Sicherheitslücke bei AVM ?!

[holger1878]

Noch nie sind so viele Wartungsupdates für FB wie in diesen beiden letzten Monaten erschienen - selbst für sehr betagte FB.

Irgendwie erweckt das doch den Eindruck, dass irgendeine Sicherheitslücke beim AVM schnellst möglichst geschlossen werden muss.

Fragt sich nur nun welche?

 

[Novize]

Bei Sicherheitsgründen wird das auch entsprechend kommuniziert. So war es die ganzen letzten ~15 Jahre, warum sollten sie das nun nicht mehr so praktizieren?
Ich glaube, Du hörst hier Flöhe husten.

 

[KunterBunter]

@holger1878: Die Antwort hast du doch schon direkt nach deinem Beitrag im entsprechenden Thread erhalten.

 

[holger1878]

Ich glaube, Du hörst hier Flöhe husten.

aber warum erhalten jetzt Geräte ein Wartungsupdate, welche das letzte Update 2019 erhalten haben?

 

[Novize]

Nebenbei hat sich AVM selbst dazu >geäußert<
Es ist eher als theoretische Schwachstelle zu betrachten, die mehr oder weniger "pro forma" geschlossen wird.
Infos zur Lücke hat auch heise seinerzeit gepostet. Wie gesagt, ist nichts wildes, nichts, was durch

AVM schnellst möglichst geschlossen werden muss

 

[angos]

Moin,

AVM steht zu seinen Produkten. Viele andere machen nix - das ist das eigentliche Problem :-(

Viel Erfolg

Andreas

 

[holger1878]

und deswegen bekommt auch die betagte 7412 heut ein Update auf das ebenfalls betagte 6.87 ?!

ist ja interessant:

"**Behoben** Schwachstellen in der Behandlung eingehender fragmentierter Pakete sowie aggregierter MPDUs (A-MPDU) behoben ("Fragattack")

also doch Sicherheitslücken

 

[holger1878]

nee Guten Abend, aber was willst du jetzt von mir?

 

[frank_m24]

Vermutlich war das eine Anspielung darauf, dass du bereits vor 11 Tagen einen Hinweis auf exakt diese Lücke bekommen hast, ganz zu schweigen von den Links in diesem Thread.

 

[sonyKatze]

schnellst möglichst … warum [erst] jetzt

AVM hat eine intransparente Politik, wie sie Sicherheitslücken einstufen. Ich habe denen auch schon (nach meinen eigenen Berechnungen) CVSS3-High gemeldet. Und AVM korrigiert mich nicht, erklärt mir deren Sichtweise nicht, sondern tut das als Beipack-Security-Update ab. Informiert wird man auch nicht, jedenfalls ich nicht. Man darf bei jedem Release diese „Change-Logs“ wälzen. Alles andere als schön. Ich, naja Andere, haben wirklich Besseres zu tun, als jedes Release auf einen gemeldeten Security-Bug hin nachzutesten.

In diesem Fall hat AVM vermutlich einen Bock bei den inkludierten Trust-Anchor geschossen, also so TLS-Zertifikat-Ausgabestellen wie DigiCert, Let’sEncrypt und Sectigo. Weil diese Trust-Anchor bei AVM nicht einsehbar oder verwaltbar sind – was alleine schon ein Bock ist – müsste man die Firmware vor und nach dem Update auseinander nehmen und die Trust-Anchor vergleichen. Vielleicht kann das ja jemand von unseren Firmware-Kracks hier machen. Vermutlich hätte AVM zu viele Support-Anfragen bekommen, wenn es so geblieben wäre, weil irgendwas nicht mehr geht (Let’s Encrypt abgesicherte Dynamic-DNS oder sonst was).

Nebenbei hat AVM dann Sicherheitslücken ab einer bestimmten Sicherheits-Einstufen geschlossen, daher kam dann die Schließung für FragAttack, also ein Beipack-Security-Update.

