[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

Einfach nur krass das AVM hier alle durchweg aktualisiert. Fatale e
und problematische Sicherheitslücke oder gute Produkt-Pflege?
So oder so: finde ich gut.
Versuche das mal bei netgear, tplink und co.
Ich habe hier nen RE205 Repeater. Per se nicht schlecht. Dual Band, 10€ Amazon. Aber rev2. Nur Rev 4 kann WPA3, meiner nicht.. warum?

Egal. Danke AVM.
 
Eins nach dem anderen - AVM hat noch viele Geräte offen, die das Update noch brauchen (oder bräuchten).

Rev 4 kann WPA3, meiner nicht.. warum?
Die Revisionen beziehen sich nicht nur auf Firmware. Es sind auch unterschiedliche Hardwares verbaut - vielleicht haben Rev. 3 und 4 unterschiedliche WLAN-Chips.

Ich hatte vor 20 Jahren mal einen Router obduziert, der für das WLAN eine innen versteckte PCMCIA-Steckkarte (damaliger Standard-Erweiterungsslot bei Laptops) hatte. Wenn ein Hersteller bei so einem Design aufgrund Verfügbarkeit auf ein anderes WLAN-Modul umsteigen musste, hatte er eine neue Hardware-Revision, deren Firmware die passenden Treiber der neuen Karte enthalten mußte.

Heute gibt's platzsparendere WLAN-Adapter mit USB oder Mainboard-Stecksockeln. Holt man die aus ihrem Gehäuse und nutzt eine im Gehäuse versteckte Drahtantenne, sind die Dinger erstaunlich klein. Vielleicht gingen beim RE205 irgendwann die WPA2-Module aus und der Hersteller musste auf WPA3-fähige Module umsteigen.
Immerhin hat der Hersteller die Funktion tatsächlich auch aktiviert.
 
Zuletzt bearbeitet:
Bzgl rev und HW: das ist schon klar, trotzdem sollte es da keine so relevanten Unterschiede geben.
https://www.tp-link.com/de/support/download/re205/#Firmware
bei anderen TP link Repeater steht auch beim Update was zu wpa3.
auch nur duch Zufall durch Bestellung eines zweiten RE205 bemerkt. aber was nützt wpa3, wenn durch interne HW Änderung der Empfang schlechter wurde.

Egal hier auch unwichtig,.
 
Und gehört vor allen Dingen auch nicht hierher!
 
  • Like
Reaktionen: curiosity
Bei den Repeatern scheinen nur noch 1200 AX, 3000 AX und 6000 zu fehlen.
 
Ich habe hier nen RE205 Repeater. Per se nicht schlecht. Dual Band, 10€ Amazon. Aber rev2. Nur Rev 4 kann WPA3, meiner nicht.. warum?

Das ist leider bei vielen Herstellern so, und da ist AVM keine Ausnahme!

Im Falle der 6820 gibt es auch 3 verschiedene Versionen. Die "normale" 6820 (v1), und dann noch die v2 und die v3.

Die v1 hat nur das "Wartungsupdate" auf 7.30 erhalten, und muss auf die neuen Features verzichten. Die v2 und v3 hingegen haben das Update auf 7.56 bzw. 7.57 bekommen.

Und wie du ja selbst schreibst, hat dich der Repeater lediglich 10 EUR gekostet, dafür bekommst du bei AVM nicht einmal ein Kabel, Netzteil geschweige denn einen kompletten Repeater. Für diesen Betrag kannst du dir vielleicht auf Kleinanzeigen eine leere Schachtel eines AVM Produktes besorgen.
Man muss da schon immer die Kosten im Auge behalten. Ich finde es auch gut, dass AVM bei "Gefahren" schnell reagiert, aber ehrlich gesagt, erwarte ich das auch bei diesem Preis.
Bei anderen Problemen mit den Produkten aus Berlin dauert es auch teilweise über 1 Jahr, bis die Probleme gefixt werden (wenn überhaupt).

Gruß

Roland
 
Weiß jemand, wie man das Zwangs-Update vorübergehend hart unterdrücken kann?

AVM hat mir jetzt zum zweiten Mal mein custom rom zerschossen, obwohl im Webinterface alle Updates ausgeschaltet sind. Der Webserver ist extern gar nicht und intern nur unter abweichendem Name/IP erreichbar, das Risiko ist also gering, und ich habe echt keine Zeit, vor nächster Woche ein neues ROM zu backen.
 
  • Wow
Reaktionen: KunterBunter
Interessant wäre mehr über die Sicherheitslücke zu erfahren sobald alle gefährdeten Geräte gefixt sind, vor allem wie das Angriffszenario aussieht. Jetzt hält sich AVM bedeckt, mal sehen ob sie nähere Infos veröffentlichen wenn alle Updates stehen.
 
Das wäre hochgradig fahrlässig und dumm. Die Details zur Sicherheitslücke gibt man erst preis, wenn sie geschlossen wurde oder zumindest alle die Möglichkeit hatten, das Bugfix einzuspielen.

