[Info] Neue Sicherheitshinweise von AVM

Ich persönlich begrüße es, wenn AVM Info's zu *gefixten* Sicherheitslücken gibt.

Info's zu bekannten, aber NICHT behobenen Sicherheitslücken zu geben halte ich für sträflich; das ist als ob ich der ganzen Welt verraten würde, wo der Schlüssel zu meinem Haus ist, mit dem Vermerk "der öffnet auch den Tresor".
Der Mittelweg ist, vor der Nutzung bestimmter Funktionen zu warnen, wenn diese das Einfallstor darstellen. Wobei dann immer noch die Unwägbarkeit besteht, ob die Abschaltung wirklich die Lücke unbenutzbar macht.
 
Aber grundsätzlich ist das doch trotz allem positiv zu bewerten, wenn der Hersteller grundlegende Infos über Sicherheitsprobleme seiner Lösungen veröffentlicht.
Natürlich, so sehe ich das auch. Hoffentlich entwickelt sich das weiter (so wie das Flugwesen... © Michail M. Soschtschenko)
 
© Michail M. Soschtschenko
OT, ich bevorzuge S. Michalkow ... aber auch nur, weil ich die Stärken des bekanntesten Rezitators des betreffenden Stückes nicht unbedingt in der Wiedergabe von solchen Kurzgeschichten sehe (allerdings auch nicht im Tatort, aber das ist eine andere Geschichte).

Da ist "Noch'n Gedicht" (andere Baustelle) doch sogar besser; aber auch das von Michalkow ist eine sooo schöne Geschichte ... wann hat man schon mal so eine feucht-fröhliche Geburtstagsfeier und einen anschließenden Waldspaziergang mit so einem glücklichen Ausgang für solch einen Strohkopf.

Auch diverse Limericks aus derselben Zeit sind mir für immer ins Hirn gebrannt ... wir hatten halt keine Spielkonsolen nach dem Krieg. :heul:

@H'Sishi:
Auch wenn ich das bekräftigen würde, ist am Standpunkt "Full disclosure sorgt für die schnellsten Fixes." durchaus auch etwas dran, wie die Realität leider zeigt - wenn man sich die Zeit zwischen der Veröffentlichung der vom "Hacking Team" ausgenutzten Lücken (EDIT: in Flash!) (die waren ja auch nur in dem Torrent versteckt) und der Verfügbarkeit eines Patches (auch außer der Reihe) ansieht, kann man bei "Responsible Disclosure" (bei unwilligen Herstellern) schon vom Glauben abfallen.

Daß man das dann nicht unbedingt noch mit einem "working exploit" verbinden muß, steht auf einem anderen Blatt, aber gerade die Diskussion, welche Schwere eine Lücke nun hat und ob man die Nutzer warnen sollte oder nicht, ob man außer der Reihe fixen sollte oder nicht, usw. - das kann schon recht ermüdend sein und einige Hersteller kümmern sich einen Dreck um solche Probleme bzw. vertrösten die Meldenden immer wieder mit irgendwelchen recht fadenscheinigen Erklärungen.

Daß sich das bei AVM jetzt in eine Richtung entwickelt, die auch ich für extrem nützlich (und vertrauensbildend, zumindest bei mir) halte, habe ich schon in #1 geschrieben und meine (symbolische) Verneigung ist nur schon beendet, weil meine Bandscheiben nicht mehr mitspielen wollten.

Wie schon an anderer Stelle geschrieben, gab es m.W. noch nie eine Firmware mit einer so taufrischen OpenSSL-Library ... wenn es auch eine glückliche Fügung war, daß diese Termine so nah beieinander lagen, ändert das an der Tatsache nichts ... ganz im Gegenteil, es zeigt mir, daß auch eine wirklich schnelle Reaktion über mehrere Modelle bei AVM inzwischen so gut organisiert ist, daß man dem nächsten größeren Problem noch etwas gelassener entgegensehen kann.
 
Ich begrüße ebenfalls den eingeschlagen Weg jetzt von AVM. Es kommt da auch kein Misstrauen auf.

Schon blöd wenn die Information erst zu finden ist wenn es schon zu spät dafür ist.

