlab.com/mojo42/Jirafeau/blob/master/f.php ... speziell die Zeile 195 (im Quelltext der "f.php") mit dem versteckten Eingabefeld mit dem Namen "jirafeau" und der Versionsnummer ist da ziemlich aussagekräftig.

Nun ist es bei "jirafeau" normalerweise so, daß die Seiten die notwendigen Hinweise auf die Lizenz und den eigentlichen Urheber der Software aus der Datei "lib/templates/footer.php" einschließen, das kann man sich in den Quellen des Originals auch ziemlich gut ansehen (einfach nach den "require"-Statements schauen).

Auch die "Upload-Seite" der Installation, auf die da von der Facebook-Seite aus verlinkt wird (die Upload-Seite erhält man, wenn man einfach den Parameter in der QueryString wegläßt), enthält keine derartigen Angaben:

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title> </title>
<link rel="shortcut icon" href="/upload/media/modern/favicon.ico">
<link href="/upload/media/modern/style.css.php" rel="stylesheet" type="text/css" />
</head>
<body>
<script type="text/javascript" src="/upload/lib/functions.js.php"></script>
<div style="padding-top: 15px; padding-left: 15px">
    <div class="container-fluid">
Falls du große Dateien hochladen möchtest, kannst du dies hier tun. Den erstellten Link kannst du dann entweder direkt versenden oder in deinen Paste einfügen.
    </div>
</div>
<div id="content">
<h1>
    <a href="/upload/">
           </a>
</h1>
<center>
</center>
<br/><br/>
<div id="upload_finished">
    <p><h2>Die Datei wurde hochgeladen!</h2></p>

<div id="upload_finished_download_page">
    <p>
          Deine Datei ist unter folgendem Link erreichbar:<br/>          <a id="upload_link_email" href=""></a>

<div id="div-target"><a id="upload_link" href=""></a></p></div>
    <button class="ctcb" data-clipboard-action="copy" data-clipboard-target="#div-target">Link in die Zwischenablage kopieren</button>

<script src="clipboard.min.js"></script>
        <script>
var clipboard = new Clipboard('.ctcb');
        </script>

    </div>


    <br/><br/>
    <hr style="border:solid #B2DBA1 1px;">

<div id="upload_validity">
    <p>Der Download ist gültig bis zum <span id="date"></span></p>
    </div>

<hr style="border:solid #B2DBA1 1px;">
    <br/><br/>

<div id="upload_delete">
    <p>Link zum Löschen der Datei:</p>
    <p><a id="delete_link" href=""></a></p>
    </div>
</div>

<div id="uploading">
    <p>
    Lädt hoch ...    <div id="uploaded_percentage"></div>
    <div id="uploaded_speed"></div>
    <div id="uploaded_time"></div>
    </p>
</div>

<div id="error_pop" class="error">
</div>

<div id="upload">
<fieldset>
    <legend>
    Datei anhängen    </legend>
    <p>
    <input type="file" id="file_select" size="30"
    onchange="control_selected_file_size(5000, 'Die Datei ist zu groß, Die maximale Dateigröße ist 5000 MB')"/>
    </p>

<div id="options">
        <table id="option_table">
        <tr>
        <td>Einmaliger Download:</td>
        <td><input type="checkbox" id="one_time_download" /></td>
        </tr>
        <tr>
        <td><label for="input_key">Passwort (empfohlen):</label></td>
        <td><input type="text" name="key" id="input_key" /></td>
        </tr>
        <tr>
        <td><label for="select_time">Ablaufzeit:</label></td>
        <td><select name="time" id="select_time">
        <option value="hour" >1 Stunde</option><option value="day" selected="selected">1 Tag</option><option value="week" >1 Woche</option><option value="month" >1 Monat</option>        </select></td>
        </tr>

<p class="config">Die maximale Dateigröße ist 5000 MBStray end tag “p”."></p>
        <p id="max_file_size" class="config"></p>
    <p>
        <input type="hidden" id="upload_password" name="upload_password" value=""/>
        <input type="submit" id="send" value="Senden"
    onclick="
document.getElementById('upload').style.display = 'none';
document.getElementById('uploading').style.display = '';
upload ('https://ku2coh2thohl3ai.avm.de:13579/upload/', 41943040);
    "/>
    </p>
        </table>
    </div> </fieldset>


