Welche OpenSSL Versionen kommen bei FRITZ!OS zum Einsatz?

tango501

Aktives Mitglied
Mitglied seit
1 Aug 2022
Beiträge
2,501
Punkte für Reaktionen
558
Punkte
113
Zu den enthaltenen OpenSSL Versionen in FRITZ!OS gibt es leider nur dürftige Angaben. Früher gab es auf dem FTP Server bei AVM den Ordner x_misc/opensrc. Dort konnte man alle Informationen finden. Diesen Ordner gibt es leider nicht mehr. Man findet aber unter https://osp.avm.de/ Informationen zu der eingesetzten Open Source Software. Leider sind diese Informationen teilweise unvollständig oder oft auch nicht aktuell.

Beim Update auf FRITZ!OS 7.80 (vermutlich auch schon mit den Laborupdates von FRITZ!OS 7.70) fand ein Wechsel auf den OpenSSL 3.0-Zweig statt. Davon profitieren derzeit leider nur die FRITZ!Box 7590 AX, 7530 AX, 5590 und 5530.

Bei allen anderen Modellen kommen ältere Versionen von OpenSSL zum Einsatz, welche ggf. auch sicherheitsanfällig sein können. Im September 2023 gab es ja ein Sicherheitsupdate für viele Modelle wegen einer Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x.

Die enthaltenen OpenSSL Versionen haben aber einen deutlich älteren Stand. Teilweise enthalten sogar aktuelle Inhaus Versionen aus 2024 noch OpenSSL Version 1.1.1t vom 7. Februar 2023. Bei einigen Modellen mit dem Sicherheitsupdate vom September 2023 ist sogar noch OpenSSL 1.0.2r vom 26 Februar 2019 enthalten.

Die einzige Möglichkeit für mich zum Auslesen der OpenSSL Version ist bislang das Erstellen der Supportdaten. Bei „BEGIN SECTION openssl“ findet man dann die Versionsangabe.

Meine Frage in die Runde: Kennt jemand einen schnelleren Weg, um an diese Informationen zu gelangen? Ebenfalls wäre interessant, welche Modelle mit welchem FRITZ!OS welche Version von OpenSSL enthalten. Dieser Thread könnte dann eine Liste als Übersicht enthalten. Falls es so etwas jedoch schon im Web gibt, freue ich mich auf Hinweise darauf.
 
  • Like
Reaktionen: Bugs Bunny
Ich hab grad mal bei meiner FRITZ!Box 4060 mit aktueller Firmware 7.57 nachgeschaut (in der support-Datei):

Code:
##### BEGIN SECTION openssl
OpenSSL Version: 1.1.1t 7 Feb 2023
##### END SECTION openssl
 
  • Like
Reaktionen: Bugs Bunny
Angeblich portiert AVM auch gerne mal Patches zurück. Daher soll die angezeigte Version nicht immer aussagekräftig sein.
 
  • Like
Reaktionen: chrsto
Aktuelle technische Sicherheitshinweise: 17.10.2024
[NEU] [UNGEPATCHT] [hoch] OpenSSL: Schwachstelle ermöglicht Denial of Service und Remote-Code-Ausführung
Produktbeschreibung
OpenSSL ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert.
Angriff
Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um einen Denial of Service Angriff durchzuführen oder um beliebigen Code auszuführen.
Quelle:

Jeder Anwender sollte seinen Router und dessen Firmware auf die derzeit enthaltenen OpenSSL Versionen überprüfen. Bei bestimmten Routerherstellern erlangt man diese Informationen beispielsweise über das Erstellen der Supportdaten. Bei „BEGIN SECTION openssl“ findet man dann die Versionsangabe. Ein alternativer Weg sind die source files der Routerfirmware, sofern der Routerhersteller diese Informationen in aktueller Version bereitstellt.
Beispielsweise beim Routerhersteller AVM sind diese Informationen hier zu finden:
Derzeit sind aber leider bislang noch keine Sicherheitshinweise oder Sicherheitsinfos beim Routerhersteller AVM darüber zu finden.
 
Oder man liest sich das mal in Ruhe durch und legt sich dann wieder schlafen.

Thus the likelihood of existence of a vulnerable
application is low.

Due to the low severity of this issue we are not issuing new releases of
OpenSSL at this time. The fix will be included in the next release of each
branch, once it becomes available.
 
  • Like
Reaktionen: NDiIPP
und legt sich dann wieder schlafen
Wer kann denn damit noch gut schlafen?

