[Sammlung] Installation von Inhouse-Versionen ab Version 07.08

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
15,275
Punkte für Reaktionen
1,751
Punkte
113
Seit Version 07.08-63600 ist AVM dazu übergegangen, Inhousefirmware durch neue Schlüssel zu sichern. Boxen, die von den aktuellen Release oder öffentlichen Laborversionen kommen, kennen diese Schlüssel noch nicht. Das Einspielen der Inhouseversionen ist daher über die Boxoberfläche nicht mehr möglich.
Beitrag mit Hinweis ergänzt - HabNeFritzbox

Das liegt einfach daran, daß AVM die Inhouse-Images jetzt mit einem anderen Key signiert ... dessen Gegenstück in der Firmware (etc/avm_firmware_public_key4) hat folgenden Inhalt:
Code:
00a43fa107a701bc34f7afc0340855063a3a29c7cd44e4b5feda7e66f9da0f2dafaa0c9c15747a1e425764d63648ebe8ed09b76981252f44b349db46a56ba4553d25ed422b353459e3006971a66445d417721e05e7c12d6502e564cd7969b71e67853aaa26bb04f2cd82e5be915340ca483dd6277d9e8a0ab1daa70a4bbd4fa28f
010001
und bei der 7490 gibt es ebenfalls einen "Inhouse-Key" mit folgendem öffentlichen Teil:
Code:
00ba5b1905319f410d84af1d32551905210566b293ff1948d7809df7463981ed8aaef5babd7864928f3999d5d6cab3122f20700c0f3e976086671e18998d917d47011878d7fa87a0398bdeee5a7afd024dfb085b14e6eece398550a30000cbcb47d43015b6da3e51cc60ddf4c3bc040c2a2cafae6002c9d90663341faed0be5ba7
010001
Damit kann man diese Versionen jetzt nur noch über den Bootloader installieren (wie das geht, habe ich oft genug beschrieben und hier käme jetzt dann auch das "image2ram" zum Einsatz, das aus einer Firmware im TAR-Format ein "in memory"-Image macht) oder man muß zuvor den öffentlichen Schlüssel (wenigstens einmalig, weil die Updates den dann sicherlich wieder mitbringen werden) in die Box bekommen. Auch kein Hexenwerk ... aber es wird "etwas anspruchsvoller", wenn man die Inhouse-Versionen weiterhin benutzen/testen möchte.

-------------------------------------------------------------------------------

EDIT: Der Weg zu irgendwelchen Anleitungen: https://www.ip-phone-forum.de/threa...ersionen-ab-version-07-08.301683/post-2306352 - die - farblich abgesetzte - nachträgliche Bearbeitung.
 
Zuletzt bearbeitet:
... aber es wird "etwas anspruchsvoller", wenn man die Inhouse-Versionen weiterhin benutzen/testen möchte.

Vielen Dank AVM - damit bin ich raus!:mad::(

Harry
 
Auch kein Hexenwerk ... aber es wird "etwas anspruchsvoller", wenn man die Inhouse-Versionen weiterhin benutzen/testen möchte.
Um ehrlich zu sein hatte ich mich sowieso schon gewundert warum das AVM nicht schon länger so macht. In meinen Augen macht es Sinn, dass diese "Inhaus"-Versionen mit einem anderen Schlüssel signiert werden der in den offiziell von AVM erhältlichen Firmwareversionen nicht enthalten ist (damit die Hürde eine solche von einer Release oder offiziellen Labor aus zu installieren etwas höher ist).
 
  • Like
Reaktionen: Ralsaar
Nicht umsonst heißt es ja auch "Inhaus" :(
 
Na ja ... eine echte Hürde ist das ja auch noch nicht.

Man muß nur einmalig die Labor-Reihe über den Bootloader installieren (siehe #1609) und dann kann man die Updates wieder wie gewohnt einspielen, solange AVM die Keys nicht wieder ändert.

Wer die Installation über den Bootloader nicht hinbekommt, sollte ohnehin die Finger von den Inhouse-Versionen lassen ... ich weiß zwar im Moment nicht genau, ob die PowerShell-Version unter Windows auch die Image-Datei für die Installation über den Bootloader erzeugen kann, aber das ist nur eine Fingerübung und wäre innerhalb von 30 Minuten von mir nachzurüsten.
 
