- Anzeige -

Kritische Sicherheitslücke in FritzOS kleiner als 6.30

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon Thasitis » 07.01.2016, 17:24

Wie heise.de soeben berichtet klafft in FritzOS unter Version 6.30 eine Sicherheitslücke, die es Angreifern von außen ermöglicht Telefonate über die FB zu führen oder Code als Root auszuführen. Leider steht in dem Artikel nichts über die Kabelboxen. Ich befürchte aber, dass diese auch betroffen sein könnten. Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.

Link zum Artikel
Thasitis
Kabelneuling
 
Beiträge: 24
Registriert: 06.07.2009, 14:06

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon GoaSkin » 07.01.2016, 17:44

Port 8080 ist bei der FB 6490 dicht.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1094
Registriert: 12.12.2009, 17:25

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon tq1199 » 07.01.2016, 18:57

Thasitis hat geschrieben:Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.

Auch bei der 6360 mit 6.04, ist der tcp-Port 8080 dicht.
Zuletzt geändert von tq1199 am 07.01.2016, 20:51, insgesamt 1-mal geändert.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1265
Registriert: 07.02.2014, 10:05

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon Bredi » 07.01.2016, 19:38

Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.
Bredi
erfahrener Kabelkunde
 
Beiträge: 83
Registriert: 27.05.2011, 13:47

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon koax » 07.01.2016, 20:32

Bredi hat geschrieben:Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.

Und was von allem, das Du geschrieben hast, steht nicht in der Meldung?
Muss man eine Meldung etwas so aufbauen, dass auch die, die nicht einen Text erfassen können, damit klar kommen und das Weltbild der Fritzbox-Fans nicht zerstört wird.
Benutzeravatar
koax
Kabelkopfstation
 
Beiträge: 3931
Registriert: 09.12.2007, 11:43
Wohnort: Köln

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon Thasitis » 07.01.2016, 22:30

OK, das bedeutet, dass die Kabelboxen nicht betroffen sind. Gut zu wissen und danke für die Infos. :super:
Thasitis
Kabelneuling
 
Beiträge: 24
Registriert: 06.07.2009, 14:06

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon M@rtin » 07.01.2016, 22:55

Schade, richtig schade... :D
M@rtin
Übergeordneter Verstärkerpunkt
 
Beiträge: 526
Registriert: 27.05.2013, 19:38

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon LinuxDoc » 07.01.2016, 23:01

Es handelt sich offenbar um die Lücke von letztem Jahr, nur hat man nun Details veröffentlicht.... Leider ist der Heise Artikel sehr verworren....
Und die Kabelboxen waren ebenfalls betroffen wimre... Aber alles schon länger gefixt


EDIT: aber 100% sicher bin ich mir nicht...
Benutzeravatar
LinuxDoc
Kabelexperte
 
Beiträge: 160
Registriert: 10.05.2009, 16:07
Wohnort: Hessen

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon GoaSkin » 08.01.2016, 00:01

Zuletzt sollte man fairerweise erwähnen, dass es sehr schwierig ist, sich diese Lücke als Angreifer überhaupt zu nutzen. Über die Fritzbox telefonieren zu können setzt voraus, das man sich (z.B. über einen ebenfalls löchrigen PC) Zugriff zu einem Heimnetz verschaffen hat. i.e.S. ist ein Rechner mit eigener Malware drauf erforderlich.
Es gibt drei Fleischsorten: Beef, Chicken und Veggie. Von welchem Tier die kommen? Von garkeinem, sondern aus der Packung.
GoaSkin
Glasfaserstrecke
 
Beiträge: 1094
Registriert: 12.12.2009, 17:25

Re: Kritische Sicherheitslücke in FritzOS kleiner als 6.30

Beitragvon LinuxDoc » 08.01.2016, 00:20

https://avm.de/service/aktuelle-sicherheitshinweise/

Aktuell nichts vermerkt zu dem Thema bei AVM.



Bei denen die die Lücke gefunden haben:
Timeline
========

2015-02-26 Vulnerability identified
2015-03-26 CVE number requested
2015-03-26 Vendor notified
2015-04-30 RedTeam Pentesting reviewed fixed version by order of vendor
2015-06-09 Vendor released fixed public beta (7490)
2015-07-16 Vendor started releasing fixed versions (7360 and 7490)
2015-10-01 Vendor finished releasing fixed versions (other models [0])

2015-11-27 Advisory release postponed to maximize patch distribution
2016-01-07 Advisory released

Quelle: https://www.redteam-pentesting.de/en/advisories/rt-sa-2015-001/-avm-fritz-box-remote-code-execution-via-buffer-overflow

Scheint wohl alles schon gefixt zu sein und wie vermutet nur jetzt erst offizielle veröffentlich worden.
Benutzeravatar
LinuxDoc
Kabelexperte
 
Beiträge: 160
Registriert: 10.05.2009, 16:07
Wohnort: Hessen

Nächste

Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 15 Gäste