</div>

<script type="text/javascript" lang="Javascript">
document.getElementById('error_pop').style.display = 'none';
document.getElementById('uploading').style.display = 'none';
document.getElementById('upload_finished').style.display = 'none';
document.getElementById('options').style.display = 'none';
document.getElementById('send').style.display = 'none';
if (!check_html5_file_api ())
document.getElementById('max_file_size').innerHTML = 'You browser may not support HTML5 so the maximum file size is 40MB';
</script>
</div>
<div id="jyraphe">
</div>
</body>
</html>

Allerdings findet man in beiden Seiten noch die Rudimente aus der "footer.php" in Gestalt einer leeren "div":

<div id="jyraphe">
</div>

, die man in der originalen Footer-Datei in Zeile 20 findet: https://gitlab.com/mojo42/Jirafeau/...f397075ce742a3f3a/lib/template/footer.php#L20

--------------------------------------------------------------------------------------------------------------------------------

Man nenne mich nun "überkritisch" ... aber für mich sieht das irgendwie nach einem Versuch aus, die Herkunft der hier verwendeten Software zu verschleiern und das auch noch für eine Open-Source-Software, die unter der Affero GPL Version 3 (kurz AGPL3) lizensiert wird ... ein entscheidender Unterschied zwischen der "normalen" GPL-Lizenz und der AGPL besteht ja gerade darin, daß jemand, der die Software verändert hat und diese geänderte Version jetzt auf seinen Servern einsetzt (dabei spielt es auch keine Rolle, ob dieser "Server" hier vielleicht nur ein PC irgendwo bei AVM im Netzwerk ist), auch in diesem Falle verpflichtet ist, die (geänderten) Quellen für diese Version bereitzustellen.

Mein persönliches Fazit: Man sollte sich bei AVM schämen ... es gibt genug Alternativen unter anderen Lizenzen, die man dafür benutzen könnte: https://alternativeto.net/software/jirafeau/?platform=self-hosted ... einige brauchen zwar deutlich mehr Installationsaufwand, aber in diesen sauren Apfel muß man dann eben beißen, wenn man die Herkunft der Software verschleiern will (sofern andere Lizenzen das zulassen), die man selbst hier im Kontakt mit der Öffentlichkeit einsetzt.

Gerade angesichts der eigenen Vergangenheit sollte man bei AVM mit dem Thema Open-Source, Lizenzbedingungen und "Schmücken mit fremden Federn" (anders kann man das Entfernen der Copyright-Hinweise im "Footer" der Seite kaum verstehen, oder?) etwas sensibler umgehen.

Und um gleich irgendwelchen "Mißverständnissen" vorzubeugen ... dieses Einschließen des Copyright-Footers gab es auch schon vor zwei Jahren in der damals aktuellen Version 3.1.0 von "jirafeau": https://gitlab.com/mojo42/Jirafeau/blob/dbde7951fba6b071e5a9c8cf397075ce742a3f3a/f.php#L220 - und der Footer sah auch schon so aus:

<div id="copyright">
    <p>
        <!-- Project links -->
        <?php
          echo t('Made with') .
            ' <a href="https://gitlab.com/mojo42/Jirafeau">' . t('Jirafeau Project') . '</a>' .
            ' (<a href="https://www.gnu.org/licenses/agpl.html"><abbr title="GNU Affero General Public License v3">AGPL-3.0</abbr></a>)';
        ?>
        <!-- Installation dependend links -->
        <?php
        if (false === empty($cfg['installation_done'])) {
            echo ' <span>|</span> ';
            echo '<a href="' . JIRAFEAU_ABSPREFIX . 'tos.php">' . t('Terms of Service') . '</a>';
        }
        ?>
    </p>
</div>
</div>
<div id="jyraphe">
</div>
</body>
</html>

Das Fehlen dieses Teils in der AVM-Ausgabe hat also auch definitiv nichts damit zu tun, daß da eine ältere Version zum Einsatz kommt - den mußte schon jemand absichtlich entfernen, damit er nicht länger auftaucht.

