[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[Exodus88]

Was mich bei der Geschichte doch ein wenig wundert ist, dass keinerlei Informationen zum Durchführen des Sicherheitsupdates über die üblichen Kanäle stattfindet.
Weder auf Facebook, Telegramm usw. noch unter den NEWS auf der Webseite von AVM wird hier gewarnt oder eine Information herausgegeben, dass man ein Update durchführen soll oder sogar muss.

Sonst bekommt man auch über jede Neuigkeit sofort eine oder sogar mehrere Meldungen. Im Zeitraum der IFA hörte es ja gar nicht mehr auf
Dann war noch das Video mit dem "Katzensprung", zuerst dachte ich das der netten Dame das Schnürchen vom OB heraushängt, bis ich bemerkte, dass es Fransen vom Rock waren

Gruß

Roland

 

[NDiIPP]

Meinen hatte ich damals auf der 7.08 Inhouse gelassen; sollte es nun eine neue gepatchte FW für den DVB-C mit Mesh geben, werde ich die Inhouse aber auch verlassen.

Müsste man mal schauen, ob man die 7.08er Inhaus für den DVB-C Repeater ggf. selbst patchen kann indem man bspw. die beiden Libs von der gepatchten 1160-Firmware verwendet (imo ist das die gleiche CPU).

---

Was mich bei der Geschichte doch ein wenig wundert ist, dass keinerlei Informationen zum Durchführen des Sicherheitsupdates über die üblichen Kanäle stattfindet.

Bei uns stand das sogar in der regulären Tageszeitung, am Dienstag oder Mittwoch dem 06. oder 07.09.2023. Hatte dementsprechend auch eine Menge Anfragen von "besorgten Bürgern" erhalten…

Eine solche Anzahl an Anfragen erhalte ich normalerweise nicht, wenn die von dir erwähnten Plattformen für News verwendet werden. Von daher kann zumindest ich mich dbzgl. nicht beklagen, dass es dazu keine Informationen für Leute gab die quasi keine "Nerds" sind.

 

[H´Sishi]

Du könntest sogar die vom 1750E nehmen - WLAN- und Repeater-Module sind afaik identisch.

Es gab sogar mal eine Anleitung, wie man eine 1750E-Firmware auf einen DVB-C bringt, allerdings zum Preis des Verlusts des TV-Empfangs.

 

[NDiIPP]

Du könntest sogar die vom 1750E nehmen

Nein, der hat ja bereit FRITZ!OS 7.2x. Sollten schon die Files aus einer gefixten 7.1x Firmware sein (7.08 ist ja quasi 7.1x) von einem Modell mit gleicher CPU und Kernel-Version. Daher die Idee den 1160 als Spender zu verwenden.

Es gab sogar mal eine Anleitung, wie man eine 1750E-Firmware auf einen DVB-C bringt,

Ach…

Edit:
Der 1160 scheint leider doch nicht die gleiche CPU zu haben, MIPS32 74Kc (DVB-C/1750E) vs MIPS32 24Kc (1160). Leider scheint es kein anderes Gerät von AVM zu geben mit gefixter 7.1x Firmware und MIPS32 74Kc, oder?

 

[tango501]

Es gibt einen Repeater mit der gleichen CPU/Soc und OS 7.1x. Den FRITZ!WLAN Repeater 450E.

https://download.avm.de/fritzwlan/fritzwlan-repeater-450e/deutschland/fritz.os/FRITZ.Box_WLAN_Repeater_450E-07.15.image

 

[Exodus88]

Bei uns stand das sogar in der regulären Tageszeitung, am Dienstag oder Mittwoch dem 06. oder 07.09.2023.

Bei uns in NBY fand man hier nichts in irgendeiner Zeitung. Es ist aber auch nicht die Aufgabe einer lokalen Ausgabe, die Nutzer über dieses Problem zu informieren. Wenn sie es doch tun, finde ich das löblich.

Da sollte doch wirklich eine Warnung seitens des Herstellers erfolgen, vor allem, wenn nicht immer alles so reibungslos abläuft, wie es sich die Firma aus Berlin vorstellt.