Aber so in 2 Jahren können wir gerne darüber weiterdiskutieren

Wenn ich so deine letzten Kommentare verfolge, scheint es für dich nicht das Problem der Fritzbox sein.

Entweder weißt du mehr und möchtest es nicht klarer ausdrücken. Möchte dir auch nicht zu nahe kommen.

Im Securitybereich ist alles möglich. Das sieht man auch pur, bei AV-FW Programme.

Es ist kein Grund hier dich nicht mehr zu äußern. Möchte gerne mehr hier von dir Erfahren, wenn es zu diesem Brisanten Thema passt.

Alles gute für Dich.

PS Mein früherer Doc aus dem Sicherheitsbereich hat mal zu mir gesagt, nicht nur, nicht ins Internet gehen sondern das Auto in die Garage stellen und die Räder abschrauben. ;)

Grüße
fritzfon9
 
Zuletzt bearbeitet:
PS Mein früherer Doc aus dem Sicherheitsbereich hat mal zu mir gesagt, nicht nur, nicht ins Internet gehen sondern das Auto in die Garage stellen und die Räder abschrauben. ;)
[OT]
Leute, das Leben ist immer lebensgefährlich und endet mit dem Tod - immer!
[/OT]
 
Diese "Sicherheitshinweise" sind höchstens ein Marketing-Gag, weiter nichts - reine Selbstdarstellung. Zumal ja auch nur bereits gefixte Sicherheitslücken dort aufgefüht werden. Das wäre ungefähr genauso als wenn man bei Produktbewertungen nur positive Rezensionen zulässt. Wem das Produkt gefällt soll es bejubeln und wem nicht der soll es zurückschicken und schweigen. Und dass die "Bad Boys" erst nach Veröffentlichung einer Sicherheitslücke von AVM eine große Angriffswelle starten würden ist ebenso nicht nachvollziehbar. Die Szene weiß schon lange Bescheid bevor das AVM mitbekommt.
Dass man es mit der Sicherheit und den regelmäßigen Updates nicht so eng sieht, ist ja bestens bei den AVM Boxen für Kabelanbieter zu sehen. Dort werden sie übrigens auch an Businesskunden ausgegeben. Die FB6360 ist noch mit Uralt-Firmware 6.04 unterwegs aus 02/2014. Gerne schiebt man den Kabelanbietern den schwarzen Peter zu was auch teilweise zutreffen mag. Aber wenn man doch angeblich die Sicherheit bzw. regelmäßige Versorgung mit Updates so wichtig nimmt dann sollte man Konsequenzen daraus ziehen anstatt die Zusammenarbeit mit den Kabelanbietern noch auszubauen.
Mein Bild von AVM hat sich in den letzten Jahren sehr gewandelt - zum negativen. Das ist wohl sicher auch zum Teil der immer stärker werdenden Konkurrenz auf Fernost geschuldet. Aber in allen Bereichen hat man deutlich "nachgelassen": der Service verweist idR nur noch auf Artikel der AVM-Website, die Firmware reift erst beim Kunden ("Bananenfirmware"), verschärfte Garantiebedingungen und auch bei der Hardware gibt es immer mehr Patzer, siehe C4 (Störgeräusche, Verarbeitung Gehäuse) oder FB7390 die reihenweise bei Gewittern beschädigt werden.
 
Diese "Sicherheitshinweise" sind höchstens ein Marketing-Gag, weiter nichts - reine Selbstdarstellung. Zumal ja auch nur bereits gefixte Sicherheitslücken dort aufgefüht werden. Das wäre ungefähr genauso als wenn man bei Produktbewertungen nur positive Rezensionen zulässt.
Meinung zur Kenntnis genommen, trotzdem fehlen meines Erachtens ein paar Überlegungen bzw. Vergleiche mit anderen Herstellern derselben Branche und - wenn man etwas so kritisiert - realistische(!) Vorschläge, was man wie anders/besser machen sollte. Realistisch deshalb, weil ich mir natürlich auch eine ideale Welt vorstellen kann, in der es nur noch Firmware gibt, die sich am nächsten Tag schon von selbst gefixt hat.

