.titleBar { margin-bottom: 5px!important; }

Freetz lässt sich auf neuer 7490 Os 6.51 nicht flashen

Dieses Thema im Forum "Freetz" wurde erstellt von Coolzero82, 8 Feb. 2016.

  1. Coolzero82

    Coolzero82 Mitglied

    Registriert seit:
    24 Sep. 2013
    Beiträge:
    329
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Hallo, ich habe eine neue 7490 mit FritzOs 6.51, und wollte da mein freetz 6.51 Image flashen, allerdings schlägt der Flash Prozess fehl mit der Meldung "Die angegebene Datei enthält keine von AVM für dieses Gerät freigegebenes FritzOs"

    Das Image läuft auf meiner änder 7490 wo vorher schon freetz drauf war problemlos.
    Klappt das flashen auf einer "unberührten" Box nicht mehr?

    Bleibt mir nur der Weg über ein recover auf 6.x?

    Danke
     
  2. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    [post=2143783]Guten Morgen:[/post]

     
  3. Coolzero82

    Coolzero82 Mitglied

    Registriert seit:
    24 Sep. 2013
    Beiträge:
    329
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Versteh ich nicht! Mein freetz entspricht 6.51
     
  4. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Na und? Dein Freetz-Image hat aber keine gültige Signatur (Bitte auch den verlinkten Beitrag lesen der sich hinter dem "Guten Morgen" versteckt).
     
  5. Coolzero82

    Coolzero82 Mitglied

    Registriert seit:
    24 Sep. 2013
    Beiträge:
    329
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    Also bleibt mir nur das recover!? Wo gibt's noch eine 6.24?
     
  6. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    #6 qwertz.asdfgh, 8 Feb. 2016
    Zuletzt bearbeitet: 8 Feb. 2016
    Das 6.50er Recovery reicht doch und das kannst du (noch) ganz normal vom AVM FTP-Server herunterladen.
     
  7. NanoBot

    NanoBot Mitglied

    Registriert seit:
    27 Juni 2005
    Beiträge:
    300
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    #7 NanoBot, 8 Feb. 2016
    Zuletzt bearbeitet: 8 Feb. 2016
    Ich habe hierzu die Frage:

    Betrifft die gelb hervorgehobene Änderung in der 6.51 nur den Fall, daß per Webinterface kein Downgrade auf eine ältere, unsichere Versionen mehr möglich ist ? Oder ist das Flashen einer modifizierten Firmware jetzt per Signaturüberprüfung vollständig blockiert ?

    Im letzteren Falle bliebe ja vorerst noch die Möglichkeit, per Recover ein Downgrade, z.B. auf die 6.30 zu machen, um danach die gefreezte 6.51 flashen zu können. Gleichzeitig stellt sich dann die Frage, ob man mit Hilfe von Freetz ( oder auch anderweitig ) die Signaturüberprüfung wieder deaktivieren kann. Eine andere denkbare Möglichkeit wäre natürlich, eine Flashmöglichkeit per Bootloader statt per Webinterface zu nutzen; aber leider kann afaik das RuKernelTool die neuen Boxen wie die 7490 noch nicht flashen.

    Es wäre eine bodenlose Frechheit seitens AVM, falls man nicht mehr selbst bestimmen könnte, welche Firmware mit welchen Modifikationen auf seinem Eigentum läuft. Alleine schon die Möglichkeit, mit Hilfe von Freetz TR-069 vollständig entfernen zu können, ist ja aus Sicherheitsgründen unverzichtbar. Denn wer weiß, was für Manipulationen Kriminelle oder staatlichen Schnüffler von außen sonst an den Fritz!Boxen vornehmen könnten.

    C.U. NanoBot

    Edit:

    Habe eben gesehen, daß hierrüber auch in dem anderen Thread diskutiert wird und lese mich da mal ein.

    @Coolzero82: Hier ftp://service.avm.de/Downgrade/FRITZ!Box_7490/deutsch/ findest du die 6.30 und 6.50 als Recover, die 6.24 wird aufgrund einer Sicherheitslücke absichtlich nicht mehr von AVM angeboten. Solltest du auf irgendeinem Grunde auf die 6.24 angewiesen sein, schick mir bitte eine PN.
     
  8. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    So ist es.

    S.h. auch hier:
    [post]2145297[/post]

    Ein Recover auf Ver. 6.50 reicht, Ver. 6.30 oder gar 6.24 ist nicht notwendig!
    Oder klassisch per Bootloader.
    Oder ab 6.50 immer nur mit modfs upgraden.
    Oder ab 6.50 immer ein Freetz-Image verwenden.



