[Sammlung] FRITZ!Repeater 3000 - 2400 - (1750E) - 1200 - 600 - Inhaus/Labor ab 7.19

Hallo, ich habe die Version 7.31-111633 auf meinen 1750E Repeatern installiert. Woran kann man die OpenSSL Version erkennen?
 
Hallo pablotequila, Danke für die Info. Habe selbst derzeit keine 1750E mehr im Einsatz, wüsste aber gerne, welche Version von OpenSSL mittlerweile in der 07.31-111633-Inhaus bei der 1750E enthalten ist.
Hallo,
in der 07.31-111633-Inhaus für den 1750E ist OpenSSL wie folgt integriert:

##### TITLE Version 134.07.31
##### TITLE SubVersion -111633
##### TITLE Produkt Fritz_Box_HW206
##### TITLE Datum Wed Mar 13 08:07:24 CET 2024
##### BEGIN SECTION Support_Data Supportdata Linux fritz.repeater 4.4.60 #1 2021-04-08 mips Version 134.07.31 -111633
Support Data
------------
##### BEGIN SECTION openssl
OpenSSL Version: 1.1.1q 5 Jul 2022
##### END SECTION openssl
 
  • Like
Reaktionen: tango501
OpenSSL Version: 1.1.1q 5 Jul 2022
Danke für die Info mschroeder67, da scheint von AVM mal wieder etwas einfach "vergessen" worden zu sein. Es wurden bereits Anfang Februar 2023 einige Schwachstellen in OpenSSL veröffentlicht, davon eine mit der "Severity: High". Dadurch ist es unter anderem möglich, bei einer aktivierter CRL Prüfung Speicherinhalte auszulesen oder auch eine DoS Attacke auszuführen. Zum Nachlesenen:

Die anderen Repeater hier wie beispielsweise der Repeater 3000 haben in der letzten Inhaus Version, aber auch im am 11.03.2024 erschienenen FRITZ!OS 7.58 die OpenSSL Version: 1.1.1t 7 Feb 2023. Leider sind bislang aber auch hier die weiteren Sicheheitsupdates einfach "vergessen" worden. Aktuell wäre die Version OpenSSL 1.1.1x vom 6 November 2023.
 
Zuletzt bearbeitet:
Glaubst du wirklich das AVM wegen OpenSSL jedes Mal ein Update bringt. Bei einem Versionssprung kann so was mal passieren (also von 7.1x zu 7.2X oder 7.5X oder 7.8X) nur nicht, wenn es im gleichen Zahlenbereich ist.

Wenn du sehen willst, was geändert wurde, schaue HIER

Oder schaue dir die 64X0 und die 6590 an. Da ist heute immer noch OpenSSL 1.0.2 drin
 
Oder schaue dir die 64X0 und die 6590 an. Da ist heute immer noch OpenSSL 1.0.2 drin
Der Versionszweig von OpenSSL 1.0.2 ist überhaupt nicht das Problem. Sowohl für den Versionszweig 1.0.2 als auch für den Versionszweig 1.1.1 gibt es "extended support" und sie erhalten auch weiterhin "security fixes". Wenn ein Versionszweig wie beispielsweise 1.0.2 beibehalten wird, weil der Änderungsaufwand an anderen Stellen für den Wechsel auf einen neueren Versionszweig zu hoch wäre, so ist das durchaus verständlich. Unverständlich ist allerdings, warum innerhalb eines Versionszweiges die Sicherheitsupdates von OpenSSL nicht mit eingebunden werden. Welche konkreten Versionen von OpenSSL 1.0.2 sind den in den aktuellen Versionen für die 64X0 und die 6590 enthalten? Infos zu den Versionen und den Sicherheitslücken in OpenSSL 1.0.2 gibt es hier.
 
Die Frage ist ja nicht ausschließlich, ob es eine Sicherheitslücke in einer Bibliothek gibt, sondern auch, ob sie für die eigene Anwendung relevant ist. Nur dann fordern die regulatorischen Vorgaben ein Update. Und wie ich aus leidvoller Erfahrung in der Vergangenheit mit freetz weiß, setzt AVM zumindest in Teilen auch auf andere SSL Bibliotheken. Jedenfalls war es immer ein Riesenkranmpf, die AVM SSL Bibliotheken durch eine funktionierende OpenSSL Variante zu ersetzen, die man vielleicht für andere Dinge brauchte. Oft blieb da nur das statisch kompilierte Binary.
Also: Ist die OpenSSL Lücke auch eine Lücke in der AVM Firmware?
 
  • Like
Reaktionen: NDiIPP
Ist die OpenSSL Lücke auch eine Lücke in der AVM Firmware?
Die OpenSSL Lücken vom Februar 2023 waren Sicherheitslücken und sind von AVM mit OpenSSL Version 1.1.1t 7 Feb 2023 ja auch behoben worden. Nur offenbar ist das beim 1750E einfach "vergessen" worden.
Andere Hersteller haben Informationen zu Schwachstellen in OpenSSL (CVE-2023-0286, CVE-2022-4304, CVE-2023-0215 und CVE-2022-4450) herausgegeben und über die betroffenen Produkte informiert. Bei AVM gab es das Update "in aller Stille", aber offenbar nicht für alle Produkte. Und ob die Produkte von AVM, welche noch mit OpenSSL 1.0.2 unter der Haube unterwesgs sind, diese Updates im Versionszweig 1.0.2 auch bekommen haben oder noch bekommen werden?
 
Bleibt beim Thema! Spekulationen über vermeintliche oder nicht erfolgte Abdichtungen von Sicherheitslücken gehören hier nicht hin!
=> OT-Polemik gelöscht.
Hint: Weitere Beiträge dieser Art werden auch weiterhin gelöscht
 
Nette Menschen melden dieses Problem dem Hersteller und werden immer noch nicht beachtet.
Das habe ich sogar in 2023 bei AVM gemacht. Als "Belohnung" bekam ich "Textbausteine", "Worthülsen" und "Sprachregelungen" zurück. Auf die konkrete Frage, ob bei OpenSSL seitens AVM ein "extended support" besteht, wurde leider nur geschwiegen.
"OpenSSL 1.0.2 is out of support since 1st January 2020 and is no longer receiving updates. Extended support is available from OpenSSL Software Services for premium support customers."
Quelle: https://www.openssl.org/news/vulnerabilities-1.0.2.html
Aber die Hoffnung soll man ja nicht aufgeben. Vielleicht liest hier ja jemand mit einem Presseausweis mit und stellt dem Hersteller die Frage erneut? Oder ein Netzbetreiber oder gar ein OEM?
 

Neueste Beiträge

Statistik des Forums

Themen
244,695
Beiträge
2,216,688
Mitglieder
371,314
Neuestes Mitglied
Gjorstn
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.