Wenn Du also dort auch nicht behobene Sicherheitsprobleme aufgeführt sehen willst (für nicht bekannte könnte das ja etwas kompliziert werden), dann ist das zwar auch ein Standpunkt - aber ein für mich nicht nachvollziehbarer ... und zeige mir bitte einen Hersteller, der selbst für ungepatchte Lücken in seinen Produkten die Anleitungen für einen Exploit veröffentlicht.

Wenn Du aus diesem Sicherheitshinweisen (die Praxis der "Security Advisories" ist ja nicht unüblich, generell kann ich - für andere Leser - mal die Lektüre dieses Dokuments empfehlen oder auch diese Präsentation, damit man über dieselben Begriffe redet) keine für Dich relevanten Informationen entnehmen kannst, tut mir das zwar leid ... aber dann erwartest Du eben dort etwas anderes zu lesen als ich selbst.

Wo da ein Vergleich mit "Jubelbewertungen" für ein Produkt passen soll, verstehe ich nicht ... auch wirst Du sicherlich nicht ernsthaft erwarten, daß ein Hersteller auf seinen eigenen Seiten negative Erfahrungen mit den eigenen Produkten publiziert oder publizieren läßt, oder? Auch das wäre so fern jeder Realität (Du wirst sicherlich auch keine Homepage im Internet haben, wo als allererstes mal Deine schlechten Eigenschaften (so Du welche haben solltest) aufgezählt werden), daß sich dann tatsächlich jede Diskussion erübrigt.

Die Update-Politik der KNBs kann, darf, soll man kritisieren ... wieso Du das AVM anlasten willst oder der Ansicht bist, daß dann AVM eben nicht mehr mit den KNBs zusammenarbeiten soll (mal abgesehen von den geschäftlichen Interessen von AVM, willst Du dann lieber mit einem TC7200 leben?), wird für mich auch wieder nicht so richtig klar.

Es gab mal einen (versehentlichen) Leak eines AVM-Dokuments (Release Notes zur Version 06.04 für die 6360) ... wenn man dort einen Blick in den Inhalt und die Historie wagt (und dabei dann annimmt, daß AVM wohl kaum ein solches Dokument in allen Einzelheiten führen würde, wenn nicht auch die korrespondierenden Firmware-Versionen verfügbar wären), dann kriegt man eine Vorstellung davon, was die KNBs da "in den Skat drücken".

Auch wenn man AVM einen Vorwurf machen kann, daß sie zu einem Großteil der dort veröffentlichten Korrekturen keine Advisories herausgegeben haben (z.B. zu PR1157) und damit nicht bei den KNBs den nötigen Druck erzeugt haben, ist doch auch für Dich als UM-Kunden mit diesen Sicherheitshinweisen erstmals überhaupt ein Instrument verfügbar, mit dem Du bei Deinem Provider substantiiert darauf hinweisen kannst, daß er sich gefälligst um das Update der Router-Firmware kümmern solle, weil es bekannte (und veröffentlichte) Probleme mit dieser Firmware gibt. Das hat mit "den Schwarzen Peter zuschieben" doch eigentlich nichts zu tun ... das wäre dann der Fall, wenn es entsprechende Firmware-Updates nicht geben würde. Weißt Du das für die 6360 so definitiv, daß Du daraus "Gerne schiebt man den Kabelanbietern den schwarzen Peter zu was auch teilweise zutreffen mag." ableiten kannst? Wenn ja, woher?

Aber wenn man doch angeblich die Sicherheit bzw. regelmäßige Versorgung mit Updates so wichtig nimmt dann sollte man Konsequenzen daraus ziehen anstatt die Zusammenarbeit mit den Kabelanbietern noch auszubauen.
Bei allem Verständnis für Leute, die mit einer Situation unzufrieden sind ... welche Konsequenzen sollte denn AVM Deiner Meinung nach ziehen? Sich aus dem Markt mit DOCSIS-Routern zurückziehen? Schon oben habe ich die Frage nach dem, was dann kommt, aufgeworfen ... selbst wenn Du AVM (nach Deinem gewandelten Bild) nicht mehr für "etwas Besonderes" hältst, muß ja eine Kritik auch begründet sein und sollte eben immer Alternativen aufzeigen (das unterscheidet sie dann eben vom "Meckern").