  • Like
Reaktionen: Ralsaar
Na ja ... eine echte Hürde ist das ja auch noch nicht.
So sehe ich das auch, eine überwindbare Hürde (einmalig für den "Einstig" in eine solche interne Reihe oder wenn man zwischenzeitlich wieder auf eine offizielle umgestiegen ist). Und wer die schon nicht schafft sollte wohl besser die Finger von "Inhaus" Versionen lassen.

Edit:
Hast du einen Link zur Anleitung
https://www.ip-phone-forum.de/threa...kript-dateien-aus-yourfritz-eva_tools.298591/
 
  • Like
Reaktionen: Dann halt nicht mehr
OK - denke, das übersteigt meine (Konzentrations-)Fähigkeiten im Moment. Da bleibt mir nur mit den öffentlichen Versionen mitzugehen. Schade. :(
 
@Anleitung:
Das kommt darauf an, unter welchem OS man das machen will.

Unter Linux erzeugt man einfach mit meinem "image2ram"-Skript aus der AVM-Datei ein passendes In-Memory-Image:

image2ram < avm_datei > inmemory_file

(absichtlich nicht als Code-Box, weil dann die Auszeichnungen nicht funktionieren)

, wobei man die kursiven Namen durch die passenden Dateinamen ersetzen muß.

Für den Upload nimmt man dann die von @NDiIPP verlinkte Anleitung ...

EDIT: Da die alten Links auf die Anleitungen nicht mehr funktionieren, hier noch einer, der erst seit Ende (Sülwesta) 2019 funktioniert: www.yourfritz.de/desc-eva - ebenso gibt es das unten erwähnte Pendant zum "image2ram" schon länger: https://www.ip-phone-forum.de/threa...ersionen-ab-version-07-08.301683/post-2306398 (unter dem - nachgemachten - "horizontal ruler")


Unter Windows fehlt vielleicht im Moment das Gegenstück zum "image2ram" ... aber die Behandlung von Firmware-Images an sich existiert bereits seit längerem: https://github.com/PeterPawn/YourFritz/blob/master/signimage/FirmwareImage.ps1 und es sollte kein Problem sein, da noch eine passende Funktion hinzuzufügen, denn von Hand würde das jetzt bereits klappen, auch wenn es mehrere Aufrufe nacheinander wären.

Der Upload ist dann auch für Windows in dem oben verlinkten Thread beschrieben.

Ich schaue mal, ob die Funktion in der "FirmwareImage.PS1" schon drin ist ... wenn nicht, baue ich sie ein und "erkläre" sie in der README.md noch.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Meeeenzer
Moin


Ich hab noch im anderen Partitionsset der 7590 und einer 7560 eine Inhaus zu liegen.
Wäre nett bei dieser Gelegenheit auch einen Weg zu beschreiben wie die "extra Signierten" von dieser installiert werden kann.
Die "wichtigsten" Tools bringen die alten Inhaus ( 06.98-xxxxx ) ja mit: SIAB, telnetd und die LUA-Konsole
 
  • Like
Reaktionen: Dann halt nicht mehr
mach dann bitte das >"erkläre"< ohne Semikolon
Verstehe ich gerade nicht ... bin aber auch etwas abgelenkt. Welches "Semikolon" und wo steht das?

Wäre nett bei dieser Gelegenheit auch einen Weg zu beschreiben wie die "extra Signierten" von dieser installiert werden kann.
Das ist nun ganz easy ... einfach den passenden Inhalt des Key-Files für das Modell (s. #1609) in eine Text-Datei auf der Box schreiben und diese Datei dann mittels "bind"-Mount über eine andere, vorhandene Datei legen, anschließend die Firmware "normal" installieren über das GUI:
Code:
cat - >/tmp/key
<<< hier die Daten aus dem oben stehenden Key für das Modell reinkopieren und mit Ctrl-D die Eingabe beenden ... man kann auch einen Editor benutzen oder irgendetwas anderes, denn es ginge auch so:

cat > /var/key <<EOF
> 00a43fa107a701bc34f7afc0340855063a3a29c7cd44e4b5feda7e66f9da0f2dafaa0c9c15747a1e425764d63648ebe8ed09b76981252f44b349db46a56ba4553d25ed422b353459e3006971a66445d417721e05e7c12d6502e564cd7969b71e67853aaa26bb04f2cd82e5be915340ca483dd6277d9e8a0ab1daa70a4bbd4fa28f
> 010001
> EOF

wobei die "> " am Zeilenbeginn immer der Eingabe-Prompt für eine Zeile sind.

mount -o bind /tmp/key /etc/avm_firmware_public_key3

In kurzen knappen Worten wäre schön.
Sorry ... entweder meine "übliche" Art mit dem Versuch der Erklärung von Zusammenhängen (selbst wenn die untauglich sein sollten) oder es muß halt jemand anders machen. Das ist nun mal "mein Stil" und auch wenn ich kein Thomas Mann, kein Heinrich von Kleist und erst recht kein Franz Kafka bin, kann ich nicht aus meiner Haut.

