Digitalisierungsbox Premium Version 1 bekommt keine Updates mehr!

tango501

Aktives Mitglied
Mitglied seit
1 Aug 2022
Beiträge
2,258
Punkte für Reaktionen
490
Punkte
83
"Die Digitalisierungsbox Premium - Version 1 wird nicht mehr mit neuen Firmware-Updates versorgt, da die bintec elmeg GmbH den Geschäftsbetrieb eingestellt hat. Das Insolvenzverfahren wurde am 04.08.2024 eröffnet. Darüber hinaus wird die Digitalisierungsbox Premium - Version 1 zum 01.01.2025 den Status "End of Life" erreichen. Die Folge ist, dass die Digitalisierungsbox Premium - Version 1 keine Software-Updates und keinen Support mehr von uns erhält."
Quelle: https://telekomhilft.telekom.de/t5/...icht-Version-2-Gibt-es-weiterhin/td-p/6807519

Direkt betroffen sind davon die Modelle Digitalisierungsbox Premium (Version 1), Digitalisierungsbox Standard und Digitalisierungsbox Smart (Version 1).
Weiterhin betroffen sind auch die "bauähnlichen" bintec elmeg Geräte be.IP, be.IP_4isdn, be.IP_plus, be.IP_plus_v2, be.IP_plus_world_edition und be.IP_smart.
Bereits bestehende Sicherheitslücken, beispielsweise resultierend aus der Verwendung von mittlerweile veralteten OpenSSL Versionen, werden nun nicht mehr geschlossen.
 
BTW:
beispielsweise resultierend aus der Verwendung von mittlerweile veralteten OpenSSL Versionen
OpenSSL ist (wenn überhaupt, genaue Informationen dazu hat Bintec imo nie bekanntgegeben) nur in (kleinen) Teilen (Modulen) Bestandteil des (proprietären) BOSS. Bintec scheint nach bestimmten Informationen seit 2014 keine neueren Bestandteile von OpenSSL mehr verwendet zu haben. Ob BOSS von älteren und/oder neueren Lücken von OpenSSL überhaupt betroffen ist, scheint unbekannt zu sein. Wenn einige Informationen stimmen, hat Bintec nie auf was aktuelleres als OpenSSL 1.0.4f aufgebaut, was von Heartbleed betroffen war (wobei auch hier unbekannt ist, ob die Implementierung von Bintec überhaupt jemals anfällig war/ist für Heartbleed, Bintec behauptete damals nein, BOSS sei nicht dafür anfällig gewesen).
 
Ob BOSS von älteren und/oder neueren Lücken von OpenSSL überhaupt betroffen ist, scheint unbekannt zu sein.
OpenSSL ist in BOSS enthalten und war auch schon in der Vergangeheit von Sicherheitslücken betroffen.
Dazu nur ein Beispiel aus 2022:

System Software 11.01.03 Patch 11 (11.01.03.111) (April 2022). Verbesserungen / Fehlerbehebungen
- Die Systemsoftware wurde gegen die in CVE-2022-0778 beschriebene Schwachstelle abgesichert.
Quelle: https://www.telekom.de/hilfe/downloads/firmwareaenderungen-digitalisierungsbox-premium.pdf

Release 10.2.10 Patch 2, Sicherheitsrelevante Änderungen
CVE-2022-0778 - Zur Absicherung gegen die in CVE-2022-0778 beschriebenen möglichen Angriffe wurden die von OpenSSL zur Verfügung gestellten Patches in die Systemsoftware integriert.
Quelle: https://archive.bintec-elmeg.com/Fi.../r10210p02/release_notes_beip_10210p2_ger.pdf

This issue affects OpenSSL versions 1.0.2, 1.1.1 and 3.0. It was addressed in the releases of 1.1.1n and 3.0.2 on the 15th March 2022. Fixed in OpenSSL 3.0.2 (Affected 3.0.0,3.0.1). Fixed in OpenSSL 1.1.1n (Affected 1.1.1-1.1.1m). Fixed in OpenSSL 1.0.2zd (Affected 1.0.2-1.0.2zc).
 
Zuletzt bearbeitet:
Daran ist aber leider immer noch nicht zu erkennen, welche Bestandteile von OpenSSL nun wirklich in BOSS enthalten sind und ob andere/neue Lücken von OpenSSL die Implementierung in BOSS betreffen.

Edit:
Könnte durchaus sein, dass da Bintec die Fixes von OpenSSL letztlich "nur" für Backports der eigenen Implementierung verwendet hatte. Genaueres ist halt unbekannt.
 

Zurzeit aktive Besucher

Keine Mitglieder online.

Statistik des Forums

Themen
245,856
Beiträge
2,241,270
Mitglieder
373,142
Neuestes Mitglied
FEY CARLOS
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.