Hier im Thread und auch in anderen Beiträgen des Forums findet man die Info, dass dieses Sicherheitsupdate sogar zwangsweise installiert wurde, auch wenn in den Einstellungen auf "nur informieren" voreingestellt war.

Dieses Verhalten kann ich auch bestätigen. Über Nacht wurde mein 2400er auf der Hofstelle von 7.56 auf 7.57 upgedatet, obwohl die Einstellungen anders lauteten.



Ich wollte das nicht, da mir bei so einer Aktion immer die "dummen" SmartHome Clients durcheinander fliegen und sich mit einem weiter entfernten AP verbinden.
Deshalb wollte ich warten, bis bei allen Repeatern das Update verfügbar ist und anschließen manuell einspielen.
Anschließend alle AVM Komponenten neu starten, dass es wieder passt. Leider ist ASSIA an diesem Anschluss sehr aggressiv, und zwei bis 3 Neustarts innerhalb 7 Tagen führen zu einer Reduzierung im UL. Eine automatische Hochstufung gibt es dann nicht mehr, auch nach 4 Monaten nicht. Abhilfe bringt hier nur ein manuelles Eingreifen seitens der Telekom.

Erstaunlicherweise wurde der 600er, der sich in meinem Netz befindet, nicht upgedatet. Dieser steht sogar auf Stufe 3 und sollte sich automatisch updaten.



Macht er aber nicht... Auch bei meinen Eltern, die ebenfalls einen 600er Repeater an einer 7520 haben, wurde der Repeater nicht upgedatet.
Die 7520 hat das aber sehr wohl am ersten Tag gemacht.
Das ist mir schon beim letzten Update aufgefallen, dass sich der 600er nicht automatisch von der 7.30 (rev.2) auf 7.56 aktualisierte.

Freigegeben wurde die FW am 25.07.2023, upgedatet habe ich dann über die Datei am 02.09.2023 von 7.30 auf 7.56. Auch hier erfolgte kein automatisches Update und die 7520 meldete immer die FW des Repeaters als aktuell.

Seit gestern läuft dann das Update als "Dauerschleife" auf der 7520 für den 600er.



In der Mesh Grafik ist zu sehen, dass er das Update machen möchte bzw. aktuell durchführt.
Das läuft dann 30 Minuten lang und wird dann als "Update erfolgreich" angezeigt, allerdings steht immer noch die 7.56 daneben.
Kurze Zeit später beginnt das Spiel dann von vorne und sieht wieder so aus wie auf dem Screenshot.

In den Log-Einträgen der FB ist weder ein gefundenes noch durchgeführtes Update zu sehen.



Und genau das meine ich, mit dem "nicht so funktioniert wie es sollte".

Gruß

Roland

 

[Feuerwehr2]

Da sollte doch wirklich eine Warnung seitens des Herstellers erfolgen, vor allem, wenn nicht immer alles so reibungslos abläuft, wie es sich die Firma aus Berlin vorstellt.

Hier im Thread und auch in anderen Beiträgen des Forums findet man die Info, dass dieses Sicherheitsupdate sogar zwangsweise installiert wurde, auch wenn in den Einstellungen auf "nur informieren" voreingestellt war.

Die AVM Geräte haben bekanntlich ab Werk die Einstellung, alle Updates automatisch einzuspielen. Bewusst ändern wird das nur eine kleine Minderheit und die wird dann zumindest informiert. Das ist doch wohl Warnung genug.
Ich z.B. gehöre dazu, weil ich ungern ein Update einspielen lassen möchte, während ich zufällig im Urlaub bin. Läuft dabei etwas schief und die Box rebootet nicht sauber, fallen mir Faxempfang und Anrufbeantworter aus, was ich geschäftlich benötige (Faxempfang so etwa zweimal im Jahr, viel öfter erhalte ich Angebote für den neuesten Radarwarner. Als ob ich dafür keine Smartphone-App hätte...).

Eine Zwangsbeglückung mit einem Update kann man kritisch sehen, andererseits wird damit wohl weniger Schaden verursacht, als wenn man es unterlässt.
Vielleicht fehlt noch eine weitere Einstellung: "Ich möchte keine Updates! Vertraut mir, ich weiß was ich tue."