[ Schon wieder ein Satz, der nicht nur aus einem Hauptsatz (Subjekt, Verb, Objekt) besteht, sondern sich mit einem weiteren, fast kompletten als Nebensatz schmücken darf. ]

Die Fibelschreibweise ("Der Hund bellt.") liegt mir einfach nicht ... und Worte sind halt wie Daten - man kann verschwenderisch mit ihnen umgehen und die verfügbare Menge nimmt trotzdem nicht ab (deshalb hasse ich Twitter so); das verleitet ja geradezu zum Schwelgen im Überfluß.

-------------------------------------------------------------------------------------------------------------------------

Aber "in media res" ... zur Beschreibung, wie man mit PowerShell ein solches Image auf die Box bringt (mittels "EVA-FTP-Client.ps1" unter Nutzung der Funktion "BootDeviceFromImage"), gesellen sich als Vorbereitungshandlung nur noch zwei zusätzliche Zeilen (die erste Eingabe beginnt mit einem Punkt, gefolgt von einem Leerzeichen (schlecht zu sehen vielleicht) und dem Namen der entsprechenden PowerShell-Datei samt Pfad dorthin - wo man die abgelegt hat, nachdem man sie von hier: https://github.com/PeterPawn/YourFritz/blob/master/signimage/FirmwareImage.ps1 geladen hat, muß man schon selbst wissen):
Code:
Windows PowerShell
Copyright (C) 2016 Microsoft Corporation. All rights reserved.

PS C:\Users\PeH> . .\Documents\GitHub\YourFritz\signimage\FirmwareImage.ps1
This is "FirmwareImage.ps1" ...

a collection of PowerShell classes to handle AVM's firmware image files

... from the YourFritz project at https://github.com/PeterPawn/YourFritz

(C) 2017-2018 P. Haemmerlein ([email protected])

Look at the comment lines from the beginning of this file to get further info, how to make use of the provided classes.

The classes are now ready to be used in this session.
PS C:\Users\PeH> [FirmwareImage]::new("$pwd\original.image").getBootableImage("$pwd\bootable.image")
PS C:\Users\PeH>
Der zweite Aufruf muß - bis auf die Werte in den Anführungszeichen, die natürlich die jeweiligen Dateinamen darstellen (das "$pwd" ist nur ein "Kürzel" für das aktuelle Arbeitsverzeichnis und da kann auch problemlos ein kompletter, statischer Pfad stehen) sollen - exakt so übernommen werden, wie sie oben stehen ... inkl. der zwei aufeinanderfolgenden Doppelpunkte und mit allen Klammern (der Prompt endet jeweils am ersten "> "). Der erste Name gehört zum originalen Firmware-Image (das kann von AVM sein oder auch ein Freetz-Image) und der zweite gibt an, wo das neue Image zu speichern wäre.

Diese neue Datei kann man dann benutzen, um die Box davon zu starten ... wer ganz sicher gehen will, daß die einigermaßen paßt, kann die Dateilängen der "kernel.image" und "filesystem.image" aus der originalen Datei zusammenzählen und davon 16 abziehen (für die beiden Prüfsummen am Ende der Dateien) ... das Ergebnis muß exakt die Länge der neuen Image-Datei sein.

Damit sollte das jedenfalls auch mit einem Windows-System funktionieren ... am Ende muß man halt nur zwei oder drei Text-Dateien (drei nur dann, wenn man "EVA-Discover.ps1" auch benutzen will) auf seinem Windows-PC speichern und sie (sinnvoll) aufrufen. Wie das geht und was man ggf. noch an Vorbereitungen in der PowerShell zu treffen hat (u.a. Set-ExecutionPolicy), ist in dem anderen Thread beschrieben.