 

[PeterPawn]

Ich setze mal noch einen drauf und rate AVM dringend zum Update ... warum das sogar "kritisch" ist, erkläre ich aber erst, wenn die Installation entweder vom Netz genommen wurde oder auf eine aktuelle Version umgerüstet wurde - vielleicht trägt die ja dann sogar die passenden Copyright-Hinweise. [ EDIT: Die E-Mail an AVM ist raus ... mal sehen, ob bzw. welche Reaktion es gibt. ]

 

[PeterPawn]

Zur Ergänzung:

AVM hat (sogar vorbildlich und sehr höflich) auf meine E-Mail reagiert und

• die Version von Jirafeau aktualisiert,
• die Upload-Seite unzugänglich gemacht aus dem Internet und
• die Copyright- und Lizenzhinweise in der neuen Version belassen, wie sie waren

Zuvor konnten nicht nur Dateien auch aus dem Internet auf diesen Server geladen werden, die dann mit der passenden URL von anderen heruntergeladen werden konnten (also praktisch ein "open server" zur Dateispeicherung/zum Dateiaustausch), sondern die installierte Version von Jirafeau hatte auch bekannte Sicherheitslücken (https://know.bishopfox.com/advisories/jirafeau-version-3.3.0-multiple-vulnerabilities), die vor etwas mehr als einem Jahr bereits gefixt wurden.

Alles in allem eine sehr erfreuliche und auch schnelle (zumindest angemessene) Reaktion von AVM ... gerne weiter so. Danke, AVM.

 

[alexandi]

Und danke an @PeterPawn , der AVM "gewarnt" hat

 

[Grisu_]

so, nun gibt es für die Internationale 7590 auch die offizielle 7.12 r70402 zum Runterladen.
7590-internat.: http://ftp.avm.de/fritzbox/fritzbox-7590/other/fritz.os/

Wäre nett wenn ihr nachsehen könntet ob der "Jirafeau-Fehler" darin behoben wurde.

 

[Micha0815]

Wäre nett wenn ihr nachsehen könntet ob der "Jirafeau-Fehler" darin behoben wurde

Das Problem betraf wohl nur die Hosting-Firmware bzw. one-click-sharing die als solche in der zuvor eingesetzten, älteren Release-Version wohl eine Sicherheitslücke aufwies.
Da die FWs mittlerweile über Signaturen verfügen, dürfte ein Bösewicht die FW selbst nicht wirklich gefährlich verändern können. Allerdings könnte ein *.rar oder *.zip-Archiv, da man dem "Uploader" ja vertraut, Schaden anrichten.
So gesehen sind sämtliche in-house-Versionen, die über adam2 geflasht werden schon etwas heikler, was die Manipulierbarkeit betrifft.
LG

 

[koyaanisqatsi]

So gesehen sind sämtliche in-house-Versionen, die über adam2 geflasht werde

Sicher, die MS User haben ja diese Echsequtäbels ( *.exe ) von AVM, aber Randgruppen wie iOSler oder die vielen bunten Linuxianer sind auf solche Tricks angewiesen.
...und ich meine jetzt nicht nur Inhaus, sondern Downgrades und linux_fs_start .

 

[Pixelmonteur]

kann ich die int auf meiner deutschen FB auch draufziehen ?

 

[TCHAMMER]

Brauchst du nicht die Deutsche Version wird denke ich Morgen oder spätestens Freitag zur Verfügung stehen.

 

[PeterPawn]

#avmimage

Ist meine Firmware nun von AVM oder nicht?

Man hat auch für jede Image-Datei von AVM die Möglichkeit, die Signatur selbst zu prüfen: https://github.com/PeterPawn/YourFritz/blob/master/signimage/check_signed_image und zwar BEVOR man so eine Firmware-Datei weiterverarbeitet ... sei's durch Entpacken und Ändern oder durch Zusammenkopieren und Installieren über den Bootloader. Ich schreibe seit Jahren davon, daß man das am besten auch machen sollte ... in "modfs" ist diese Überprüfung sogar automatisch aktiviert und muß erst abgeschaltet werden.