AVM ist am Ende auch nur eine ganz normale Firma mit einem Angebot, das man annehmen kann oder man läßt es bleiben ... diese ganze "Fanboy"-Geschichte ist ohnehin etwas für postpubertäre Schwärmereien oder für Leute, die ihr Weltbild auf dem Besitz von "Mainstream"-Produkten (das ist ein AVM-Router in D sicherlich) gründen. Wenn man das mal auf eine realistischere Basis zurückführt, ist das ein Gerät, was in vielen Haushalten relativ klaglos seinen Dienst verrichtet - nicht mehr und auch nicht weniger.

Wenn AVM es schafft, recht regelmäßige Updates anzubieten, dann ist das auch nur eine Leistung, die der (End-)Kunde mit einem entsprechenden Aufpreis ggü. Konkurrenzprodukten bezahlt hat (auch wenn sich das nur auf "Vertrauen" gründet, weil er eben keinen "Anspruch" auf ein bestimmtes Update hat, soweit geht die Produkthaftung in D m.W. nicht).

Die Provider (in D) dürften - hier geht es jetzt in den Bereich der "begründeten Spekulation" - AVM vor allem deshalb schätzen, weil eben der Hersteller-Support (in der Landessprache) ihnen einiges an Aufwand vom Hals hält und somit in einer Gesamtrechnung wohl günstiger unter dem Strich ist (auch Kundenzufriedenheit kann man da sicherlich "einpreisen"), auch wenn die Hardwarepreise (vermutlich) auch bei großen Chargen (also großer Abnahmemenge) noch über denen der Konkurrenz liegen werden.

Mein Bild von AVM hat sich in den letzten Jahren sehr gewandelt - zum negativen.
Das geht sicherlich einigen hier so, nicht zuletzt dürfte das an einer extremen Verbreiterung der Produktpalette gelegen haben, für die offenbar die notwendigen Kapazitäten nicht rechtzeitig aufgestockt wurden. Aber wenn dann Bestrebungen unternommen werden, das wieder in die andere Richtung zu drehen, dann sollte man diese meines Erachtens auch zur Kenntnis nehmen und zumindest erst einmal abwarten, was daraus wird. Wenn man AVM gleich von vorneherein die Fähigkeit zur Einsicht und zu einer Änderung von Standpunkten abspricht, dann kann man sich auch jede (begründete) Kritik gleich ersparen ... denn dann würde diese ja ohnehin nichts ändern. Wenn es nur um "Luft machen" geht ... dann braucht man ohnehin keine Begründungen, weil man ja weniger etwas diskutieren und dadurch vielleicht verändern will, sondern nur seiner Unzufriedenheit Ausdruck verleihen möchte.

Auch wenn ich einzelne Deiner Kritikpunkte unterschreiben würde (Bananen-Produkte, Hardware-Patzer - hier schon mit Abstrichen, hinterher weiß es praktisch jeder besser - auch sich biegende Smartphones gehören in diese Kategorie, ebenso ungünstig designte "Antennen") ... was wäre denn an einem Verweis auf einen (passenden! - da hapert es leider immer wieder) Artikel aus einer KB einzuwenden, wenn dort eine funktionierende Lösung bereits so erklärt ist, daß sie auch tatsächlich ein Laie verstehen und umsetzen kann? Ist da ein "Brief" von einem Supporter, der das in seinen eigenen (ggf. verworreneren) Worten erklärt, besser?

So eine Sammlung braucht eben auch ihre Zeit für den Aufbau und es stimmen sogar die dort enthaltenen Informationen nicht immer auf Anhieb (dann kann man auch als Kunde darauf hinweisen und ggf. wird es dann sogar korrigiert oder klargestellt, wenn es nur unglücklich beschrieben war) bzw. nach einem Firmware-Update u.U. nicht mehr.

Aber eine "Erledigung" eines Support-Anliegens hängt doch eher am Verständnis des Bearbeitenden und am Vermögen des Kunden, sein Problem klar und eindeutig zu beschreiben. Wenn man sich hier im IPPF einige Problembeschreibungen ansieht, dann kann man in etwa eine Vorstellung erlangen, was da täglich im Support auflaufen dürfte.

