[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023
- Ersteller NDiIPP
- Erstellt am
Einfach nur krass das AVM hier alle durchweg aktualisiert. Fatale e
und problematische Sicherheitslücke oder gute Produkt-Pflege?
So oder so: finde ich gut.
Versuche das mal bei netgear, tplink und co.
Ich habe hier nen RE205 Repeater. Per se nicht schlecht. Dual Band, 10€ Amazon. Aber rev2. Nur Rev 4 kann WPA3, meiner nicht.. warum?
Egal. Danke AVM.
und problematische Sicherheitslücke oder gute Produkt-Pflege?
So oder so: finde ich gut.
Versuche das mal bei netgear, tplink und co.
Ich habe hier nen RE205 Repeater. Per se nicht schlecht. Dual Band, 10€ Amazon. Aber rev2. Nur Rev 4 kann WPA3, meiner nicht.. warum?
Egal. Danke AVM.
Eins nach dem anderen - AVM hat noch viele Geräte offen, die das Update noch brauchen (oder bräuchten).
Ich hatte vor 20 Jahren mal einen Router obduziert, der für das WLAN eine innen versteckte PCMCIA-Steckkarte (damaliger Standard-Erweiterungsslot bei Laptops) hatte. Wenn ein Hersteller bei so einem Design aufgrund Verfügbarkeit auf ein anderes WLAN-Modul umsteigen musste, hatte er eine neue Hardware-Revision, deren Firmware die passenden Treiber der neuen Karte enthalten mußte.
Heute gibt's platzsparendere WLAN-Adapter mit USB oder Mainboard-Stecksockeln. Holt man die aus ihrem Gehäuse und nutzt eine im Gehäuse versteckte Drahtantenne, sind die Dinger erstaunlich klein. Vielleicht gingen beim RE205 irgendwann die WPA2-Module aus und der Hersteller musste auf WPA3-fähige Module umsteigen.
Immerhin hat der Hersteller die Funktion tatsächlich auch aktiviert.
Die Revisionen beziehen sich nicht nur auf Firmware. Es sind auch unterschiedliche Hardwares verbaut - vielleicht haben Rev. 3 und 4 unterschiedliche WLAN-Chips.
Ich hatte vor 20 Jahren mal einen Router obduziert, der für das WLAN eine innen versteckte PCMCIA-Steckkarte (damaliger Standard-Erweiterungsslot bei Laptops) hatte. Wenn ein Hersteller bei so einem Design aufgrund Verfügbarkeit auf ein anderes WLAN-Modul umsteigen musste, hatte er eine neue Hardware-Revision, deren Firmware die passenden Treiber der neuen Karte enthalten mußte.
Heute gibt's platzsparendere WLAN-Adapter mit USB oder Mainboard-Stecksockeln. Holt man die aus ihrem Gehäuse und nutzt eine im Gehäuse versteckte Drahtantenne, sind die Dinger erstaunlich klein. Vielleicht gingen beim RE205 irgendwann die WPA2-Module aus und der Hersteller musste auf WPA3-fähige Module umsteigen.
Immerhin hat der Hersteller die Funktion tatsächlich auch aktiviert.
Zuletzt bearbeitet:
Bzgl rev und HW: das ist schon klar, trotzdem sollte es da keine so relevanten Unterschiede geben.
https://www.tp-link.com/de/support/download/re205/#Firmware
bei anderen TP link Repeater steht auch beim Update was zu wpa3.
auch nur duch Zufall durch Bestellung eines zweiten RE205 bemerkt. aber was nützt wpa3, wenn durch interne HW Änderung der Empfang schlechter wurde.
Egal hier auch unwichtig,.
https://www.tp-link.com/de/support/download/re205/#Firmware
bei anderen TP link Repeater steht auch beim Update was zu wpa3.
auch nur duch Zufall durch Bestellung eines zweiten RE205 bemerkt. aber was nützt wpa3, wenn durch interne HW Änderung der Empfang schlechter wurde.
Egal hier auch unwichtig,.
Das ist leider bei vielen Herstellern so, und da ist AVM keine Ausnahme!
Im Falle der 6820 gibt es auch 3 verschiedene Versionen. Die "normale" 6820 (v1), und dann noch die v2 und die v3.
