Freetz lässt sich auf neuer 7490 Os 6.51 nicht flashen

Coolzero82

Mitglied
Mitglied seit
24 Sep 2013
Beiträge
345
Punkte für Reaktionen
2
Punkte
18
Hallo, ich habe eine neue 7490 mit FritzOs 6.51, und wollte da mein freetz 6.51 Image flashen, allerdings schlägt der Flash Prozess fehl mit der Meldung "Die angegebene Datei enthält keine von AVM für dieses Gerät freigegebenes FritzOs"

Das Image läuft auf meiner änder 7490 wo vorher schon freetz drauf war problemlos.
Klappt das flashen auf einer "unberührten" Box nicht mehr?

Bleibt mir nur der Weg über ein recover auf 6.x?

Danke
 
[post=2143783]Guten Morgen:[/post]

Heute ist die Version 6.51 final geworden.

...

Verbesserungen und Fehlerbehebung in FRITZ!OS 6.51:

  • System:
    • ...
    • Änderung - das Update mit einer FRITZ!OS-Datei ist ausschließlich mit aktuellen FRITZ!OS-Versionen zulässig
 
Versteh ich nicht! Mein freetz entspricht 6.51
 
Na und? Dein Freetz-Image hat aber keine gültige Signatur (Bitte auch den verlinkten Beitrag lesen der sich hinter dem "Guten Morgen" versteckt).
 
Also bleibt mir nur das recover!? Wo gibt's noch eine 6.24?
 
Das 6.50er Recovery reicht doch und das kannst du (noch) ganz normal vom AVM FTP-Server herunterladen.
 
Zuletzt bearbeitet:
Ich habe hierzu die Frage:

Betrifft die gelb hervorgehobene Änderung in der 6.51 nur den Fall, daß per Webinterface kein Downgrade auf eine ältere, unsichere Versionen mehr möglich ist ? Oder ist das Flashen einer modifizierten Firmware jetzt per Signaturüberprüfung vollständig blockiert ?

Im letzteren Falle bliebe ja vorerst noch die Möglichkeit, per Recover ein Downgrade, z.B. auf die 6.30 zu machen, um danach die gefreezte 6.51 flashen zu können. Gleichzeitig stellt sich dann die Frage, ob man mit Hilfe von Freetz ( oder auch anderweitig ) die Signaturüberprüfung wieder deaktivieren kann. Eine andere denkbare Möglichkeit wäre natürlich, eine Flashmöglichkeit per Bootloader statt per Webinterface zu nutzen; aber leider kann afaik das RuKernelTool die neuen Boxen wie die 7490 noch nicht flashen.

Es wäre eine bodenlose Frechheit seitens AVM, falls man nicht mehr selbst bestimmen könnte, welche Firmware mit welchen Modifikationen auf seinem Eigentum läuft. Alleine schon die Möglichkeit, mit Hilfe von Freetz TR-069 vollständig entfernen zu können, ist ja aus Sicherheitsgründen unverzichtbar. Denn wer weiß, was für Manipulationen Kriminelle oder staatlichen Schnüffler von außen sonst an den Fritz!Boxen vornehmen könnten.

C.U. NanoBot

Edit:

Habe eben gesehen, daß hierrüber auch in dem anderen Thread diskutiert wird und lese mich da mal ein.

@Coolzero82: Hier ftp://service.avm.de/Downgrade/FRITZ!Box_7490/deutsch/ findest du die 6.30 und 6.50 als Recover, die 6.24 wird aufgrund einer Sicherheitslücke absichtlich nicht mehr von AVM angeboten. Solltest du auf irgendeinem Grunde auf die 6.24 angewiesen sein, schick mir bitte eine PN.
 
Zuletzt bearbeitet:
Oder ist das Flashen einer modifizierten Firmware jetzt per Signaturüberprüfung vollständig blockiert ?
So ist es.

