Mich verblüfft es viel mehr, daß AVM das Update um kein Jota geändert hat, obwohl ich mir sicher bin, daß man dort von den Diskussionen zu den Zertifikaten und von diesem Thread Kenntnis hat.
Auch diese Firmware ist vermutlich nur für die Retail-Boxen gedacht, jedenfalls sieht die PACM-Unterstützung (aus dem CEFDK) auch in dieser Firmware eher mau aus, solange das nicht in irgendwelche anderen (bisher unerkannten) Komponenten gewandert ist. Ein Vergleich der 06.50 und der 06.63 bei den Dateien sieht dann so aus:
Code:
[COLOR="#0000FF"]# find 141.06.63 -name "*pacm*"[/COLOR]
141.06.63/bin/pacm_state_changed
[COLOR="#0000FF"]# find 141.06.50 -name "*pacm*"[/COLOR]
141.06.50/bin/pacm_state_changed
141.06.50/lib/libpacm_sec_util.so
141.06.50/lib/libpacm_snmp_util.so
141.06.50/lib/libpacm_cfm.so
141.06.50/lib/libpacm_mtacontrol_util.so
141.06.50/lib/libpacm_cli.so
141.06.50/lib/libpacm_dhcp_plugin.so
141.06.50/lib/libpacm_dns_util.so
141.06.50/lib/libpacm_event_util.so
141.06.50/lib/libpacm_prov_util.so
141.06.50/lib/libpacm_cli_plugin.so
141.06.50/lib/libpacm_dhcp_initiator.so
141.06.50/lib/libpacm_util.so
141.06.50/lib/libpacm_voim.so
141.06.50/lib/libpacm_cfm_plgn.so
141.06.50/lib/libpacm_dhcp_common_plugin.so
141.06.50/lib/libpacm_dhcpv6_plugin.so
141.06.50/lib/libpacm_logger_plugin.so
141.06.50/usr/sbin/pacm_vendor_app
141.06.50/usr/sbin/pacm_snmp_agent
141.06.50/usr/sbin/showpacmlog
141.06.50/usr/sbin/pacm_event_mgr
141.06.50/usr/sbin/pacm_doim
141.06.50/usr/sbin/pacm_mta_control
141.06.50/usr/sbin/pacm_security
141.06.50/usr/sbin/pacm_init
141.06.50/etc/scripts/pacm.pcd
141.06.50/etc/scripts/pacm_check.sh
141.06.50/etc/scripts/pacm_setup.sh
141.06.50/etc/scripts/pacm_vendor.pcd
Da fehlt also auch in der 06.63 so einiges - das sind die Dateien, die mich zu dem Schluß verleiten, daß eben PACM etwas unterrepräsentiert sein könnte in der Retail-Firmware.
Wenn das also deutlich eine Firmware für die Retail-Modelle ist und diese Boxen alle bereits mit neuen Zertifikaten ausgeliefert werden, welchen Sinn bringt es dann, weiterhin die Datei "ewnw_check_install" so einem Update beizulegen, wenn doch der Aufruf dieser Datei in der /var/install so aussieht:
Code:
if [ -x /var/ewnw_check_install ] ; then
print_console "ARM Calling additional procedure (ewnw_check_install)"
/var/ewnw_check_install
ret=$?
if [ "$ret" -ne "0" ] ; then
print_console "ARM Calling additional procedure failed: UPDATE FAIL (${ret})"
/bin/update_led_off
exit $INSTALL_OTHER_ERROR
fi
fi
Das heißt ja, daß bereits das Entfernen der Skript-Datei "ewnw_check_install" aus dem Update-Image dazu führen würde, daß diese Datei ohne jede weitere Konsequenz für den Ablauf in der "/var/install" einfach nicht aufgerufen wird.
Wenn dort dann noch die Prüfung auf neue oder alte Zertifikate so aufgerufen wird:
Code:
#!/bin/sh
if [ [COLOR="#008000"]-x /var/docsiscertdefaults[/COLOR] ] ; then
/var/docsiscertdefaults
fi
if [ [COLOR="#008000"]-x /var/cm_dl_cert[/COLOR] ] ; then
exec /var/cm_dl_cert
fi
exit 0
dann führt ja praktisch kein Weg an einem Aufruf von "/var/cm_dl_cert" vorbei - egal, was der Aufruf von "/var/docsiscertdefaults" für ein Ergebnis liefert (da sind nur 0 oder 2 als Exit-Codes vorgesehen), dieses wird gar nicht beachtet und es wird in jedem Falle noch das zweite "if"-Konstrukt abgearbeitet.