[WID-SEC-2024-3230] OpenSSL: Schwachstelle ermöglicht Denial of Service und Remote-Code-Ausführung
CVSS Base Score 8.1 (hoch) CVSS Temporal Score 7.4 (hoch)
Quelle: https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-3230

Risk Information
CVSS v2 Base Score: 6.8 Vector: CVSS2#AV:N/AC:M/Au:N/C:p/I:p/A:p Severity: Medium
CVSS v3 Base Score: 8.8 Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H Severity: High
Quelle: https://www.tenable.com/cve/CVE-2024-9143
 
  • Like
Reaktionen: Bugs Bunny
Im September 2023 gab es ja ein Sicherheitsupdate für viele Modelle wegen einer Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x.
Ich hab grad mal bei meiner FRITZ!Box 4060 mit aktueller Firmware 7.57 nachgeschaut (in der support-Datei):

OpenSSL Version: 1.1.1t 7 Feb 2023
Ist es schlimm wenn die Version so alt ist, oder ist es hinter dem WAN Port egal und es geht mehr ums Prinzip?
 
Dazu kann keine Aussage getroffen werden, da die Buildumgebung und die ggf. rückportierten Patches nicht bekannt sind.
 
  • Like
Reaktionen: Bugs Bunny
Wer kann denn damit noch gut schlafen?
Im Hinblick auf das FRITZ!OS vermutlich jeder, der den Hintergrund DIESER Vulnerability versteht.

Da besteht die MÖGLICHKEIT, daß jemand beim Erzeugen von Schlüsselpaaren über (unübliche!) elliptische Kurven ungültige Werte für die Kurve vorgibt und dabei dann ein Zugriff auf Speicher außerhalb des zulässigen Bereiches erfolgt. Das betrifft also die üblichen(!) Verfahren wie ED25519 (z.B. Curve25519 von Bernstein oder die neuere Curve1174) nicht und in dem Encoding, was in X.509-Zertifikaten verwendet wird für die zu beglaubigenden Werte (X9.62), lassen sich die für das Ausnutzen der Vulnerability notwendigen ungültigen Werte gar nicht darstellen.



Ich wüßte jetzt nicht, wo man im FRITZ!OS das Generieren von Schlüsseln über elliptische Kurven (obendrein noch mit "Nicht-Standard-Kurven") selbst "anstoßen" könnte und daher würde ich auch bis auf Weiteres sehr ruhig schlafen - zumindest bei der Verwendung einer originalen AVM-Firmware, in der die betroffenen Funktionen zwar tatsächlich enthalten sind:
Rich (BBCode):
vidar:/home/FritzBox/FB6690/squashfs-root $ grep VERSION ./etc/init.d/rc.conf
export CONFIG_VERSION_MAJOR="10"
export CONFIG_VERSION="07.90"
export CONFIG_SUBVERSION="-115500"
export CONFIG_VERSION_MAJOR="267"
url_params_holcvs="${url_params_holc}&version=${CONFIG_VERSION_MAJOR}.${CONFIG_VERSION}&subversion=${CONFIG_SUBVERSION##*-}"
vidar:/home/FritzBox/FB6690/squashfs-root $ grep -r BN_GF2m
grep: ./usr/lib/libcrypto.so.3: binary file matches
vidar:/home/FritzBox/FB6690/squashfs-root $ grep -r EC_GROUP_new_curve_GF2m
grep: usr/lib/libcrypto.so.3: binary file matches
vidar:/home/FritzBox/FB6690/squashfs-root $ grep -r EC_GROUP_new_from_params
grep: ./usr/lib/libcrypto.so.3: binary file matches
vidar:/home/FritzBox/FB6690/squashfs-root $
aber nirgendwo aufgerufen/genutzt werden:
Rich (BBCode):
vidar:/home/FritzBox/FB6690/squashfs-root $ grep -r EC_GROUP
grep: sbin/wpa_supplicant: binary file matches
grep: sbin/hostapd: binary file matches
grep: usr/lib/libssl.so.3: binary file matches
grep: usr/lib/libcrypto.so.3: binary file matches
vidar:/home/FritzBox/FB6690/squashfs-root $ nm -D ./usr/lib/libssl.so.3 | grep EC_GROUP
         U EC_GROUP_get_curve_name
vidar:/home/FritzBox/FB6690/squashfs-root $
Das oben ist nur der "Beweis", daß diese Art der Suche durchaus klappt und glaubwürdige Ergebnisse liefert - sogar in der libssl.so wird nur die Funktion zu Ermitteln des Namens einer Kurve verwendet und ansonsten ist nirgendwo ein Aufruf einer der "kritischen" Funktionen zu finden.