Für eine solche Prüfung benötigt man zwar den öffentlichen Schlüssel, mit dem die Datei signiert wurde (der in "modfs" bei Ausführung auf der eigenen Box automatisch verfügbar ist), aber den kann man sich aus einer älteren Version extrahieren oder aus jeder anderen Firmware für dasselbe Modell, bei deren Download man auf anderem Wege sichergestellt hat, daß diese tatsächlich von AVM stammt - z.B. durch das Prüfen des öffentlichen Schlüssels in einem AVM-Zertifikat beim "wget" (ohne dieses würde tatsächlich ein von irgendeiner "trusted CA" ausgestelltes Zertifikat für "*.avm.de" auch akzeptiert (da gab es ja schon mehrere Skandale) oder es wäre im schlechtesten Falle sogar eine Umleitung auf eine andere Domain denkbar bzw. beim FTP-basierten Download von AVM hat man praktisch gar keine weitere Sicherheit). Deshalb sollte man beim "Zusammensuchen" der öffentlichen Schlüssel auch auf FTP verzichten - hat man den Key bereits und will nur einen anderen Download per FTP damit prüfen, spielt die für den Download verwendete URL dann keine Rolle mehr.

Man braucht i.d.R. ja selbst auch nicht die Keys für alle Modelle von AVM, die wenigsten Nutzer dürften tatsächlich ALLE Modelle von AVM besitzen (und dann noch benutzen). Und kommt dann tatsächlich mal von AVM-Seite ein solcher Schlüssel hinzu (wie bei den neueren Inhouse-Versionen), kann man den auch extrahieren und - nach entsprechender Prüfung - verwenden. Wenn man sich also zuvor vergewissert hat, daß da tatsächlich der AVM-Server als Quelle für den Download gedient hat, kann (bzw. muß) man auch den öffentlichen Schlüsseln in so einem Image vertrauen und damit kann man mit ihnen auch die Signatur einer anderen Image-Datei prüfen.

Wer sich vergewissern will, daß die von ihm selbst extrahierten Keys mit denen von anderen übereinstimmen, kann das ja hier im IPPF machen. Irgendwo in Freetz-NG gibt es auch eine statische Liste von solchen Keys, wenn ich mich richtig erinnere. Diese Liste sollte man aber max. zur Verifikation der selbst extrahierten Keys benutzen und nicht als Primärquelle ... da sie ihrerseits jegliche Sicherungsmaßnahme vermissen läßt, ist es hier ebenfalls nicht möglich, die Authentizität eines öffentlichen Schlüssels zu prüfen bzw. denjenigen verläßlich zu ermitteln, der diese Liste am Ende zusammengestellt hat (oder vielleicht auch nur als Letzter manipuliert hat, wenn es doch mal ein Angreifer war). Die einzige Sicherheitsmaßnahme ist der Zugangsschutz des SVN-Servers - für heutige Anforderungen einfach zu wenig, zumindest bei solchen "Vertrauensfragen", denn die Kette ist da immer nur so stark, wie ihr schwächstes Glied.

[...]
Für die ersten Inhouse-Versionen, die mit solchen Keys signiert wurden, hatte ich deshalb die Moduli auch hier im IPPF irgendwo veröffentlicht. Das tat ich aber erst, nachdem ich mich auch vergewissert hatte, daß der Download der Inhouse-Versionen, aus denen ich die Keys hatte (die Inhouse-URLs sind ja i.d.R. FTP-basiert) zumindest aus dem AVM-Netz erfolgte (dem Anschein nach - es war jedenfalls keine chinesische IP-Adresse), auch wenn ich die Identität des FTP-Servers (212.42.244.73 - aka "update.avm.de" oder "wizard") nicht 100% klären konnte, weil der keine TLS-Verbindungen akzeptiert (auch nicht auf Port 443).

Insofern war/ist die erste Installation einer Inhouse-Version also tatsächlich etwas riskanter als spätere/andere Updates ... auch da gilt halt die Regel, daß man keine Bonbons von Fremden nehmen sollte. Ich gehe jedenfalls jede Wette ein, daß man mit einer manipulierten Inhouse-Version, die man "unter der Hand" verteilt, eine Vielzahl von Leuten, die sich lieber die Firmware oder eine URL zu einer Firmware geben lassen, anstatt sie über JUIS selbst zu ermitteln, hereinlegen könnte, wenn man bösartig wäre bzw. wenn man keinen Ruf zu verlieren hätte. Und das sind eben keine guten Aussichten ... deshalb die stetig wiederholten Warnungen auch in dieser Richtung.

BTW ... auch einer Firmware, die man aus einem AVM-Recovery-Programm extrahiert hat, kann man dann trauen, wenn die EXE-Datei für Windows eine passende Signatur von AVM hatte - insofern hilft so ein "Echsequtäbel" auch den Benutzern anderer OS durchaus.
[...]
[Edit Novize. Spoilerspielerei gelöscht]