[Info] Neue Sicherheitshinweise von AVM

[tester25]

Es gibt diesmal keine Übersichtsseite von AVM dazu, für welche betroffenen Geräte bereits ein Update ausgeliefert wird, oder?

Der FRITZ!WLAN Repeater DVB-C müsste ja genau so betroffen sein wie der 1750E, ein Update bekomme ich allerdings nicht angezeigt.

 

[aina]

Ganz arg toll. Seit Update auf die Version 6.92 stürzt der Repeater 1750E bei mir regelmäßig ab und startet neu. Besonders blöd dabei: Die Paketbeschleunigung wird dabei jedes Mal wieder aktiviert, was aber bei mir zwingend deaktiviert sein muss, da ansonsten Streaming und Internetradio nicht läuft.
Wäre -wieder mal- besser gewesen, ein Update erst dann auszurollen, wenn nicht neue Probleme damit geschaffen werden.

 

[H´Sishi]

Repeater DVB-C (...) ein Update bekomme ich allerdings nicht angezeigt.

Weil's noch keins gibt. AVM muss die Repeater-Funktion noch mit der TV-Funktion kombinieren ...

 

[Pom-Fritz!]

Danke Dir Pom-Fritz.
Das Update für die 1750e ist also nur wichtig wenn dieser per WLAN zur 7490 verbunden ist und nicht per Kabel?

Richtig!
Aber wie @MuP schreibt: Es gibt da noch weitere Bugfixes und das Update geht absolut problemlos.

 

[thommygay24]

AVM schreibt ja, dass Fritzboxen am DSL Anschluss nicht betroffen seien. Ich entnehme dem, dass es kein Update extra vor dem Hintergrund der aktuellen KRACK Attacke geben soll. Das kann ja durchaus richtig sein. Ich betreibe jedoch eine Fritzbox 3490 sowie eine Fritzbox 7412 als Repeater per Wlan an eine Fritzbox 7580 als Basis angebunden.

Müssten nicht die Fritzboxen für solch ein Szenario auch Updates erhalten?

 

[MuP]

Müssten nicht die Fritzboxen für solch ein Szenario auch Updates erhalten?

Ja.

 

[sneaker2]

22.11.2018

Sicherheitsverbesserungen FRITZ!OS 7.00

Beschreibung

• Vielen Dank an B. Blechschmidt, S. Deseke, Dr. K. Andrä, T. Barabosch vom Fraunhofer FKIE sowie C. Knupfer für Meldungen, die zu Sicherheitsverbesserungen führten.
• Details und weitere Punkte werden zu einem späteren Zeitpunkt veröffentlicht.

Behoben mit
FRITZ!OS 7.00

https://avm.de/service/sicherheitsinfos-zu-updates/

 

[sneaker2]

Jetzt Infos zu 7.12 und auch 7.10 drin. Auch die Details zu 6.90 wurden nun nach bald 2 Jahren eingetragen.

23.07.2019

Sicherheitsverbesserungen FRITZ!OS 7.12

Beschreibung

• Möglicher Neustart (CVE-2019-11477) oder unnötig hoher Verbrauch von System-Ressourcen bei Empfang bestimmter SACK-Nachrichten (CVE-2019-11478 und CVE-2019-11479) verhindert.
• Das E-Mail-Kennwort für den Versand von Push-Service-Mails erscheint nicht mehr in der Prozessliste, wenn die Erstellung von Supportdaten und der Versand einer Push-Mail gleichzeitig erfolgen. Vielen Dank an D. Lücking für die Meldung

08.04.2019

Sicherheitsverbesserungen FRITZ!OS 7.10

Beschreibung

• Moderne TLS-Verfahren erzwingen, Unterstützung von TLS 1.0 für FRITZ!Box in der Server-Rolle entfernt.
• Beim Diffie-Hellman-Schlüsselaustausch im TLS-Kontext wird jetzt ein 2048 Bit DH-Parameter genutzt.
• Härtung des Systems durch Nutzung von Stack Smashing Protection (SSP), Position-Independent Executable (PIE/ASLR) und RELocation Read-Only (RELRO).