Da kann ich teilweise einen Support-Mitarbeiter sogar verstehen, wenn er nur zwei, drei "buzzwords" aus so einer Anfrage herausliest und dann auf den ersten besten Artikel in der KB, der dabei ausgespuckt wird, verweist. Wenn das dann zur "Masche" wird und so ein Mitarbeiter nur noch auf diese Art Support-Anfragen "erledigt" (weil er selbst am Ende den Inhalt einer Fehlermeldung (fachlich) gar nicht versteht und eine Eskalation an den 2nd-Level-Support gar nicht erst in Betracht zieht), dann ist das auch nicht das Problem der KB, sondern des Mitarbeiters (und vielleicht eines falschen Anreizsystems, aber ich habe auch noch nicht im AVM-Support gearbeitet, daher bleibt das Spekulation).

Zurück zu den "Security Advisories" ... klar sind die zum Teil auch Selbstdarstellung. Aber so eine Information ist mir immer noch lieber als eine Politik, die sich an Iwazaru (Unicode U+1F64A) orientiert und alles immer schön unter der Decke halten will. Ich habe das irgendwo schon einmal geschrieben ... wenn ein Hersteller seine Kunden "dumm sterben läßt", dann ist das wohl kaum besser, als eine (wenn auch recht nebulöse) Warnung vor einer möglichen Schwachstelle - nicht mehr und nicht weniger sollen/wollen(m.E) diese Hinweise sein.
 
Zuletzt bearbeitet:
Diese "Sicherheitshinweise" ...
Ach her je, mit dem falschen Fuß viel zu früh aufgestanden oder gerade eben erst vom Stammtisch aus der Kneipe gekommen und geistig von diesem Niveau noch nicht umgeschaltet? Wenn nein würdest du mich sehr enttäuschen wenn du noch irgendein Produkt vom AVM in deinem Haushalt hättest (auch wenn vom KNB "gesponsert" bzw. nicht in deinem Eigentum), gibt schließlich Alternativen die ein "besseres" Marketing betreiben...




[OT]
OT, ich bevorzuge S. Michalkow ...
Ach her je #2, was habe ich damit nur ausgelöst... ;) Aber dennoch danke für das OT, hat zur "Recherche" ermuntert und wieder ein paar Erinnerungen geweckt...
[/OT]
 
Weiter OT:
Wenn Du wüßtest, wie oft ich der Löwe sein möchte nach der Zeile "und packt den Hasen grob am Kragen:" ... :mrgreen:
 