    S.h dazu auch den Link oben. Oder auch:
    [post]2146266[/post]

    Jein:
    [post]2146893[/post]

    Und auch die eingeführte Singnaturprüfung der Firmware ist so gesehen aus Sicherheitsgründen unverzichtbar:
    [post]2145472[/post]
    Also was nun? ;)

    Eben daher nur noch signierte Firmware.
     
  9. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    484
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Genau, eine komplette Gängelung des Kunden ist die Lösung... :-?

    Lass mich raten, du nutzt auch Apple Hardware?

    Man könnte dem Kunden wenigstens noch ein wenig Freiheit lassen indem man unsignierte Updates zulässt, wenn man z.B. das mit bestimmten Hardwarebuttons an der Fritz!Box bestätigt.

    Wenn Kriminelle physischen Zugriff auf die Fritz!Box haben ist sowieso alles zu spät...
     
  10. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    #10 qwertz.asdfgh, 25 Feb. 2016
    Zuletzt bearbeitet: 25 Feb. 2016
    Was mich betrifft liegst du daneben, du hast (nur wenn du möchtest) noch 2 weitere Versuche.


    BTW 1:
    Solche Bemerkungen/Äußerungen kommen mir doch irgendwie bekannt vor, vermutliche Ursachen für solche Äußerungen könnten sein (ob das schon ein Versuch einer Diagnose sein könnte?): Zu hoher Tellerrand (oder so ähnlich), erst einmal alles schlecht finden was neu ist, unreflektierte Meinungsübernahme z.B. von (irgendeinem) Stammtisch, anfällig für Verschwörungstheorien, unzureichende Auseinandersetzung mit dem Thema zu dem man (s)eine Meinung äußert usw... :mrgreen:

    BTW 2:
    D.h. übrigens nicht, dass ich was gegen Apple-Produkte habe (ich bin kein, Apple-, Microsoft-, *nix-, BSD-, Android-Fanboy), im Gegenteil, ich empfehle und richte diese anderen auch ein. Meine Erfahrung: Mit Apple-Produkten hat der gemeine private DA... äh Durchschnittsuser, der keine spezialisierte Software einsetzt, einfach weniger Probleme und ist insg. zufriedener.
     
  11. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    484
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Ich glaube es wird unzureichende Auseinandersetzung mit dem Thema sein, aber du hilfst auch nicht unbedingt dabei das zu ändern....
    Wie soll ich den bei der Fritzbox 7790 mein Freetz drauf spielen?

    Tja, das habe ich bei meinen Leuten günstiger mit Ubuntu + Cairo-Dock ;)
     
  12. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    22,000
    Zustimmungen:
    33
    Punkte für Erfolge:
    48
    Bis dahin werden sicherlich noch viele andere praktikable Lösungen gefunden. ;)
    Im Moment reicht es, wenn man vorher die Version 6.50 per Recover auf die Box bringt.
     
  13. JokerGermany

    JokerGermany Mitglied

    Registriert seit:
    7 Aug. 2007
    Beiträge:
    484
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Und genau deswegen möchte ich AVM anschreiben.

    Ich habe nämlich kein Bock da locker zu bleiben.
    Nachher ist AVM wie Apple und man sitzt im goldenen Käfig, wenn man AVM kauft...
    Und ich bin begeistert von AVM Fritz!Boxen und den AVM Fritz!Fon Telefonen, ich wüsste momentan keine gleich gute Alternative die das ganze Zeug kann, was ich gerne hätte...
     
  14. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Auch wenn Eigenlob stinkt, ich bin durchaus anderer Meinung. Oder kannst du mir erklären, weshalb ich sonst z.B. Beitrag #8 mit den Möglichkeiten für das aufspielen unsignierter Firmware verfasst haben sollte incl. weiterführender Links mit Erläuterungen zu diesem Thema? Also wenn das derzeit keinem weiterhilft sitzt das Problem eher vor dem TFT, und dieser TFT steht wohl eher nicht bei AVM...

    Das kannst du gerne machen, das hat dir hier auch keiner verboten (wie bzw. warum auch)...


    Und auch das wäre noch nicht einmal unbedingt notwendig. Der Bootloader ist schließlich (noch) nicht gesperrt. Und dann gäbe es auch noch JTAG (wobei ich gerade nicht weiß, ob das wirklich funktioniert. War ja bis jetzt i.d.R. nicht notwendig wenn man nicht ausversehen/absichtlich den Bootloader zerstört hat)...

    [hr]
    [/hr]

    [OT]
    Dann hast du vermutlich einen relativ eingeschränkten "Kundenkreis", oder eine eingeschränkte Sichtweise.