S.h. auch hier:
[post]2145297[/post]

Im letzteren Falle bliebe ja vorerst noch die Möglichkeit, per Recover ein Downgrade, z.B. auf die 6.30 zu machen,
Ein Recover auf Ver. 6.50 reicht, Ver. 6.30 oder gar 6.24 ist nicht notwendig!
Oder klassisch per Bootloader.
Oder ab 6.50 immer nur mit modfs upgraden.
Oder ab 6.50 immer ein Freetz-Image verwenden.



Gleichzeitig stellt sich dann die Frage, ob man mit Hilfe von Freetz ( oder auch anderweitig ) die Signaturüberprüfung wieder deaktivieren kann.,
S.h dazu auch den Link oben. Oder auch:
[post]2146266[/post]

... aber leider kann afaik das RuKernelTool die neuen Boxen wie die 7490 noch nicht flashen.
Jein:
[post]2146893[/post]

Alleine schon die Möglichkeit, mit Hilfe von Freetz TR-069 vollständig entfernen zu können, ist ja aus Sicherheitsgründen unverzichtbar.
Und auch die eingeführte Singnaturprüfung der Firmware ist so gesehen aus Sicherheitsgründen unverzichtbar:
[post]2145472[/post]
Also was nun? ;)

Denn wer weiß, was für Manipulationen Kriminelle oder staatlichen Schnüffler von außen sonst an den Fritz!Boxen vornehmen könnten.
Eben daher nur noch signierte Firmware.
 
Denn wer weiß, was für Manipulationen Kriminelle oder staatlichen Schnüffler von außen sonst an den Fritz!Boxen vornehmen könnten.

Eben daher nur noch signierte Firmware.
Genau, eine komplette Gängelung des Kunden ist die Lösung... :-?

Lass mich raten, du nutzt auch Apple Hardware?

Man könnte dem Kunden wenigstens noch ein wenig Freiheit lassen indem man unsignierte Updates zulässt, wenn man z.B. das mit bestimmten Hardwarebuttons an der Fritz!Box bestätigt.

Wenn Kriminelle physischen Zugriff auf die Fritz!Box haben ist sowieso alles zu spät...
 
Lass mich raten, du nutzt auch Apple Hardware?
Was mich betrifft liegst du daneben, du hast (nur wenn du möchtest) noch 2 weitere Versuche.


BTW 1:
Solche Bemerkungen/Äußerungen kommen mir doch irgendwie bekannt vor, vermutliche Ursachen für solche Äußerungen könnten sein (ob das schon ein Versuch einer Diagnose sein könnte?): Zu hoher Tellerrand (oder so ähnlich), erst einmal alles schlecht finden was neu ist, unreflektierte Meinungsübernahme z.B. von (irgendeinem) Stammtisch, anfällig für Verschwörungstheorien, unzureichende Auseinandersetzung mit dem Thema zu dem man (s)eine Meinung äußert usw... :mrgreen:

BTW 2:
D.h. übrigens nicht, dass ich was gegen Apple-Produkte habe (ich bin kein, Apple-, Microsoft-, *nix-, BSD-, Android-Fanboy), im Gegenteil, ich empfehle und richte diese anderen auch ein. Meine Erfahrung: Mit Apple-Produkten hat der gemeine private DA... äh Durchschnittsuser, der keine spezialisierte Software einsetzt, einfach weniger Probleme und ist insg. zufriedener.
 
Zuletzt bearbeitet:
BTW 1:
Solche Bemerkungen/Äußerungen kommen mir doch irgendwie bekannt vor, vermutliche Ursachen für solche Äußerungen könnten sein (ob das schon ein Versuch einer Diagnose sein könnte?): Zu hoher Tellerrand (oder so ähnlich), erst einmal alles schlecht finden was neu ist, unreflektierte Meinungsübernahme z.B. von (irgendeinem) Stammtisch, anfällig für Verschwörungstheorien, unzureichende Auseinandersetzung mit dem Thema zu dem man (s)eine Meinung äußert usw... :mrgreen:
Ich glaube es wird unzureichende Auseinandersetzung mit dem Thema sein, aber du hilfst auch nicht unbedingt dabei das zu ändern....
Wie soll ich den bei der Fritzbox 7790 mein Freetz drauf spielen?