Ich wollte mit meinem Post eigentlich nur darlegen, dass AVM sich dem Niveau was Support angeht den übrigen Herstellern angepasst hat. Sozusagen von vorher überdurchschnittlich auf Mittelmaß. Ebenso habe ich auch nicht behauptet, dass andere Hersteller es besser machen.
Wenn man sich die Sicherheitshinweise von AVM in Zusammenhang mit dem von dir verlinkten dokument des BSI betrachtet, dann kann man in der Tat nur zu dem Schluss kommen, dass es vorwiegend um Selbstdarstellung geht. Denn wenn man im Rahmen eines coordinated disclosure maßvoll Informationen zu der Schwachstelle ohne techn. Hintergründe (auch vor dem Erscheinen eines Patch) bekanntgibt führt das nicht zwangsläufig auch zu einer Erhöhung der Gefährung! Vielmehr schärft es die Aufmerksamkeit der User nach Updates Ausschau zu halten und würde zumindest auf mich seröser wirken.
Um bei den Kabelboxen zu bleiben, denn diese halte ich für ein sehr gutes Beispiel, ist die Update-Problematik ja nichts neues. Schon 2011 mit dem Erscheinen der ersten Kabelbox 6360 war es offensichtlich, dass Updates nur schleppend und stark verzögert auf den Boxen landen. Seitdem hat AVM fleißig weiter Boxen entwickelt die auf dem gleichen antiquierten Update-Konzept beruhen. Hier würde ich eher AVM des Meckerns und der Untätigkeit bezichtigen wenn seit Jahren immer wieder den KNB's die Schuld gegeben wird ohne die Situation zu ändern oder eine Lösung zu präsentieren. Denkbar wäre z.B. eine Modularisierung der Firmware, eine Art minimalistisches Grundsystem inkl. dem Kabelmodem auf das die Firmware aufsetzt und diese dann auch vom Benutzer aktualisiert werden kann. die Kabelboxen sind doch sowieso schon komplett "dicht". Und durch TR-069 / Provisionierung sollte sich Missbrauch nahezu ausschließen lassen. Was alles möglich wäre - und sicher auch ist - wird AVM sicher noch besser wissen.
Und auch bei den Kabelboxen konnte ich vom Support nur wenig Hilfreiches erfahren. Oftmals wusste man garnicht um die Besonderheiten der Kabelboxen in der Konfiguration als Kabelmodem/eRouter wie sie z.B. bei UM-Business eingesetzt wird und ich musste teilweise sogar noch Aufklärungsarbeit leisten. Selbst bei vermeintlich einfachen Anfragen (Anmeldung von IP-Telefonen) zeigte man sich überfordert. SIP-Registrar und -Proxy, IGMP-Proxy ? Böhmische Dörfer für den Support. So haben sich mittlerweile sechs oder sieben Support-Tickets angesammelt. Entweder sei das gewünschte Vorhaben nicht durchführbar oder aber das Problem ist bekannt und mit Firmware 6.xx bereits behoben aber leider müsse man mich an den KNB verweisen da man keinen Einfluss auf ein Rollout habe. Dank dieses Forums (und weiterer) konnte ich zumindest einige der angeblich unlösbaren Probleme doch meistern.
Dass die Allianz zwischen Kabelnetzbetreibern und AVM profitabel für beide Seiten ist sehe ich genauso und stimme dir da absolut zu. Leidtragende sind die (zahlenden) Kunden die sich mit den oben genannten Problemen rumärgern müssen. Denn es geht ja nicht nur um Sicherheitsupdates die ausbleiben sondern auch zahlreiche Bugfixes und Features die einem vergönnt bleiben. Andere Geräte wie FritzFon oder DECT 100 / 200 erhalten ja auch keine Updates da dies an die Version auf der Box gekoppelt ist. Beispiel: vor kurzem wollte ich unsere beiden betagten MT-D durch zwei C4 ersetzen. Auf den von Amazon gelieferten Geräten war noch eine sehr alte Firmware. Helligkeits- und Bewegungssensor waren noch nicht aktiviert und die Sprachqualität mangelaft wegen Störgeräuschen. Geräte fanden kein Update an der 6360 ("unbekannter Fehler"). Also wieder eingepackt und Retoure. Fakt ist: Funktionen werden beworben die teilweise garnicht nutzbar sind. Hardware wird mitbezahlt die ebenfalls nicht benutzt werden.

PS: Ich wünsche mir weder ein TC7200 noch eine FritzBox sondern die Möglichkeit auf Wunsch "einfach nur" ein Cisco Kabelmodem bekommen zu können :)
 
@sebr:
Daß da die Abstimmung nicht unbedingt klappt zwischen KNBs und AVM ist unstrittig ... ich habe mich schon seit Okt. 2014 gewundert, daß sich kein Sturm der Entrüstung bei den KDG-Kunden zeigte, die auf einer Box mit "DVB-C-Streaming im LAN" (6490) auch nur in die Röhre schauen.

Aber auch das ist letztlich eine Entscheidung des KNB. Wenn er das schon in die Firmware einbauen läßt (das läßt sich vom KNB problemlos per SNMP aktivieren), dann sollte er wenigstens den Kunden auch ein Angebot machen, wie sie an die Nutzung dieses Features gelangen können. Meinetwegen gegen einen zusätzlichen Obolus ... aber so ist das ein Feature in diesem Gerät, das in D theoretisch kein Mensch nutzen kann (oder gibt es Betreiber mit Boxen, die mit AVM-Branding betrieben werden? 6490 meine ich, keine älteren).

Die Frage mit dem DOCSIS-Support ist schon noch eine spezielle ... aber stelle Dir mal vor, Du müßtest in diesen Fragen mit dem Motorola-Support oder mit TechniColor (die sind m.W. sogar aus D) kommunizieren. Daß sich das Support-Niveau verschlechtert hat, ist sicherlich unumstritten (darauf wollte ich mit den fehlenden Kapazitäten ja hinaus), aber gib doch AVM mal eine Chance, sich wieder zu bessern.
 