    In meinem Kundenkreis finden sich PC/Notebooks mit MacOS oder Windows, aber ich setze schon seit ein paar Jahren (die ersten DAU-/Kundenrechner seit 2009 als kleiner "Testballon") auch sehr gerne Debian, Ubuntu/LM und vereinzelt mittlerweile sogar schon archlinux auf "DAU-Rechnern" ein (ist ein Experiment von mir was ich Anfang 2015 gestartet habe wie gut das auf "DAU-Rechner" funktioniert, es hat Vorteile aber auch schon einige, tw. gravierende, Nachteile offenbart, deshalb bisher nur testweiser Einsatz auf Rechnern die nicht zu viele km entfernt stehen).
    MacOS/Apple bzw. *nix-Systeme haben aber in den letzten Jahren durchaus ordentlich zugelegt in meinem nicht repräsentativen Umfeld, besonders die (Durchschnitts)-Nutzer mit Apple-Produkten sind i.d.R. überdurchschnittlich begeistert nach einiger Zeit der Gewöhnung (daran kann auch "Cairo-Dock" nichts ändern denn es gehört dazu schon wesentlich mehr). Ich gebe aber auch zu, bis jetzt nicht viel Erfahrung (bzw. keine aktuelle mehr) mit anderen Distributionen wie Suse, Fedora o.ä. gemacht zu haben (beide habe ich leider schon seit ein paar Jahren nicht mehr probiert, ich glaube seit das mit Ubuntu damals begann).

    Bei den Smartphones kommt dagegen iOS, Android, Bada, Maemo/MeeGo, Tizen, WP oder Blackberry zum Einsatz (tatsächlich alles schon eingesetzt), wobei die Blackberrys mittlerweile leider nicht mehr genutzt werden, seit einem Jahr ca. Auch WP wird mittlerweile wieder unbeliebter (was aber scheinbar nicht nur in meinem Umfeld so ist wenn man die aktuellen Statistiken/Meldungen dazu betrachtet). Es gibt aber auch 2 oder 3 ganz harte ehm. Symbian-Fans die mittlerweile auf MeeGo/Tizen schwören, ich neige sogar etwas dazu mich von denen anstecken zu lassen.

    Kurzum: Jeder was er will, braucht bzw. am besten mit zurechtkommt, das perfekte System gibt es jedenfalls sowieso nicht. Jedoch sind Vorurteile wohl eher was für Leute wie dich... :mrgreen:
    [/OT]
     
  15. Andre

    Andre IPPF-Promi

    Registriert seit:
    27 Dez. 2004
    Beiträge:
    3,306
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Beruf:
    Ingenieur
    Ort:
    Schotten
    Die angeblichen Sicherheitsgründe sind offenkundig ziemlicher Unsinn, sowohl was den entfallenen Telenetzugang, als auch, was die fehlende Möglichkeit, per Webinterface geänderte Firmware einzuspielen angeht.
    AVM verwendet für Zugangsdaten / VoIP-Passwörter immer noch die gleiche Verschlüsselung; dadurch kann man die Einstellungen jederzeit exportieren, ältere Firmware aufspielen, alle Einstellungen importieren und alle sicherheitsrelevanten Daten dekodieren, beliebige Änderungen über telnet vornehmen und anschließend die Firmware wieder updaten. Das kann jeder, der das Passwort für die Weboberfläche kennt - was aber auch beim Firmwareupdate und Telentzugang Voraussetzung wäre.
    Der Sicherheitsgewinn, den AVM proklamiert, gibt es also tatsächlich gar nicht.

    Als Sicherheitsmerkmal wäre das Ganze nur mit Änderung des Verschlüsselungssystems in irgendeiner Weise sinnvoll - bei Zwang, die Box nach dem Update neu einzurichten. Denn ansonsten könnten durch Downgrade, Manipulation von Daten und anschließendem Upgrade weiterhin Veränderungen untergeschoben werden. Das wäre für die Normaluser natürlich unerträglich - aber wenigstens irgendwie nachvollziehbar. So ist das - insbesondere mit der offenkundigen Unwahrheit, das diese Features aus Sicherheitsgründen entfallen sind - eher als (vorsätzliche?) Täuschung der Kunden, quasi als Werbemotto "Wir tun was für höhere Sicherheit" zu betrachten. Zumal in Zeitschriftenberichten die angeblichen Sicherheitsgründe ja unreflektiert übernommen werden.
     
  16. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Hmm, und an dieser Stelle scheitert dann evtl. schon das gesamte Gedankenspiel, oder wie soll das Downgrade durchgeführt werden? Ganz abgesehen davon, dass ein Angreifer mit einem (infizierten) Gerät von innen sich auch bei einem funktionierenden Downgrade bereits erfolgreich aussperren würde da er von außen nicht mehr auf dieses Gerät zugreifen kann um die weiteren Aktionen durchzuführen (Zugangsdaten/-konfiguration für den Internetanschluss weg da Downgrade/Recovery auch gleich Werkseinstellungen bedeutet).
     