Ich bin ja auch durchaus dafür, daß man aufmerksam ist und seine Software einigermaßen aktuell hält. Aber zu einem vernünftigen Sicherheitskonzept gehört nun mal auch, daß man seine Software nicht alle drei Tage aktualisieren kann (und sollte!) und daß eine (vernünftige) Risikobewertung, bei der man eben NICHT jeden Scheiß alle drei Stunden aktualisiert, einerseits viel Arbeit erspart und andererseits auch deutlich besser für die eigenen Benutzer ist.

Denn die wollen üblicherweise mit einer Software ARBEITEN und sie nicht ständig nur aktualisieren - das sind dann meist nur die "Administratoren" (und da auch nur die schlechten, die eben KEINE eigene Kompetenz im Hinblick auf die Bewertung der Relevanz von Updates haben), die daraus einen Kult machen.

Allerdings werden diese wiederum von vielen Herstellern zumindest indirekt unterstützt (was hier bei OpenSSL aber NICHT der Fall wäre), wenn diese ihrerseits ein streng gehütetes Geheimnis daraus machen, worin die durch ein Update behobene Verwundbarkeit eigentlich bestand. DABEI ist AVM eben leider keine Ausnahme - nur besteht eben bei diesem OpenSSL-Patch auch kein Grund zur Panik.
 
Zuletzt bearbeitet:
Danke für den Hinweis. Es ist schön, wenn sich jetzt heise.de auch diesem Thema annimmt und Informiert.
Noch besser wäre es allerdings, wenn beispielsweise Routerhersteller aus "der Routerhauptstadt" und "der Bundeshauptstadt" auch darüber informieren würden und zumindest die betroffenen Produkte auflisten würden. Zwischen "der Routerhauptstadt" und "der Bundeshauptstadt" geht es ja manchmal zu wie zwischen Villarriba und Villabajo.
 
  • Like
Reaktionen: Bugs Bunny
Es gibt beispielsweise bei AVM (gibt es aber auch bei anderen Herstellern) zwei Webseiten mit Sicherheitshinweisen:
Sicherheitsinfos zu Updates
Aktuelle Sicherheitshinweise
In der Vergangenheit hat man sich häufig zu Sicherheitsmeldungen mit dem Hinweis geäussert "AVM-Produkte sind nicht von der Sicherheitslücke betroffen" oder "Geräte von AVM sind davon nicht betroffen".
Auch dieses ganze Thema könnte man dort mit nur einem kurzen Satz komplett abräumen. Nur leider ist es dort momentan ziemlich still. Zu still?
Anmerkung: Die CVE Bewertung des BSI wurde mittlerweile nach unten auf 7,0 angepasst, was aber immer noch dem Schweregrad "Hoch" der Sicherheitslücke entspricht.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Roboto
Vielleicht tut sich ja was wenn man AVM damit mal konfrontiert?
 
  • Like
Reaktionen: tango501
Das traue ich mich nicht!
Wieso nicht?
Erstelle doch einfach ein Ticket über das Supportformular und schildere Deine Bedenken, dort wirt es sicherlich auch eine interne Stelle für Sicherheitsthemen geben.

Was hast Du zu verlieren? (Und wenn Du Dir dafür extra eine neue eMail-Adresse anlegest - bzw. soll es ja eMail-Provider geben, welche zB genau für solche Zwecke einem ermöglichen, auf dem Hauptaccount zusätzliche, "anonyme" Adressen zu generieren).
 
  • Like
Reaktionen: Bugs Bunny
dort wirt es sicherlich auch eine interne Stelle für Sicherheitsthemen geben
Diese Stelle gibt es und ist sogar direkt und per Mail erreichbar. "Haben Sie Anregungen, wie wir die Sicherheit unserer Produkte noch verbessern können? Dann schreiben Sie uns bitte an [email protected]."
Das habe ich bereits in der Vergangenheit zu anderen Themen und auch über andere geeignete Informationskanäle gemacht und habe da "my very special experience with AVM".
Aber ich wünsche wirklich Jedem der es versuchen möchte viel Glück und Erfolg!
 
  • Like
Reaktionen: Bugs Bunny
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.