Legst du das offen, dann ist es zugleich die Einladung an alle, es doch mal zu versuchen, weil selbst Wochen später nicht alle ihre Geräte auf den nötigen Stand gebracht haben.

Ich kann mit der AVM-Kommunikation in dieser Hinsicht hervorragend leben. Spätestens wenn klar wird, was die Sicherheitslücke ausmacht, wird sich die reduzierte Informationspolitik als sinnvoll erweisen.
 
  • Like
Reaktionen: TeomaHK
Hat sich AVM zu den betroffenen Versionen geäußert […]
Imo nein.

[…] oder ist es nur eine begründete Vermutung, weil bisher keine so alten Versionen gefixed worden sind
Das kann man wohl so sagen, insb. da nun wirklich alte und auch seltene Modelle ein Update erhalten haben (u.a. 7369 oder 7320 usw. mit FRITZ!OS >=6.2x, mittlerweile sogar der 300E der als Repeater nicht an "vorderster Front" eingesetzt wird) aber Modelle wie die 7340, 7270v2/3 oder 7240 nicht, obwohl die (von der 7340 vermutlich abgesehen) wohl noch häufiger im Einsatz sind als einem vielleicht lieb ist (wie schon in #1 erwähnt würde ich als "Border-Router" nichts mehr mit FRITZ!OS <6.8x einsetzen und selbst da könnte man schon darüber diskutieren, ob das wirklich noch gut ist).

Zwar schlägt folgender "Test" auch bei FRITZ!OS 6.0x an (zumindest was die libwebsrv.so betrifft, die libcmapi.so gibt es da noch nicht, da ist das wohl alles noch in der ctlmgr Binary):
https://github.com/Freetz-NG/freetz-ng/commit/89b1c71e9acc4b6f96c0697613fcc2ce93ca6fd1
Aber das ist auch kein wirklicher Test auf diese Schwachstelle. Von daher sehe ich das aktuell ebenfalls schon so wie in folgendem Kommentar von @cuma/fda77/opto vermerkt:
https://github.com/Freetz-NG/freetz-ng/commit/f7b853832da585e940f315ae56690db59c0223ea



Edit:
Weiß jemand, wie man das Zwangs-Update vorübergehend hart unterdrücken kann?
Ja. Bei bspw. Freetz-NG gibt es dazu bereits seit einiger Zeit sogar eine Option im Menü zum auswählen…
 
Zuletzt bearbeitet:
Ich frage mich ob der DVB-C Repeater auch noch ein Sicherheitsupdate bekommt, wenn man dem 1750E schon eines verpasst hat.
 
  • Like
Reaktionen: genuede
Ich denke schon dass er das Update auch bekommt… dann muss ich mich wohl aus Sicherheitsgründen wohl nun doch von der letzten In-house verabschieden: Meiner läuft hier ausschließlich als DVB-C>IP-Umsetzer, ohne WLAN.
 
Edit: auch die hat noch nen Update bekommen.
Die 3370 hatte das Update doch schon vor 6 Tagen (am 07.09.2023) erhalten (auf meiner 3370 habe ich es bereits einen Tag später installiert)! Vorher einfach mal in Beitrag #1 nachschauen (und nein, der 300E steht da noch nicht drin, ich werde ab jetzt nur noch 1x täglich mit dem AVM-Server synchronisieren, i.d.R. dann wohl zwischen 20:00 und 23:00)…



Ich frage mich ob der DVB-C Repeater auch noch ein Sicherheitsupdate bekommt,
Bestimmt. Einfach abwarten…

Nur die (beliebte) 7.08er Inhaus für den DVB-C Repeater dürfte dann ungefixt bleiben. Wie schon damals vorhergesehen, auch wenn es nicht 1 oder 2 Jahre gedauert hat sondern nun doch ganze 4 Jahre. :D;)

Warum Schade?
 
Ach so. Man kann ja den DVB-C Repeater (hoffentlich) weiterverwenden. Als DVB-C>IP-Umsetzer sollte ja (noch) kein Nachfolger notwendig werden. Alternativ könnte man dazu auch eine 6490 usw. als IP-Client/WiFi-AP oder WiFi-Repeater verwenden i.V.m. mit einem neueren FRITZ!OS (wenn neben DVB-C>IP-Umsetzer auch WiFi im Mesh inkl. Band-/AP-Steering gewünscht sein sollte).
 
Ich denke schon dass er das Update auch bekommt… dann muss ich mich wohl aus Sicherheitsgründen wohl nun doch von der letzten In-house verabschieden: Meiner läuft hier ausschließlich als DVB-C>IP-Umsetzer, ohne WLAN.
Soweit ich weiss hat der DVB-C Anfang 2022 anläßlich der "FragAttack"-Lücke eine Firmware "7.02" erhalten, die auch die Mesh-Funktion innehat.
Meinen hatte ich damals auf der 7.08 Inhouse gelassen; sollte es nun eine neue gepatchte FW für den DVB-C mit Mesh geben, werde ich die Inhouse aber auch verlassen.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,356
Beiträge
2,250,755
Mitglieder
374,009
Neuestes Mitglied
HansRosenthal
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.