BTW 2:
D.h. übrigens nicht, dass ich was gegen Apple-Produkte habe (ich bin kein, Apple-, Microsoft-, *nix-, BSD-, Android-Fanboy), im Gegenteil, ich empfehle und richte diese anderen auch ein. Meine Erfahrung: Mit Apple-Produkten hat der gemeine private DA... äh Durchschnittsuser, der keine spezialisierte Software einsetzt, einfach weniger Probleme und ist insg. zufriedener.
Tja, das habe ich bei meinen Leuten günstiger mit Ubuntu + Cairo-Dock ;)
 
Und genau deswegen möchte ich AVM anschreiben.

Ich habe nämlich kein Bock da locker zu bleiben.
Nachher ist AVM wie Apple und man sitzt im goldenen Käfig, wenn man AVM kauft...
Und ich bin begeistert von AVM Fritz!Boxen und den AVM Fritz!Fon Telefonen, ich wüsste momentan keine gleich gute Alternative die das ganze Zeug kann, was ich gerne hätte...
 
... aber du hilfst auch nicht unbedingt dabei das zu ändern...
Auch wenn Eigenlob stinkt, ich bin durchaus anderer Meinung. Oder kannst du mir erklären, weshalb ich sonst z.B. Beitrag #8 mit den Möglichkeiten für das aufspielen unsignierter Firmware verfasst haben sollte incl. weiterführender Links mit Erläuterungen zu diesem Thema? Also wenn das derzeit keinem weiterhilft sitzt das Problem eher vor dem TFT, und dieser TFT steht wohl eher nicht bei AVM...

Und genau deswegen möchte ich AVM anschreiben.
Das kannst du gerne machen, das hat dir hier auch keiner verboten (wie bzw. warum auch)...


Im Moment reicht es, wenn man vorher die Version 6.50 per Recover auf die Box bringt.
Und auch das wäre noch nicht einmal unbedingt notwendig. Der Bootloader ist schließlich (noch) nicht gesperrt. Und dann gäbe es auch noch JTAG (wobei ich gerade nicht weiß, ob das wirklich funktioniert. War ja bis jetzt i.d.R. nicht notwendig wenn man nicht ausversehen/absichtlich den Bootloader zerstört hat)...




[OT]
Tja, das habe ich bei meinen Leuten günstiger mit Ubuntu + Cairo-Dock ;)
Dann hast du vermutlich einen relativ eingeschränkten "Kundenkreis", oder eine eingeschränkte Sichtweise.

In meinem Kundenkreis finden sich PC/Notebooks mit MacOS oder Windows, aber ich setze schon seit ein paar Jahren (die ersten DAU-/Kundenrechner seit 2009 als kleiner "Testballon") auch sehr gerne Debian, Ubuntu/LM und vereinzelt mittlerweile sogar schon archlinux auf "DAU-Rechnern" ein (ist ein Experiment von mir was ich Anfang 2015 gestartet habe wie gut das auf "DAU-Rechner" funktioniert, es hat Vorteile aber auch schon einige, tw. gravierende, Nachteile offenbart, deshalb bisher nur testweiser Einsatz auf Rechnern die nicht zu viele km entfernt stehen).
MacOS/Apple bzw. *nix-Systeme haben aber in den letzten Jahren durchaus ordentlich zugelegt in meinem nicht repräsentativen Umfeld, besonders die (Durchschnitts)-Nutzer mit Apple-Produkten sind i.d.R. überdurchschnittlich begeistert nach einiger Zeit der Gewöhnung (daran kann auch "Cairo-Dock" nichts ändern denn es gehört dazu schon wesentlich mehr). Ich gebe aber auch zu, bis jetzt nicht viel Erfahrung (bzw. keine aktuelle mehr) mit anderen Distributionen wie Suse, Fedora o.ä. gemacht zu haben (beide habe ich leider schon seit ein paar Jahren nicht mehr probiert, ich glaube seit das mit Ubuntu damals begann).