Alles reine Spekulation und Vermutungen. Auch habe ich die neue Firmware noch nicht auf „meine“ Schwachstelle getestet. Könnte nämlich glatt sein, dass die so nebenbei auch gefixt wurde und vielleicht zu „niedrig“ war, um überhaupt erwähnt zu werden. Die war nämlich echt Kindergarten, der Angriff seit über 15 Jahren bekannt.

AVM fixt zwar seine Produkte ewig lange. Und AVM hört zwar auch zu. Aber wirklich mit Security-Bugs „umgehen“, nenne ich das nicht. Warum man Holger hier so auf die Mütze geben muss, anstatt das einfach lieb die Zusammenhänge zu erklären … verstehe ich auch nicht. AVM versorgt auch ältere FRITZ!OS-Versionen (Software-Branches) mit Security- und Kompatibilitätsupdates. Aber eben nur bei einer von Außen nicht nachvollziehbaren Klassifizierung. Auch vieler meiner gemeldeten Software-Bugs bezüglich der Kompatibilität (in der Telefonie) werden nicht ge-back-ported. Auch solche Fehler in denen man einfach mal kurzzeitig nicht erreichbar ist, ohne es zu merken. Meckert ja keiner?

Holger, um eine Deine Frage einzugehen: Der Auslöser für die aktuelle „Welle“ muss keine Sicherheitslücke gewesen sein. Es kann auch ein Kompatibiltätsupdate gewesen sein. AVM hat bei einigen Modelle auch einfach Funktionen rausgerissen, die gar nicht bzw. teilweise nicht mehr gingen (siehe FRITZ!Box 7362 SL …). Daher ist eine Beantwortung Deiner Frage schwer. Vor jener Welle heute waren FRITZ!OS bis in den Software-Branch 06.3x aktuell, also jene Welle im Sommer 2019, siehe Router-FAQ. Aber auch dann nicht alle FRITZ!Box-Produkte des Software-Branchs. Also nur Auserwählte. Die Frage ist, ob die aktuelle Welle weitergeht oder überhaupt weitergehen muss. Wäre sie „nur“ ein Kompatibilitätsupdate mit Beipack-Security-Update, dann bestünde für AVM außer für Volumen-Modelle kein großer Zwang, also auch kein Grund die FRITZ!Box 7390 oder gar ältere FRITZ!OS-Branches wie 06.5x und 06.3x zu versorgen.

 

[B612]

FRITZ!Box 7390

Die fehlt aber noch in der Welle.

 

[sonyKatze]

Genau das ist der Punkt. Wenn die FRITZ!Box 7390 mit ihrem FRITZ!OS 6.8x das Update nicht bekommt, was ist das dann für ein Update. Wir müssen abwarten, was mit diesem Volumen-Modell und dann mit den anderen beiden Branches (6.5x und 6.3x) passiert.

 

[holger1878]

die 7360 hat aber auch keins

 

[Theo Tintensich]

die 7360 hat aber auch keins

Für eine Box, die vor über 11 Jahren erschienen ist, ist das wirklich schlimm.

Kontaktkünstler
AVMs aktuelles Router-Topmodell im Test
Ernst Ahlers
Prüfstand,Dualband-WLAN-Router,xDSL, Router, PPPoE, IP/IP-NAT, Durchsatz,
802.11n, WLAN, Dualband, Gigabit-Ethernet, Fritz!NAS, Online-Speicher,
UPnP/AV,AVM FRITZ!Box Fon WLAN 7390
c't 7/10 S. 86 (ea)

Da ist es wirklich eine Frechheit, dass das letzte Update 9 Jahre nach dem erscheinen des Routers von AVM herausgegeben wurde, wirklich.

oder meinst du, nicht auch, dass es lächerlich ist, was du hier von dir schreibst?

 

[holger1878]

@Theo Tintensich
Sorry, aber wenn man keine Ahnung hat um was es eigentlich geht, dann ist es besser still zu sein!