Die v1 hat nur das "Wartungsupdate" auf 7.30 erhalten, und muss auf die neuen Features verzichten. Die v2 und v3 hingegen haben das Update auf 7.56 bzw. 7.57 bekommen.
Und wie du ja selbst schreibst, hat dich der Repeater lediglich 10 EUR gekostet, dafür bekommst du bei AVM nicht einmal ein Kabel, Netzteil geschweige denn einen kompletten Repeater. Für diesen Betrag kannst du dir vielleicht auf Kleinanzeigen eine leere Schachtel eines AVM Produktes besorgen.
Man muss da schon immer die Kosten im Auge behalten. Ich finde es auch gut, dass AVM bei "Gefahren" schnell reagiert, aber ehrlich gesagt, erwarte ich das auch bei diesem Preis.
Bei anderen Problemen mit den Produkten aus Berlin dauert es auch teilweise über 1 Jahr, bis die Probleme gefixt werden (wenn überhaupt).
Gruß
Roland
Weiß jemand, wie man das Zwangs-Update vorübergehend hart unterdrücken kann?
AVM hat mir jetzt zum zweiten Mal mein custom rom zerschossen, obwohl im Webinterface alle Updates ausgeschaltet sind. Der Webserver ist extern gar nicht und intern nur unter abweichendem Name/IP erreichbar, das Risiko ist also gering, und ich habe echt keine Zeit, vor nächster Woche ein neues ROM zu backen.
AVM hat mir jetzt zum zweiten Mal mein custom rom zerschossen, obwohl im Webinterface alle Updates ausgeschaltet sind. Der Webserver ist extern gar nicht und intern nur unter abweichendem Name/IP erreichbar, das Risiko ist also gering, und ich habe echt keine Zeit, vor nächster Woche ein neues ROM zu backen.
Der Fritz Repeater 300E hat heute auch das Sicherheitsupdate bekommen.
FRITZ.Box_WLAN_Repeater_300E-06.34.image
megafon
FRITZ.Box_WLAN_Repeater_300E-06.34.image
megafon
Interessant wäre mehr über die Sicherheitslücke zu erfahren sobald alle gefährdeten Geräte gefixt sind, vor allem wie das Angriffszenario aussieht. Jetzt hält sich AVM bedeckt, mal sehen ob sie nähere Infos veröffentlichen wenn alle Updates stehen.
Dann halt nicht mehr
IPPF-Promi
- Mitglied seit
- 18 Apr 2008
- Beiträge
- 5,167
- Punkte für Reaktionen
- 948
- Punkte
- 113
Das wäre hochgradig fahrlässig und dumm. Die Details zur Sicherheitslücke gibt man erst preis, wenn sie geschlossen wurde oder zumindest alle die Möglichkeit hatten, das Bugfix einzuspielen.
Legst du das offen, dann ist es zugleich die Einladung an alle, es doch mal zu versuchen, weil selbst Wochen später nicht alle ihre Geräte auf den nötigen Stand gebracht haben.
Ich kann mit der AVM-Kommunikation in dieser Hinsicht hervorragend leben. Spätestens wenn klar wird, was die Sicherheitslücke ausmacht, wird sich die reduzierte Informationspolitik als sinnvoll erweisen.
Legst du das offen, dann ist es zugleich die Einladung an alle, es doch mal zu versuchen, weil selbst Wochen später nicht alle ihre Geräte auf den nötigen Stand gebracht haben.
Ich kann mit der AVM-Kommunikation in dieser Hinsicht hervorragend leben. Spätestens wenn klar wird, was die Sicherheitslücke ausmacht, wird sich die reduzierte Informationspolitik als sinnvoll erweisen.
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,764
- Punkte für Reaktionen
- 2,329
- Punkte
- 113
Imo nein.
Das kann man wohl so sagen, insb. da nun wirklich alte und auch seltene Modelle ein Update erhalten haben (u.a. 7369 oder 7320 usw. mit FRITZ!OS >=6.2x, mittlerweile sogar der 300E der als Repeater nicht an "vorderster Front" eingesetzt wird) aber Modelle wie die 7340, 7270v2/3 oder 7240 nicht, obwohl die (von der 7340 vermutlich abgesehen) wohl noch häufiger im Einsatz sind als einem vielleicht lieb ist (wie schon in #1 erwähnt würde ich als "Border-Router" nichts mehr mit FRITZ!OS <6.8x einsetzen und selbst da könnte man schon darüber diskutieren, ob das wirklich noch gut ist).