Bei den Smartphones kommt dagegen iOS, Android, Bada, Maemo/MeeGo, Tizen, WP oder Blackberry zum Einsatz (tatsächlich alles schon eingesetzt), wobei die Blackberrys mittlerweile leider nicht mehr genutzt werden, seit einem Jahr ca. Auch WP wird mittlerweile wieder unbeliebter (was aber scheinbar nicht nur in meinem Umfeld so ist wenn man die aktuellen Statistiken/Meldungen dazu betrachtet). Es gibt aber auch 2 oder 3 ganz harte ehm. Symbian-Fans die mittlerweile auf MeeGo/Tizen schwören, ich neige sogar etwas dazu mich von denen anstecken zu lassen.

Kurzum: Jeder was er will, braucht bzw. am besten mit zurechtkommt, das perfekte System gibt es jedenfalls sowieso nicht. Jedoch sind Vorurteile wohl eher was für Leute wie dich... :mrgreen:
[/OT]
 
Die angeblichen Sicherheitsgründe sind offenkundig ziemlicher Unsinn, sowohl was den entfallenen Telenetzugang, als auch, was die fehlende Möglichkeit, per Webinterface geänderte Firmware einzuspielen angeht.
AVM verwendet für Zugangsdaten / VoIP-Passwörter immer noch die gleiche Verschlüsselung; dadurch kann man die Einstellungen jederzeit exportieren, ältere Firmware aufspielen, alle Einstellungen importieren und alle sicherheitsrelevanten Daten dekodieren, beliebige Änderungen über telnet vornehmen und anschließend die Firmware wieder updaten. Das kann jeder, der das Passwort für die Weboberfläche kennt - was aber auch beim Firmwareupdate und Telentzugang Voraussetzung wäre.
Der Sicherheitsgewinn, den AVM proklamiert, gibt es also tatsächlich gar nicht.

Als Sicherheitsmerkmal wäre das Ganze nur mit Änderung des Verschlüsselungssystems in irgendeiner Weise sinnvoll - bei Zwang, die Box nach dem Update neu einzurichten. Denn ansonsten könnten durch Downgrade, Manipulation von Daten und anschließendem Upgrade weiterhin Veränderungen untergeschoben werden. Das wäre für die Normaluser natürlich unerträglich - aber wenigstens irgendwie nachvollziehbar. So ist das - insbesondere mit der offenkundigen Unwahrheit, das diese Features aus Sicherheitsgründen entfallen sind - eher als (vorsätzliche?) Täuschung der Kunden, quasi als Werbemotto "Wir tun was für höhere Sicherheit" zu betrachten. Zumal in Zeitschriftenberichten die angeblichen Sicherheitsgründe ja unreflektiert übernommen werden.
 
... ältere Firmware aufspielen, ...

Hmm, und an dieser Stelle scheitert dann evtl. schon das gesamte Gedankenspiel, oder wie soll das Downgrade durchgeführt werden? Ganz abgesehen davon, dass ein Angreifer mit einem (infizierten) Gerät von innen sich auch bei einem funktionierenden Downgrade bereits erfolgreich aussperren würde da er von außen nicht mehr auf dieses Gerät zugreifen kann um die weiteren Aktionen durchzuführen (Zugangsdaten/-konfiguration für den Internetanschluss weg da Downgrade/Recovery auch gleich Werkseinstellungen bedeutet).
 
Muss er ja gar nicht. Der Export der Einstellungen mit Passwort geschützt reicht, um es auf jeder anderen Box (also beim Hacker zu hause im Kämmerlein) mit niedrigerem Firmwarestand aufzuspielen, Zugangsdaten und Passwörter auszulesen, per Telnet und Konfigprogamm sonst nicht zugängliche Einstellungen zu ändern. Dann eigene Box updaten, auf gleichen Firmwarestand wie die entfernte Box, mit Passwort gesichert exportieren und schwupss - die entfernte Box übernimmt die Einstellungen komplett. Sofern der Hacker nicht eh nur auf die Zugangsdaten/VoIP scharf ist.
Alleine mit dem Vollzugriff auf die Konfiguration kann er so einiges anstellen - eine manipulierte Firmware ist meist nicht nötig.