Das sieht ja nun sehr deutlich danach aus, daß es AVM wohl gar nicht interessiert, was jetzt passiert, wenn man diese Firmware auf einer älteren Provider-Box installiert und die sich dann unter passenden Umständen neue Zertifikate vom Hersteller holt. Es wäre ja nun das Allereinfachste, wahlweise die "/var/ewnw_check_install" oder zumindest das "/var/cm_dl_cert" gar nicht mit in das Update-Image zu packen ... es wird ja jedesmal vor der Ausführung getestet, ob die überhaupt existieren.
Zumindest in der Theorie sollte es ja keine Retail-Box geben, die einen derartigen Aufruf nötig hat - also bringt der ja nur auf (ehemaligen oder aktuellen) Provider-Boxen etwas und welcher Provider aktualisiert denn seine eigenen Boxen mit der Retail-Firmware?
Ich bin etwas verwirrt ... zumindest entkräftet das aber deutlich den - auch hier schon geäußerten - Vorwurf an AVM, man wolle mit Macht die alten Boxen unbrauchbar halten und unbedingt dafür sorgen, daß die (daran überhaupt interessierten) Kunden sich nun alle eine Retail-Box (oder zumindest eine neuere Provider-Box mit aktuellen Zertifikaten) kaufen müssen. Wenn es diese Dateien nicht gäbe im neuen Update und das Laden neuer Zertifikate nur bei Online-Update sauber funktioniert (ich erinnere an den Aufruf von "prepare_fwupgrade start", der das verhindert beim dateibasierten Update), dann gäbe es auch keine Möglichkeit mehr, die alten Boxen in "privater Hand" mit neuen Zertifikaten zu aktualisieren - denn das, was beim Online-Update ausgeliefert wird, bestimmt ja AVM und da gibt es keine 06.61 oder 06.62 mehr. Wenn die dann wieder aus einer "privaten Quelle" stammen sollte, ist es kein "Online-Update" mehr, solange man nicht für den Download den Zugriff auf "download.avm.de" umbiegt, was viele sicherlich noch mehr überfordert als andere Aufgaben beim "Pimpen" einer 6490.
Mein Fazit wäre es also, daß es AVM ziemlich offensichtlich nicht interessiert und daß es - sollte man irgendwann mal sicher die notwendigen "Rahmenbedingungen" kennen - wohl weiterhin möglich sein wird, unter den richtigen Umständen selbst ältere Boxen mit alten Zertifikaten und alter Firmware auf neue Zertifikate und die neue Firmware zu aktualisieren. Das ist doch für viele Besitzer solcher "alten Schätzchen" erst einmal eine gute Nachricht - allerdings sollte man dann vielleicht mit dem Aktualisieren der eigenen Box doch nicht zu lange warten. Wenn AVM hier wirklich "live" mitliest, ist anstelle der 06.63 auch schnell eine 06.64 die neue aktuelle Version - auch eine nachträgliche Änderung des 06.63-Images wäre ja denkbar (am Inhalt der neuen Firmware ändert sich ja nichts) und das zwingt dann wieder zu den bereits erwähnten Kopfständen beim "Unterjubeln" der aktuell verfügbaren 06.63-Datei (so man sie sich denn überhaupt gesichert hat), sollte AVM es sich doch noch einmal anders überlegen.
Das Einzige, was mir das Verbleiben dieses Codes in der Firmware noch plausibel machen würde, wäre die daraus resultierende Möglichkeit, anhand der beim Update-Versuch für die Zertifikate übermittelten Daten auf dem Server eine Liste der aktualisierten Boxen zu verwalten (quasi als Abfallprodukt) - das setzt dann aber zumindest auch wieder voraus, daß so ein Update erfolgt, wenn die Box noch online ist; für das dateibasierte Update (in der Retail-Firmware 06.62 wird die betreffende Seite ja angezeigt) funktioniert das also vermutlich auch wieder nicht. :gruebel:
Beim Lesen der Texte von Kirandi
dass sich deine 06.62 FW-Fritte mit (old/old)-certs online auf die 06.63 FW mit (new/new)-certs updaten lässt.
werde ich das Gefühl nicht los, daß da irgendwie die Annahme mitschwingt, die AVM-Firmware würde bei jedem Update selbst irgendwie signiert und dafür braucht es passende Zertifikate ... ich denke mal, hier wird irgendeine Analogie zum iOS-Update von Apple gesehen? Das ist bei AVM aber nicht der Fall bzw. dieses "Signieren" erfolgt bereits beim Erstellen des Firmware-Images und braucht keine spätere Verifikation über eine Online-Verbindung. Hat eine Box also erst einmal neue Zertifikate, ist alles gut ... von da an braucht es das nicht mehr bei jedem neuen Update. Es gibt bei AVM eigentlich keinen direkten Zusammenhang zwischen einem Update der Zertifikate und einem Update der Firmware ... das wird halt beides zum selben Zeitpunkt gemacht, weil das Zertifikate-Update vom Firmware-Update "angestoßen" wird.