- Mitglied seit
- 1 Aug 2022
- Beiträge
- 2,501
- Punkte für Reaktionen
- 558
- Punkte
- 113
Zu den enthaltenen OpenSSL Versionen in FRITZ!OS gibt es leider nur dürftige Angaben. Früher gab es auf dem FTP Server bei AVM den Ordner x_misc/opensrc. Dort konnte man alle Informationen finden. Diesen Ordner gibt es leider nicht mehr. Man findet aber unter https://osp.avm.de/ Informationen zu der eingesetzten Open Source Software. Leider sind diese Informationen teilweise unvollständig oder oft auch nicht aktuell.
Beim Update auf FRITZ!OS 7.80 (vermutlich auch schon mit den Laborupdates von FRITZ!OS 7.70) fand ein Wechsel auf den OpenSSL 3.0-Zweig statt. Davon profitieren derzeit leider nur die FRITZ!Box 7590 AX, 7530 AX, 5590 und 5530.
Bei allen anderen Modellen kommen ältere Versionen von OpenSSL zum Einsatz, welche ggf. auch sicherheitsanfällig sein können. Im September 2023 gab es ja ein Sicherheitsupdate für viele Modelle wegen einer Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x.
Die enthaltenen OpenSSL Versionen haben aber einen deutlich älteren Stand. Teilweise enthalten sogar aktuelle Inhaus Versionen aus 2024 noch OpenSSL Version 1.1.1t vom 7. Februar 2023. Bei einigen Modellen mit dem Sicherheitsupdate vom September 2023 ist sogar noch OpenSSL 1.0.2r vom 26 Februar 2019 enthalten.
Die einzige Möglichkeit für mich zum Auslesen der OpenSSL Version ist bislang das Erstellen der Supportdaten. Bei „BEGIN SECTION openssl“ findet man dann die Versionsangabe.
Meine Frage in die Runde: Kennt jemand einen schnelleren Weg, um an diese Informationen zu gelangen? Ebenfalls wäre interessant, welche Modelle mit welchem FRITZ!OS welche Version von OpenSSL enthalten. Dieser Thread könnte dann eine Liste als Übersicht enthalten. Falls es so etwas jedoch schon im Web gibt, freue ich mich auf Hinweise darauf.
Beim Update auf FRITZ!OS 7.80 (vermutlich auch schon mit den Laborupdates von FRITZ!OS 7.70) fand ein Wechsel auf den OpenSSL 3.0-Zweig statt. Davon profitieren derzeit leider nur die FRITZ!Box 7590 AX, 7530 AX, 5590 und 5530.
Bei allen anderen Modellen kommen ältere Versionen von OpenSSL zum Einsatz, welche ggf. auch sicherheitsanfällig sein können. Im September 2023 gab es ja ein Sicherheitsupdate für viele Modelle wegen einer Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x.
[Info] - Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023
Offenbar Sicherheitslücke in FRITZ!OS (im Webserver) entdeckt ([WID-SEC-2023-2262], CVSS Base Score 7.3 von 10): https://avm.de/service/sicherheitsinfos-zu-updates/ https://heise.de/-9294758 https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2262...
www.ip-phone-forum.de
Die enthaltenen OpenSSL Versionen haben aber einen deutlich älteren Stand. Teilweise enthalten sogar aktuelle Inhaus Versionen aus 2024 noch OpenSSL Version 1.1.1t vom 7. Februar 2023. Bei einigen Modellen mit dem Sicherheitsupdate vom September 2023 ist sogar noch OpenSSL 1.0.2r vom 26 Februar 2019 enthalten.
Die einzige Möglichkeit für mich zum Auslesen der OpenSSL Version ist bislang das Erstellen der Supportdaten. Bei „BEGIN SECTION openssl“ findet man dann die Versionsangabe.
Meine Frage in die Runde: Kennt jemand einen schnelleren Weg, um an diese Informationen zu gelangen? Ebenfalls wäre interessant, welche Modelle mit welchem FRITZ!OS welche Version von OpenSSL enthalten. Dieser Thread könnte dann eine Liste als Übersicht enthalten. Falls es so etwas jedoch schon im Web gibt, freue ich mich auf Hinweise darauf.