Mein Hauptpunkt: Es ist schlicht kein Sicherheitsgewinn, telnet, unsignierte Firmware und das Entschlüsselungsprogramm zu verbieten, so lange die Verschlüsselungsmethode nicht geändert wird und man jede gespeicherte Exportdatei auf anderen Boxen importieren kann. Um Telnet auszuführen und Passwörter zu entschlüsseln, braucht man das Passwort für den Zugriff auf die Oberfläche. Hat man das, hilft es nichts, wenn die genannten Funktionen nicht zur Verfügung stehen. Hat man es nicht, kann man Telnet, Firmwareupdate und Entschlüsselungsprogramm eh nicht nutzen...

Was auch noch intransparent ist: tr069-Firmwareupdate. Nach der tr069.conf verstehe ich das so, dass die Signaturpflicht da abgeschaltet werden könnte. Dann noch die ganzen Pfadeinstellungen in den Konfigs verändern... Das ist allerdings wirklich noch hypothetisch (im Gegensatz zum Auslesen Zugangsdaten - ich hatte meine am anderen Wohnsitz liegen und habe sie mir auf dem Weg aus der Fritzbox ausgelesen - ebenso die VoIp-Daten remote bei meinen Eltern, die zur Einrichtung am Ferienwohnsitz gebraucht wurden).
 
Muss er ja gar nicht. Der Export der Einstellungen mit Passwort geschützt reicht, ...

Ok, dann stellst sich mir die nächste Frage, woher ist das Passwort für die FritzBox um einen solchen Export zu erstellen? Glücklicherweise kann dieses z.B. nicht mehr unverschlüsselt durch ein Telnet-Login im Heimnetz übertragen werden, also ein Angriffsvektor weniger...
 
In meinem Kundenkreis finden sich PC/Notebooks mit MacOS oder Windows, aber ich setze schon seit ein paar Jahren (die ersten DAU-/Kundenrechner seit 2009 als kleiner "Testballon") auch sehr gerne Debian, Ubuntu/LM und vereinzelt mittlerweile sogar schon archlinux auf "DAU-Rechnern" ein


Es gibt aber auch 2 oder 3 ganz harte ehm. Symbian-Fans die mittlerweile auf MeeGo/Tizen schwören, ich neige sogar etwas dazu mich von denen anstecken zu lassen.
[/OT]

Hmm. Wir schwimmen auf einer Welle. Hab damals Win95 angefangen, danach mit Suse 6 oder so rumprobiert (aber gescheitert da auf eigenbaurechner). Danach durch Ubuntu dann umgestiegen, mittlerweile auf Mint Debian. Arch fehlt noch aber hab ich letzten Sommer in der C-Base empfohlen bekommen für mein erstes Apple-Book.

Und bei Telefonen hat mich noch nichts überzeugt von Meego umzusteigen. BIs dahin hatte ich jöhrlich ein neues Telefon (ist hier so). Nun seid 3 Jahren weigere ich mich etwas neues anzuschaffen. :D
Vorher war das beste Handy das E71. Danach ging es bergab
 
...nicht mehr unverschlüsselt durch ein Telnet-Login im Heimnetz übertragen werden, also ein Angriffsvektor weniger...

Aber immer noch unverschlüsselt per http. Der normale Zugriff auf die Oberfläche ist noch unverschlüsselt möglich und üblich, http://fritz.box wird nicht auf https:fritz.box umgeleitet, um die armen Kunden nicht durch das unsignierte Zertifilat zu verwirren...
 

Statistik des Forums

Themen
244,693
Beiträge
2,216,639
Mitglieder
371,311
Neuestes Mitglied
agl7
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.