Zuletzt bearbeitet:
Es geht um das "Verschwinden" des Links aus #1.
 
Ach so :)
Was ich mich noch frage, wie finde ich den unteren (neuen) Punkt über die AVM-Homepage? Da führt irgendwie kein Link hin (hab zumindest unter Service und unter Aktuelles nix gefunden).
 
AVM hat endlich Infos zu 6.50 herausgegeben:
Sicherheitsverbesserungen FRITZ!OS 6.50
Beschreibung

  • Bei der MyFRITZ!-Einrichtung müssen für den myfritz.net-Dienst und den Zugang zur FRITZ!Box unterschiedliche Kennwörter vergeben werden
  • Sichere TLS-Verfahren erzwingen, Unterstützung von SSLv3 auch für alle Client-Rollen der FRITZ!Box (z.B. im Rahmen von TR-069, Webdav-Onlinespeicher) entfernt
  • DNS-Poisoning-Möglichkeit über DHCP-Hostnamen unterbunden. Vielen Dank an A. Vogt für die Meldung.
Behoben mit
FRITZ!OS 6.50

Lösung
Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.
https://avm.de/service/sicherheitsinfos-zu-updates/
 
Weil es ein wenig untergegangen ist ... AVM hat sich offenbar selbst ein paar Gedanken über die "Erreichbarkeit" der Sicherheitshinweise unter https://avm.de/service/aktuelle-sicherheitshinweise/ gemacht (das sind noch nicht die behobenen Probleme aus #56, die sind noch eine Link-Ebene tiefer von dort aus) oder man hat irgendwo gelesen, daß diese (zu) schwer zu finden sind.

Jedenfalls gab es irgendwann zwischen dem 05.10.2016 und dem 01.02.2017 (das sind die beiden letzten Snapshots der AVM-Webpräsenz in der "Wayback Machine", wo ich das versucht habe zu recherchieren und weiter einzugrenzen) eine Änderung auf der Support-Seite unter https://avm.de/service/ - dort findet sich jetzt unten ein Link auf die erwähnte Seite:

AVM_Link.PNG

Damit ist dann z.B. die E-Mail-Adresse für Sicherheitsthemen bei AVM schon auf der dritten Ebene zu finden, der für sichere Kommunikation verwendbare PGP-Schlüssel ist dort dann ebenfalls verlinkt (selbst liegt er aber erst auf der vierten).

- avm.de aufrufen
- dort oben im Menü "Service" auswählen
- in der Service-Seite ganz nach unten scrollen
- dort den Link "Aktuelle Sicherheitshinweise" wählen
- in der nun angezeigten Seite stehen dann im letzten Absatz (hier ist das Scrollen ggf. nicht notwendig, weil die Liste davor nicht allzu lang ist) die Links zu den angeführten Punkten:

- E-Mail-Adresse "[email protected]", mit "mailto"-Link versehen, aber natürlich auch direkt dort herauszukopieren oder sogar abzuschreiben, wenn man möchte
- PGP-Schlüssel von AVM, ein S/MIME-Zertifikat gibt es leider nicht, man muß PGP verwenden, wenn man mit AVM verschlüsselt kommunizieren will
- Link auf die Seite mit den Auszügen aus den behobenen Sicherheitsproblemen: https://avm.de/service/sicherheitsinfos-zu-updates/

Nun muß man also nicht mehr (quasi zwangsweise) die Suche in der Web-Präsenz bemühen, wenn man die Informationen zu den Updates bzw. zu aktuellen Sicherheitshinweisen sucht - mal abwarten, vielleicht "wandern" die ja am Ende gar noch höher und die E-Mail-Adresse und der PGP-Key werden mit einer Aufnahme in die "Kontakt"-Seite geadelt.

Ich weiß zwar inzwischen, wo ich suchen muß, wenn ich zu AVM bei Sicherheitsproblemen Kontakt aufnehmen will ... das dürfte für jemanden, der sich zum ersten Mal dieser Aufgabe gegenüber sieht, aber immer noch deutlich zu aufwändig sein und dann stellt sich am Ende die Frage, ob er das dann lieber aufgibt oder es tatsächlich als wichtig genug ansieht, um sich da "durchzuarbeiten".