  17. Andre

    Andre IPPF-Promi

    Registriert seit:
    27 Dez. 2004
    Beiträge:
    3,306
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Beruf:
    Ingenieur
    Ort:
    Schotten
    Muss er ja gar nicht. Der Export der Einstellungen mit Passwort geschützt reicht, um es auf jeder anderen Box (also beim Hacker zu hause im Kämmerlein) mit niedrigerem Firmwarestand aufzuspielen, Zugangsdaten und Passwörter auszulesen, per Telnet und Konfigprogamm sonst nicht zugängliche Einstellungen zu ändern. Dann eigene Box updaten, auf gleichen Firmwarestand wie die entfernte Box, mit Passwort gesichert exportieren und schwupss - die entfernte Box übernimmt die Einstellungen komplett. Sofern der Hacker nicht eh nur auf die Zugangsdaten/VoIP scharf ist.
    Alleine mit dem Vollzugriff auf die Konfiguration kann er so einiges anstellen - eine manipulierte Firmware ist meist nicht nötig.

    Mein Hauptpunkt: Es ist schlicht kein Sicherheitsgewinn, telnet, unsignierte Firmware und das Entschlüsselungsprogramm zu verbieten, so lange die Verschlüsselungsmethode nicht geändert wird und man jede gespeicherte Exportdatei auf anderen Boxen importieren kann. Um Telnet auszuführen und Passwörter zu entschlüsseln, braucht man das Passwort für den Zugriff auf die Oberfläche. Hat man das, hilft es nichts, wenn die genannten Funktionen nicht zur Verfügung stehen. Hat man es nicht, kann man Telnet, Firmwareupdate und Entschlüsselungsprogramm eh nicht nutzen...

    Was auch noch intransparent ist: tr069-Firmwareupdate. Nach der tr069.conf verstehe ich das so, dass die Signaturpflicht da abgeschaltet werden könnte. Dann noch die ganzen Pfadeinstellungen in den Konfigs verändern... Das ist allerdings wirklich noch hypothetisch (im Gegensatz zum Auslesen Zugangsdaten - ich hatte meine am anderen Wohnsitz liegen und habe sie mir auf dem Weg aus der Fritzbox ausgelesen - ebenso die VoIp-Daten remote bei meinen Eltern, die zur Einrichtung am Ferienwohnsitz gebraucht wurden).
     
  18. qwertz.asdfgh

    qwertz.asdfgh IPPF-Promi

    Registriert seit:
    18 Feb. 2011
    Beiträge:
    4,462
    Zustimmungen:
    60
    Punkte für Erfolge:
    48
    Ok, dann stellst sich mir die nächste Frage, woher ist das Passwort für die FritzBox um einen solchen Export zu erstellen? Glücklicherweise kann dieses z.B. nicht mehr unverschlüsselt durch ein Telnet-Login im Heimnetz übertragen werden, also ein Angriffsvektor weniger...
     
  19. chilango79

    chilango79 Aktives Mitglied

    Registriert seit:
    14 Apr. 2010
    Beiträge:
    1,824
    Zustimmungen:
    33
    Punkte für Erfolge:
    48
    Hmm. Wir schwimmen auf einer Welle. Hab damals Win95 angefangen, danach mit Suse 6 oder so rumprobiert (aber gescheitert da auf eigenbaurechner). Danach durch Ubuntu dann umgestiegen, mittlerweile auf Mint Debian. Arch fehlt noch aber hab ich letzten Sommer in der C-Base empfohlen bekommen für mein erstes Apple-Book.

    Und bei Telefonen hat mich noch nichts überzeugt von Meego umzusteigen. BIs dahin hatte ich jöhrlich ein neues Telefon (ist hier so). Nun seid 3 Jahren weigere ich mich etwas neues anzuschaffen. :D
    Vorher war das beste Handy das E71. Danach ging es bergab
     
  20. Andre

    Andre IPPF-Promi

    Registriert seit:
    27 Dez. 2004
    Beiträge:
    3,306
    Zustimmungen:
    4
    Punkte für Erfolge:
    38
    Beruf:
    Ingenieur
    Ort:
    Schotten
    Aber immer noch unverschlüsselt per http. Der normale Zugriff auf die Oberfläche ist noch unverschlüsselt möglich und üblich, http://fritz.box wird nicht auf https:fritz.box umgeleitet, um die armen Kunden nicht durch das unsignierte Zertifilat zu verwirren...