 

[Exodus88]

Eine Zwangsbeglückung mit einem Update kann man kritisch sehen, andererseits wird damit wohl weniger Schaden verursacht, als wenn man es unterlässt.

Da bin ich ja absolut bei dir..

Es ging mir darum, dass sich AVM über die von mir vorgegebenen Einstellung hinwegsetzt und mich zwangsbeglückt

Und auf der anderen Seite, dass es beim 600er nicht klappt. Weder bei mir auf der Hofstelle, noch bei meinen Eltern...

Deshalb wäre eine "Warnung" nicht falsch gewesen - ist aber nur meine persönliche Meinung dazu.

EDIT: Habe das Update für den 600er bei meinen Eltern von der Ferne über die Datei eingespielt. Funktionierte im Gegensatz zu automatischen Updatefunktion auf Anhieb.

Gruß

Roland

 

[Feuerwehr2]

Ich vermute, dass es etwas später auch beim 600er noch geklappt hätte mit dem Autoupdate.
Wo bleiben jetzt eigentlich die Updates für die noch nicht gepatchten aktuellen Repeater? Brauchen die keine??

 

[Benares]

Vielleicht muss man ja nur das hier neben anderen Dingen auch noch abschalten?



Ist diese Option bei "Zwangsbeglückten" aus?

 

[Cobold]

Hmm, noch immer nichts für die beiden "Flagschiff-Repeater" 3000AX und 6000. Seltsam.

 

[Feuerwehr2]

Wo findet man diese Einstellung?

 

[Exodus88]

Auf der Box unter Zugangsdaten, oben in den Reitern..



Ist aber bei mir deaktiviert, half trotzdem nichts.

 

[Feuerwehr2]

Danke, dass sollte AVM dringend mit der "normalen" Updateseite zusammenfassen.

 

[Grisu_]

Ist diese Option bei "Zwangsbeglückten" aus?

Wenn diese Option aus ist würde man bei Stufe I (Info über Updates) ja auch nichts mehr bekommen, da sie ja gar nicht nach neuer verfügbarer FW abfragt.

Somit sehe ich es durchaus auch kritisch, daß Updates entgegen den gemachten Einstellungen ignoriert werden.

 

[Benares]

@Exodus88
Wenn TR-069 aktiv ist, dann hat dein Provider wohl das Update gepusht. Schau auch mal unter Diagnose/Sicherheit ganz unten. Wozu hast du das an?
Das wär dann die 3. Stelle, wo man schauen muss.

 

[Grisu_]

Stimmt, hatte ich auch ganz übersehen, daß dies ebenfalls dazu führen kann (habs selbst aber auch abgedreht, von daher für mich kein Denkansatz).

 

[Zwanzigeinundzwanzig]

@Feuerwehr2 Warum reicht dir der Hinweis auf der Update-Seite nicht?
Hinweis:
Der AVM-Dienst zur Suche nach Updates ist deaktiviert.
Die Einstellungen für diesen Dienst finden Sie unter "Internet > Zugangsdaten > AVM-Dienste".

 

[Exodus88]

@Exodus88
Wenn TR-069 aktiv ist, dann hat dein Provider wohl das Update gepusht.

Seitens der Telekom wurde hier nichts gepusht...

Lt. dem Systemlog wurde das Update meines Repeaters von AVM angestoßen, weil ich es "angeblich" so eingestellt habe...



Das widerspricht aber meinen geposteten Einstellungen aus #186 (ersten Bild)

Das soll auch keine Beschwerde sein, sondern nur eine Feststellung!

Außerdem habe ich zu fast jeder erdenklichen Uhrzeit einen Zugriff von mir Zuhause auf unsere Hofstelle.
Die angezeigte IP (unkenntlich gemacht) ist tatsächlich von der 6690.

Zumindest ist das kein gewollter Zugriff meinerseits, da ich zu dieser Uhrzeit schon fest schlafe. Kann aber gut möglich sein, das ich aus Versehen ein Browserfenster offen hatte?!?

Noch eine Frage in die Runde... Hat sich bei jemanden ein 600er selbstständig auf die 7.57 aktualisiert?

Gruß

Roland

 

[oldmen]

Ja, bei meinem Kollegen (letzte Nacht).