[Info] Sicherheitslücke in FRITZ!OS Ver. 6.2x bis 7.5x [WID-SEC-2023-2262] - 04.09.2023

@tacitus-nrw und
@ alle anderen Beteiligten an der "Spotan Anruf Sache" mit "Fake Nummer"

Diese Diskussion hat hier in diesem allgemeinen Thread zum Sicherheitsupdate eigentlich nichts verloren, zumal das selbe Problem von @tacitus-nrw ja auch im regulären 7490-7.56/7.57 Thread behandelt wird!

Edit:
Ich hatte mir erlaubt über den "Melden" Button drum zu bitten, dass die ganzen "Spontan-Anruf" Beiträge (#54 bis #62) in den 7490 Thread verschoben werden (wo dieses spezielle Problem sicher eher hingehört und auch schon diskutiert wird).
Bisher leider nicht geschehen. Vielleicht erbarmt sich ja noch ein Moderator....
 
Zuletzt bearbeitet:
Spontan Anrufe siehe 7490 Thread. Ging mir darum, ob Abschalten https reicht. Vielleicht wohl nicht :-(
 
Laut denen ist ja auch nur die 7.57 davon betroffen, was sollte man davon dann groß halten (unabhängig davon obs stimmt)?
 
Ist das kleiner-als-Zeichen in deinem Smartphone-, Computer- oder mentalen Zeichensatz nicht vorhanden?
 
Hab ich dann wohl übersehen, ist in diesem Zusammenhang offensichtlich wirklich nicht in meinem mentalen Zeichensatz vorhanden.
Dann wären aber die ganzen 7.69 als sicher zu bezeichnen, was sie nicht sind.
Ist halt sehr spärlich dort die Information, das war mir sofort ins Auge gestochen, da steht nichts, was man aus dem ebenso schon nichtssagenden Changlog nicht bereits wüßte.
 
Willst du jetzt wirklich die Veröffentlichung einer Quasi-Anleitung für Hacker runter bis zum letzten Script-Kiddy?
 
Die wissen es sowieso schon und ja, hätte mir schon mehr erwartet als ein lapidares Stabilitätsupdate (welches an erster Position genannt wird und ohnehin immer vorkommt ohne Details welche Stabilität gemeint wäre) gefolgt von Sicherheitsupdate.

Zumindest Infos in welchem Szenario der Bug für einen relevant ist!
Auch bei Mesh-Boxen etwa, oder wenn man eine Box mit Stick verwendet bzw. am WAN-Port oder nur am DSL problematisch, so Dinge in der Art wären durchaus angebracht, wenn man schon einen solchen Bock schießt.
 
  • Like
Reaktionen: rst-cologne
Mich würde es auch sehr interessieren, ob ich die letzten Jahre über Port 443 angreifbar war obwohl HTTPS Zugriff von Außen deaktiviert ist.
Aber Details dazu werden ja ganz bestimmt "... zu einem späteren Zeitpunkt veröffentlicht."
 
Lt BSI alle Fritz!OS Versionen kleiner als 7.57 betroffen.
Das ist nur eine pauschale Information, genaueres bzgl. der betroffenen Firmware-Versionen bzw. Entwicklungszweige weiß vermutlich auch das BSI (noch) nicht. Zudem die Information "kleiner als 7.57" genau genommen sowie nicht ganz korrekt ist, s.h. bereits veröffentlichte Updates für ältere Entwicklungszweige.

Beim "webcm-Gau" 2014 waren auch nicht alle älteren FRITZ!OS-Versionen bzw. Entwicklungszweige betroffen (wobei "FRITZ!OS" heißt die Firmware m.E.n. erst seit Ver. 5.5x), erst als das entspr. Feature (webcm) eingeführt wurde (was imo mit den Labor-Versionen ab Ver. 4.5x geschah) war der betreffende Bug vorzufinden. Also bspw. die Ver. 4.33 (u.a. Fritzbox 7050) war davon nicht betroffen. Und solange noch keine genaueren Details vorliegen kann man auch nicht sagen das wirklich alle älteren FRITZ!OS-Versionen bzw. Entwicklungszweige davon betroffen sind.

Edit:
Wobei ich meine derzeitige "Einsatzgrenze" als Router sowieso bei FRITZ!OS <6.8x gezogen hätte (seit 2021). Ältere Modelle mit FRITZ!OS <6.8x würde ich dafür sowieso nicht mehr einsetzen (FRITZ!OS 6.5x und 6.3x hatten ja 2021 auch keine aktuellen Zertifikate mehr für u.a. MyFRITZ erhalten wie noch Ver. 6.8x), egal ob die nun ein Update bzgl. der aktuellen Lücke erhalten oder nicht.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: FlyingToaster
Die 6850 5G hat 7.57 erhalten.
 
Ich hätte hier noch eine 7113 und eine 7170 rumliegen, wo meine alte fritzbox.fon (noch ohne nummer!!) gerade ist weiß ich nicht genau. Bekommen die auch noch ein Update :p:cool:
 
Vor einer Stunde ca. hatte ich den Archiv-Bereich mal wieder synchronisiert, sind ja auch einige 6.3x und 6.5x-Modelle darin enthalten. Da war aber noch nichts neues zu finden.
 
@H´Sishi
war jetzt nicht so wirklich ernst gemeint ;)
Aber schon heftig welch alte Boxen von AVM noch "angefasst" werden
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.