Wenn man es (unnötig) kompliziert macht, die notwendigen Informationen zu finden, dann muß man sich auch nicht wirklich wundern, wenn sich niemand mit einem Problem an AVM wendet - zumal es wohl nur für die deutsche Seite (ich habe nur die internationale und die für Österreich als "Gegenprobe" betrachtet) diesen Link auch gibt und sollte tatsächlich mal ein "internationaler" Researcher sich mit einer FRITZ!Box befassen und seinerseits dann ein Problem an AVM melden wollen, läßt ihn die "internationale" Version in Englisch nicht nur schmählich im Stich, wenn es um die direkte Erreichbarkeit der Informationen geht, auch der Versuch der Suche auf der Seite mit "security" und irgendeinem weiteren Begriff wie "issue", "incident" oder "problem" führt (vermutlich wegen einer "oder"-Verknüpfung, aber auch das Zusammenfassen mit Quotes führt nicht zum Erfolg) zu einem Ergebnis, wo auf den jeweils ersten drei Seiten (7 Einträge pro Seite, keine Ahnung ob das an den Client adaptiert wird) überhaupt keine Spur von den (durchaus vorhandenen) Seiten mit den Informationen in Englisch zu finden ist. Nur die Suche mit "security" pur führt dann (für mich etwas unerwartet) tatsächlich zum Auftauchen der Seite mit dem PGP-Key (aber auch wirklich nur dieser) und von dort aus muß/kann man sich dann weiterhangeln.

Das "klingt" auf den ersten Blick ;-) vielleicht nicht so wirklich wichtig ... und ich weiß auch tatsächlich nicht, warum sich international jemand intensiver mit dem FRITZ!OS auseinandersetzen sollte, denn die "Marktmacht" bei den privaten Internet-Anschlüssen hat AVM sicherlich nur in D und schon im "deutschsprachigen" Raum (A/CH/LU/LIE, ggf. NL, vielleicht sogar Südtirol und damit Italien, die spanischen Inseln ja zumindest auch teilweise :mrgreen:) wird das deutlich weniger.

Aber ich hoffe eben auch, daß die Platzierung dieser Informationen eben gerade kein Zeichen dafür ist, wie ernst das Thema "Sicherheit" bei AVM wirklich genommen wird - trotzdem dürfte es eben für jemanden "von außerhalb" relativ schwer sein, die richtigen Informationen zu finden und ich habe mich dabei definitiv nicht "absichtlich dumm" gestellt; es ist einfach wirklich ziemlich versteckt und wirkt ein wenig so, als wolle man besser nicht prominent auf das Thema aufmerksam machen. Von einer Ausrichtung an den Empfehlungen des BSI für "best practices" (Punkt 2.1 auf Seite 2 unten) kann jedenfalls kaum die Rede sein.
 
Zuletzt bearbeitet:
Bei der MyFRITZ!-Einrichtung müssen für den myfritz.net-Dienst und den Zugang zur FRITZ!Box unterschiedliche Kennwörter vergeben werden
Sichere TLS-Verfahren erzwingen, Unterstützung von SSLv3 auch für alle Client-Rollen der FRITZ!Box (z.B. im Rahmen von TR-069, Webdav-Onlinespeicher) entfernt
DNS-Poisoning-Möglichkeit über DHCP-Hostnamen unterbunden. Vielen Dank an A. Vogt für die Meldung

Und deswegen soll man das Update machen ???

Wo ist den das grosse Fritzbox Desaster behoben ?
Sollte doch irgendwo bei 6.23 / 6.30 sein.
 
Ich mag Hacker, die sind vielleicht etwas soziopathisch, aber sonst ganz nett.
:rolleyes:

Blackhats und diese lästigen Scriptkiddies find ich aber zum: :kotz:
 
Und deswegen soll man das Update machen ???

Wo ist den das grosse Fritzbox Desaster behoben ?
Sollte doch irgendwo bei 6.23 / 6.30 sein.
Inzwischen sind wir ja bei 6.80. Was nützt Dir da das vermeintliche Wissen, das Update auf 6.50 wäre nicht kritisch?
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,562
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.