Nachtrag:
Um das noch einmal zu klären, weil immer wieder Leute einfach die HTML-Seite von GitHub bei sich speichern und das dann als PowerShell-Skript aufrufen wollen ... die Links zu GitHub führen zur "Ansicht" der Datei und wer diese - so wie sie wirklich ist - auf seinem PC speichern möchte, der muß schon den dort als "Raw" gekennzeichneten Link für das Speichern verwenden. Dazu einfach das Kontextmenü für den "Raw"-Button aufrufen und mit "Save link as ..." (oder wie auch immer das im verwendeten Browser heißen mag) dann die (rohe) Datei im korrekten Format speichern.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: koyaanisqatsi
Kannst du vermuten, wohin die Reise mit dieser Entwicklung gehen wird? Ist die einzige Absicht, die Inhouseversionen vor externen Zugriffen zu schützen (was ich prinzipiell löblich finde)?
 
Ich kann mir nicht vorstellen, dass AVM jedem Inhouse-Tester so einen "Stein" in den Weg legt. Es muss ein Tool geben, dass diese Images auf die jeweiligen Boxen schaufelt...

Zudem wäre AVM töricht, die bisher fleißigen inoffiziellen Beta-Tester zu verlieren, zumal die Releases in der letzten Zeit ziemlich buggy waren...
 
Och, @Lecter, ich hab da schon ein gewisses Verständnis, wenn ich die Äußerungen von manch einem (ich nennen keine Namen) "Inhouse-Tester" so sehe.

Es braucht eine gewisse Qualität an Rückmeldungen, aber auch positives Kommunikationsverhalten. Kommentare, wie "Unglaublich! Was machen die denn da bei AVM! Meine Rückmeldungen werden ignoriert. Supportdaten liegen schon ewig vor und die machen nichts am Problem" sind nicht konstruktiv.

Da ist die Auswertung der Rückmeldungen tendenziell mit viel Frust und wenig Erkenntnis verbunden. Noch dazu muss AVM ja auch erst mal in der Lage sein, die Fehlerbilder zu reproduzieren.
 
  • Like
Reaktionen: Meeeenzer und Ralsaar
Es muss ein Tool geben, dass diese Images auf die jeweiligen Boxen schaufelt...
Prädestiniert wäre ein dazugehöriges recovery.exe. Dieser Aufwand, nur um ungebetene Tester zu vergraulen, wird sicherlich nicht das einzige Motiv dahinter sein. Eine sich generell ändernde Update-Strategie erscheint mir plausibler.
LG
 
Sicherlich wird es bei AVM ein Tool für das Präparieren von Inhouse-Boxen geben ... wer macht die Anfrage beim Support dafür?

Freiwillige vor ... [ d.h. einen Schritt aus der Reihe nach vorne, beginnend mit dem rechten Bein - in irgendeinem schwülstigen Heldenepos tritt dann für gewöhnlich die Reihe geschlossen vor und der Kommandierende ist gerührt bis stolz, was das doch für "Kerle" sind. ]

Ich denke mal, die Neigung von AVM, dieses Tool zu verbreiten, ist eher gering ... denn eine gewisse Hürde (wenn auch eine niedrige) baut der neue Key ja tatsächlich vor dem Tester auf.

Diese ganze Geschichte der "Inhouse-Versionen" ist ja ohnehin etwas obskur ... begonnen hat das ja mal mit einem "Leak" einer solchen Version, die mit "bkaiser" ausgezeichnet war und spezielle DSL-Anpassungen enthielt. Danach ging dann das "Geraune" los, daß es da spezielle Versionen gibt und ständig kamen irgendwelche Nachfragen, wie man denn nun an deren Adressen gelangen könnte. Das reichte mir dann irgendwann (schon nur das Lesen solcher ständig gleichen Geschichten - dagegen sind die ewigen Wiederholungen der "Big Bang Theory" auf Pro7 ja noch harmlos) und man konnte sich mit einem Skript selbst die (aktuellen) URLs über JUIS suchen.

---------------------------------------------------------------------------------------

Spätestens da hätte ich ohnehin von AVM einen Riegel erwartet, wenn man es tatsächlich als übermäßige "Belästigung" angesehen hätte und nicht doch irgendwo auch als willkommene Unterstützung beim "Feldtest" ... denn eine offizielle Labor-Version bringt zumindest beim Rückweg zur "Normalversion" ja trotzdem noch eine minimale Support-Pflicht mit sich und bei der Inhouse-Version kann man problemlos die Hände heben und "selbst schuld" konstatieren.

Auch sehe ich in dem neuen Key kein wirkliches "Aussperren" von "externen Inhouse-Testern" (ein Widerspruch in sich in meinen Augen) ... das wäre über die Abfrage einer Liste von MAC-Adressen der am Inhouse-Test beteiligten Geräte viel einfacher zu lösen und vor allem auch wirksamer (selbst wenn dann mal eine MAC davon geleakt wird, wirft man die einfach aus der Liste und tauscht die Box bzw. ändert deren MAC). Denn bei AVM ist garantiert niemand so blauäugig, daß er davon ausgeht, diese "Hürde" mit dem Key wäre nicht zu überwinden.