 

[DickS]

@Novize: mach diesen Thread bitte mal zu. Suggestive Posts ohne Beweise nerven.

 

[sonyKatze]

DickS, kannst Du das ein wenig ausführen? Holgers Frage war, ob hier ein Sicherheits-Update nachgeliefert wird. Meine Analyse ist, dass es ein Kompatibilitäts-Update ist, dass nebenbei ein „nicht kritisches“ Sicherheits-Update enthält. Die Welle wäre dann (aus Sicht AVMs) als Bonus an uns zu verstehen.

Holger, wie geschildert müssen wir warten, ob weitere Modelle auch noch in den Genuss kommen, also Modelle auf der Basis von FRITZ!OS 7.0x, 6.8x, 6.5x und 6.3x. Das macht die Sache so unlustig. Wenn ich das Bonus-Sicherheits-Update nicht als Bonus sondern als notwendig empfinde, dann muss ich Wochen warten, um eine Ersatz-Entscheidung zu treffen. Wir sind es gewohnt, dass Hersteller ihre Software im Griff haben und gleichzeitig alle betroffenen Geräte aktualisieren. AVM macht das nicht. Auch damals in der 2019er-Welle kamen die Updates verteilt, damals sogar über das ganze Quartal.

die vor über 11 Jahren

Holger meint primär die FRITZ!Box 7360 V2 aus dem Jahr 2013. Und ja, wenn AVM seine Software-Versionskontrolle im Griff hat und es möglich ist, warum sollte ich die wegwerfen. Das ist nämlich sogar meine primäre FRITZ!Box, die heute noch wunderbar tut und viele Jahre täte. Wir müssen abwarten, wie sich AVM entscheidet. Deren Entscheidung vorgreifen oder anderen den Wunsch abtun, welchen Sinn macht das?

 

[Theo Tintensich]

Holger meint primär die FRITZ!Box 7360 V2 aus dem Jahr 2013.

Deren Firmware eben auch vom September 2019 stammt.

wenn AVM seine Software-Versionskontrolle im Griff hat und es möglich ist, warum sollte ich die wegwerfen.

Wenn der Hersteller, welcher Hersteller auch immer keine Firmware-Updates für das Produkt mehr liefert, sollte man sich Gedanken machen, ob ein Einsatz in einer unkontrollierten Umgebung, und genau das ist das Internet, noch Sinnvoll ist.

Das ist nämlich sogar meine primäre FRITZ!Box, die heute noch wunderbar tut und viele Jahre täte.

Ist ja schön, doch ohne Patche wäre ein Einsatz als Router unverantwortlich.

Wir müssen abwarten, wie sich AVM entscheidet.

Ich gehe davon aus, dass AVM keine Firmwarre-Updates für System herausgibt, die schon so viele Versionen zurück zur 'Hauptlinie' liegen.
Auch wenn sie ihre Software so entwicklen, dass sie über passende Compiler für all die unterschiedlichen verwendeten Hardware-Versionen möglich wäre, gibt es ja auch noch das Platz-Problem.
Dass bei den älteren Boxen der Flash-Speicher nicht wirklich umfangreich war, ist doch bekannt.
#Wenn sie dann wieder etwas weglassen würden, um einen (Notfall)Patch würden, würden die, die diese Funktion benutzen und also benötigen, laut Aufjaulen.
So wie damals bei dem Notfallpatch, bei dem sie bei der 7390 (?) die komplette SMB-Funktion weggelassen hatten.

 

[B612]

gibt es ja auch noch das Platz-Problem.

Aber nicht bei der 7362SL und 7412!

 

[KunterBunter]

#Wenn sie dann wieder etwas weglassen würden, um einen (Notfall)Patch würden, würden die, die diese Funktion benutzen und also benötigen, laut Aufjaulen.

Das ist aber viel zu viel der Würden.