Zwar schlägt folgender "Test" auch bei FRITZ!OS 6.0x an (zumindest was die libwebsrv.so betrifft, die libcmapi.so gibt es da noch nicht, da ist das wohl alles noch in der ctlmgr Binary):
https://github.com/Freetz-NG/freetz-ng/commit/89b1c71e9acc4b6f96c0697613fcc2ce93ca6fd1
Aber das ist auch kein wirklicher Test auf diese Schwachstelle. Von daher sehe ich das aktuell ebenfalls schon so wie in folgendem Kommentar von @cuma/fda77/opto vermerkt:
https://github.com/Freetz-NG/freetz-ng/commit/f7b853832da585e940f315ae56690db59c0223ea
Edit:
Ja. Bei bspw. Freetz-NG gibt es dazu bereits seit einiger Zeit sogar eine Option im Menü zum auswählen…
Zuletzt bearbeitet:
Das ist nun wirklich krass. Dann folgt wohl auch die 3370 noch?
Edit: auch die hat noch nen Update bekommen.
SaschaBr
Aktives Mitglied
- Mitglied seit
- 1 Mai 2007
- Beiträge
- 2,351
- Punkte für Reaktionen
- 32
- Punkte
- 48
Ich denke schon dass er das Update auch bekommt… dann muss ich mich wohl aus Sicherheitsgründen wohl nun doch von der letzten In-house verabschieden: Meiner läuft hier ausschließlich als DVB-C>IP-Umsetzer, ohne WLAN.
Schade gibt es keinen Nachfolger zum Beispiel mit Ci+ Slot oder auch ohne.
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,764
- Punkte für Reaktionen
- 2,329
- Punkte
- 113
Die 3370 hatte das Update doch schon vor 6 Tagen (am 07.09.2023) erhalten (auf meiner 3370 habe ich es bereits einen Tag später installiert)! Vorher einfach mal in Beitrag #1 nachschauen (und nein, der 300E steht da noch nicht drin, ich werde ab jetzt nur noch 1x täglich mit dem AVM-Server synchronisieren, i.d.R. dann wohl zwischen 20:00 und 23:00)…
Bestimmt. Einfach abwarten…
Nur die (beliebte) 7.08er Inhaus für den DVB-C Repeater dürfte dann ungefixt bleiben. Wie schon damals vorhergesehen, auch wenn es nicht 1 oder 2 Jahre gedauert hat sondern nun doch ganze 4 Jahre.
Warum Schade?
Ich finde den DVB-C Repeater ein gutes Produkt, darum finde ich es Schade dass es keinen Nachfolger gegeben hat. Die 7.08 inhouse habe ich leider nie installiert.
Zuletzt bearbeitet von einem Moderator:
- Mitglied seit
- 13 Apr 2017
- Beiträge
- 9,764
- Punkte für Reaktionen
- 2,329
- Punkte
- 113
Ach so. Man kann ja den DVB-C Repeater (hoffentlich) weiterverwenden. Als DVB-C>IP-Umsetzer sollte ja (noch) kein Nachfolger notwendig werden. Alternativ könnte man dazu auch eine 6490 usw. als IP-Client/WiFi-AP oder WiFi-Repeater verwenden i.V.m. mit einem neueren FRITZ!OS (wenn neben DVB-C>IP-Umsetzer auch WiFi im Mesh inkl. Band-/AP-Steering gewünscht sein sollte).
Soweit ich weiss hat der DVB-C Anfang 2022 anläßlich der "FragAttack"-Lücke eine Firmware "7.02" erhalten, die auch die Mesh-Funktion innehat.
Meinen hatte ich damals auf der 7.08 Inhouse gelassen; sollte es nun eine neue gepatchte FW für den DVB-C mit Mesh geben, werde ich die Inhouse aber auch verlassen.
Neueste Beiträge
-
[Frage] Dect-WS500S Verbindungen an Compact 4000
- Letzte: oezi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: provisorischerFtmmsch
-
[Frage] Kompletter Ausfall von DNS over TLS (DoT)- Letzte: stoney