Zumal das noch genau der Weg ist, den ich als Ziel für YourFritz schon seit langem postuliere ... hat man erst mal mit dem eigenen Key einen Fuß in der Firmware (auch hier arbeitet AVM nicht wirklich dagegen, denn man könnte dort ja auch die Menge der Keys mit einem Federstrich begrenzen und den bisherigen Weg mit "avm_firmware_public_key9" (so wird das in Freetz genutzt für die eigene Signatur) blockieren - wenn auch nicht sehr wirksam und sehr lange), kann man wieder vieles machen in der Firmware.

---------------------------------------------------------------------------------------

Ich glaube auch insgesamt nicht, daß ausgerechnet AVM sich komplett (bzw. in demselben Maße wie die anderen ANGA-Mitglieder (nach dem, was man so hört und liest), die ja meist Provider sind und weniger Hersteller) gegen die Forderung des CCC (und anderer) stellen wird, daß SOHO-Router irgendwie auch - spätestens nach dem Support-Ende des Herstellers - mit alternativer Firmware betrieben werden können. Das wäre wohl ein zu großer Image-Schaden (das ist m.E: ohnehin schon durch sehr unvollständige OpenSource-Quellen mächtig "eingedellt") ... und am Ende findet sich doch immer wieder irgendein Weg in so ein Gerät.

Es wäre auch betriebswirtschaftlich halt totaler Unfug, wenn man - über das für die Sicherheit der "normalen Benutzer" notwendige Maß hinausgehend - jede Menge Zeit und Geld in Maßnahmen zur Abwehr alternativer Firmware investiert (die "Nachbaugefahr" einer FRITZ!Box ist m.E. auch deutlich geringer als bei einem iPhone o.ä.) und am Ende erweisen sich diese Aufwendungen dann doch wieder als umsonst, weil es immer noch eine Lücke gab.

Daher glaube ich auch nicht, daß AVM (zumindest bei den existierenden Modellen) da große Anstrengungen zum "Aussperren" (weder von Bewerbern für einen "Inhouse-Test" - egal wie weitläufig das "house" dann auch wird - noch von alternativer Firmware) unternehmen wird ... denn so etwas wird immer irgendein Loch haben und da, wo der gemeine Blackhat das für einen Angriff vielleicht nicht ausnutzen kann, hat jemand mit physischem Zugang zum Gerät eigentlich immer Chancen, irgendwo doch einen Dreh- und Angelpunkt zu finden. Wenn wir dann bei der FRITZ!Box mit verklebtem und ausgeschäumtem Gehäuse sind, hat AVM die Kunden ohnehin schon verloren.

So, wie sich die Box an sich im Moment entwickelt (sukzessive bessere Sicherheit für den durchschnittlichen Benutzer - und davon gibt es deutlich mehr als IPPF-Leser, ergo sind deren Interessen (und seien es auch nur unterstellte) deutlich höher zu wichten - und gleichzeitig aber auch immer noch die Möglichkeit, in das System einzugreifen für den berechtigten Benutzer), finde ich das schon durchaus positiv.
 
Zudem wäre AVM töricht, die bisher fleißigen inoffiziellen Beta-Tester zu verlieren,
Wenn AVM tatsächlich mehr öffentliche Betatester benötigen oder wünschen würde könnten sie jederzeit entsprechende offiziell erhältliche Labor und Betaversionen zur Verfügung stellen.
 
Zuletzt bearbeitet:
Kann nicht eine "fake Firmware" erstellt werden welches die "Inhaus-Keys" auf die Box spielt?
Auch das Einspielen solcher pseudo Firmware-Images wird ja mit der Signaturüberprüfung verhindert. Keine gültige Signatur eben auch keine "fake Firmware" (es sei denn diese "fake Firmware" ist mit dem passenden Schlüssel signiert worden, aber den passenden Schlüssel hat ja eigentlich nur AVM).

Alternativ: Siehe Beitrag #1621 (2. Absatz), das benötigt aber wiederum Konsolenzugriff (bspw. eine ältere Inhaus-Version) um einen eigenen Schlüssel zu "importieren".


Damit auch nicht. Das ist doch nur zum Erstellen einer Checksumme für die Export-Datei gedacht.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.