[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

[Pom-Fritz!]

Dieses waren aber die zweiten Updates für August!

 

[FlyingToaster]

Vielleicht gibt es OpenSSL als gemeinsamen Nenner.

 

[tango501]

Die 7272 ist jetzt auch berücksichtigt worden.

https://download.avm.de/fritzbox/fritzbox-7272/deutschland/fritz.os/FRITZ.Box_7272-06.89.image

# Weitere Verbesserungen im FRITZ!OS 6.89
## System:
- **Behoben** Stabilität und Sicherheit erhöht

 

[Dann halt nicht mehr]

4020, 6820v2 und 6820v1 haben das Update auch bekommen.

 

[NDiIPP]

[…] OpenSSL als gemeinsamen Nenner.

Die libssl.so bzw. /lib/libssl.so.1.1 sowie libcrypto.so (/lib/libcrypto.so.1.1) sind unverändert.

 

[Roboto]

@Pom-Fritz!
Feature-Drops? Sollten angeblich in diesem Monat bei den Android Updates dabei sein.

 

[FlyingToaster]

FRITZ.Box_7362_SL-07.13.exe ist die Reincarnation der FRITZ.Box_7362_SL-07.13-recover.exe von 2021, Mut zur Lücke?
[08.09] FRITZ.Box_7530_AX-07.56 recover.exe ist auch nicht entwurmt, wie auch FRITZ.Box_7560-07.29.exe.

 

[NDiIPP]

[…] nach <48h hat sich das Webinterface komplett weggehängt und war von keinem Gerät mehr erreichbar. InterNet ging noch, aber ich musste die 7590 stromlos machen, um das Interface zurückzuerhalten.

Hatte ich jetzt bei einer upgedateten 7560 (7.30) und 7590 (7.57) ebenfalls. Der Webserver wurde ja von AVM gefixt, vielleicht hat sich dabei ein neuer Bug eingeschlichen. Wenn ja, dann geht das mit den Updates ggf. bald wieder von vorne los… DuW

 

[oldmen]

Bisher bei beiden 7490 noch alles ok mit dem Webserver (über 60 Stunden).

 

[NDiIPP]

Ja, bei anderen Boxen (u.a. 1x 7580, 1x 7390, 1x 7430, 3x 7530, 2x 7590, 2x 7412, 2x 6490) bisher auch (noch) keine Probleme. Vielleicht hatten sich die beiden einfach nur "verschluckt".

 

[regex2]

Bei 1&1 werden (je nach Vorleister) vermutlich mittlerweile fast alle Anschlüsse über VDSL oder VVDSL realisiert, auch die "langsamen" Verträge, weshalb die "alten" Boxen schon dadurch obsolet werden.

Ich kenne einen 1&1-Anschluss, der mit ADSL2+ Annex-B realisiert ist (die IP kommt von Vodafone, ist also wohl ein Vodafone-Anschluss). Man kann daran auch problemlos eine 7170 oder sogar 7050 betreiben.

 

[NDiIPP]

Sieht so aus als hätte AVM noch kurz vor Ablauf des Tages (dem 07.09.2023) alles ab 6.2x/6.3x "durchgepatcht" (siehe #1, von den alten "unfreien" Cable-Modellen aus der 63xx-Reihe mal abgesehen, da liegen mir einfach keine Informationen vor). Die letzte Box war wohl die 7330 SL wo das Image 23:55 auf dem Server aufgetaucht ist.

 

[SaschaBr]

Komischer Weise habe ich heute für mein Samsung S21 Handy ein Sicherheitspatch erhalten, ….

Hmm…. iOS auch!

 

[Valy]

Cum hoc ergo propter hoc – Wikipedia

de.wikipedia.org

"Correlation does not imply causation"

 

[AugeK]

Meine 7590 und die beiden 7490 laufen problemlos

 

[rst-cologne]

• /lib/libcmapi.so.1.0.0
• /lib/libwebsrv.so.2.0.0

Also offenbar eine Schwachstelle im Webserver bzw. der dazugehörigen Programmbibliothek. Normale Binaries (unter /bin, /sbin usw.) sind unverändert bzw. ggf. nur unterschiedlich aufgrund des neuen "CompileDate".

Wenn jetzt wirklich nur der Webserver betroffen ist, dann sollte ja ein geschlossener Port 443 gegen einen Angriff wirken. Wenn der Port zu ist, kommt man ja nicht bis zum Webserver durch.

 

[H´Sishi]

(Offtopic zu Samsung)
Samsung macht die Updates leider nicht so handlich wie Google, die nur die tatsächlich geupdateten Dateien liefern - Samsung baut komplette Firmware-Builds, damit das Handy-Update "aus einem Guss" ist.
Das hat den Vorteil, daß so eine Firmware-Datei auch als Recovery verwendet werden kann.

 

[megakeule]

Vodafone rollt in Hessen die Updates auf 7.57 für die 6591 aus.
Die neue Version hat sich unmittelbar nach einem Neustart der Box installiert.

 

[Dann halt nicht mehr]

Das, was bislang über die Sicherheitslücke bekannt ist, lässt mich vermuten, dass das bei Samsung und Apple ähnliche Gründe hat und es insgesamt sehr viel mehr Geräte / Hersteller betreffen wird.

AVM hat jetzt über 50 Geräte gefixt, müsste meines Erachtens nach aber auch noch Repeater und Powerline nachziehen, die - falls jemand die absichtlich oder versehentlich mal zum Exposed Host macht - von der Sicherheitslücke so betroffen sind, wie 4020, 4040 und 4060. Bin gespannt, ob das heute noch beginnt.

Gerade im Archivordner bemerkt, dass abgesehen von der 7340 alle Modelle der 73xx-Serie das Sicherheitsupdate erhalten haben.

Sehr löblich, sofern man jetzt auch die 7340 noch nachzieht, dann wären alle Modelle der letzten 13,5 Jahre aktualisiert.

 

[NDiIPP]

Wenn der Port zu ist, kommt man ja nicht bis zum Webserver durch.

Hat man damals bei der webcm-Lücke auch erst gedacht:
https://heise.de/-2115745

Das, was bislang über die Sicherheitslücke bekannt ist, lässt mich vermuten, dass das bei Samsung und Apple ähnliche Gründe hat und es insgesamt sehr viel mehr Geräte / Hersteller betreffen wird.

Wie kommst du zu diesem Schluss?

Gerade im Archivordner bemerkt, dass abgesehen von der 7340 alle Modelle der 73xx-Serie das Sicherheitsupdate erhalten haben.

Genauer, alle Modelle die FRITZ!OS >=7.3x erhalten hatten.

Sehr löblich, sofern man jetzt auch die 7340 noch nachzieht,

Dann müsste man auch noch mit der 7240 und 7270v2/3 nachziehen. Aber vielleicht ist ja FRITZ!OS <=6.0x gar nicht betroffen…