05.09.2017

Sicherheitsverbesserungen FRITZ!OS 6.90

Beschreibung

• Mögliche Information Leakage in PPPoE-Padding-Bytes behoben. Vielen Dank an das CERT-Team der Deutschen Telekom für die Meldung, insbesondere an C. Kagerhuber und F. Krenn (DTC-A-20170323-001).
• Unerwünschtes Verändern der BPJM-Liste via NAS-Zugriff verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Möglichkeit einer Traffic-Amplification im VPN/IKEv1-Dienst verhindert.
• Datei-Umbenennen in FRITZ!NAS ermöglicht die Ausführung von Code im Browser (XSS). Vielen Dank an T. Roth für die Meldung.
• Gültige SID für Web-UI-Zugang wurde unter bestimmten Rahmenbedingungen bei externen Links an den nächsten Server weitergegeben. Vielen Dank an B. Blechschmidt für die Meldung.
• DNS-Rebind-Schutz auch für die globale IPv6-Adresse der FRITZ!Box durchsetzen. Vielen Dank an B. Blechschmidt für die Meldung.
• Die Einrichtung von Portfreigaben über UPnP, PCP und TR-064 ist nur zu dem Heimnetzgerät möglich, welches die Portfreigabe einrichtet.
• Die zusätzliche Bestätigung wurde auf weitere sicherheitsrelevante Einstellungen ausgeweitet:
  • Setzen von Werkseinstellungen
  • Verändern der DNS-Server-Einstellungen
  • Der Download der erweiterten Supportdaten

https://avm.de/service/sicherheitsinfos-zu-updates/

 

[fda89]

Heute hat AVM ein weiteres sogenanntes "Sicherheitsproblem" veröffentlicht:

DNS-Rebind-Schutz um spezielle Adressformen erweitert.

Wenn ich raten müsste: Es wurde erkannt dass alle aus 127.0.0.0/8 auf localhost verweisen ^^
Dies ist völlig egal für DNSBL-User, Konfiguration von DNS Servern an den Clients (8.8.8.8 Jünger), DoH im Firefox, Dnsmasq mit Freetz, usw

Dagegen ist die Sicherheitsverbesserungen von zB FOS 7.00 (22.11.2018) weiterhin geheim und "werden zu einem späteren Zeitpunkt veröffentlicht." falls sich bis dahin noch jemand daran erinnern kann

 

[PeterPawn]

Das hat AVM nicht selbst herausgefunden, das war ein Fund der RedTeam-Leute, die das schon heute mittag veröffentlichten: https://seclists.org/fulldisclosure/2020/Oct/21

 

[koyaanisqatsi]

Cool ^DAS^ kann ich mit meiner 7560 testen dass dauert bestimmt noch, bis die eine >7.20 ( aktuell 7.12 ) bekommt.

 

[Grisu_]

Wird dann möglicherweise auch nur ein 7.14 oder so Wartungsupdate werden wie für meine 7582, so zumindest meine Befürchtungen, wo ich doch die 7.2x für gscheiteres Mesh bräuchte und mir auf dieser der Sichheitspatch recht egal wäre.

 

[fda89]

Danke für den Link, @PeterPawn
- Also wenn ich das richtig lese wurde für IPv6 gar nichts geblockt!
- Und dazu 127.0.0.1/8 auch komplett nicht geblockt!
Nur das eigene Subnetz 192.168.178.1/24
Bleibt die Frage, ob dieser mimimal-Schutz noch funktionierte, wenn man den IP-Bereich geändert hat...
Vom Gastnetz (und VPN?) fang ich dann lieber erst gar nicht an
Hat schonmal jemand ::1 ausprobiert?

Dann ist Umschreibung "Schutz um spezielle Adressformen erweitert" aber total daneben!
Ich bleib bei dnsmasq