Fritzbox OS 6.0 Rollout ab 13.1.2014

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360, FRITZ!Box 6490 & FRITZ!Box 6590 Cable der Firma AVM.
hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 14.02.2014, 13:43

marty7 hat geschrieben:
hajodele hat geschrieben:
- Einen gleichlautenden Sperrantrag habe ich auch an Kabelbw gestellt. Ich weiß allerdings nicht, wie lange die brauchen.
Dauert bis zu 2.Std.Bei mir hatte es 1/2 Std gedauert.Kannst du im Kundencenter einsehen :zwinker:
Aber doch nicht in Kabelbw-Land - da gilt
1. no net hudle (nicht so schnell) - mir wurde was von 1-2 Tagen erzählt.
2. bloss gschwätzt (nur mündlich) - unser Kundencenter dient mehr oder weniger nur der Rechnungspflege und die wollen mir das nichtmal bestätigen.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 13:44

SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.
Aufwendig ist das nicht. Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Kleine IP Netze die relativ dicht belegt sind.
- Viele Privatkunden, keine großen Bereiche mit statischen IPs und professionellen Serverfarmen wie vielleicht bei der Telekom/T-Systems.
- Viele Fritzboxen als Modem/Router
- Rel. statische IPs.

Auch hier. Die Wahrscheinlichkeit dort eine FB zu treffen ist einfach höher wie bei anderen Providern.

Und den Port von 443 abweichend zu wählen: Sankt-Florian-Prinzip : )
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 13:51

marty7 hat geschrieben:
SpaceRat hat geschrieben:Ich wohne hier so nah an der Grenze, daß ich mir auch eine KPN-SIM-Karte zulegen könnte und damit Netz hätte. Da hat man dann eben auch Kollegen und Bekannte, die in Belgien oder den Niederlanden wohnen.
Was hast du den für ein Netzbetreiber? Selbst wenn ich über die Grenze fahre habe ich noch DE Netz.Da muß ich schon weit nach Holland rein fahren das es auf NL wechselt :D
Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 13:59

Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 15:06

johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.
johnripper hat geschrieben:
SpaceRat hat geschrieben:Port-Scans von 1 bis 65535 über riesige IP-Ranges hinweg halte ich für zu aufwendig.
Aufwendig ist das nicht.
Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)
Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.

Willst Du bereits durch nmap sicherstellen, welcher der offenen Ports der richtige für
nmap hat geschrieben:xxxxx/tcp open ssl/http FRITZ!Box http config
ist, kommt noch ein Service-Scan hinzu.

Probierst Du es hingegen direkt mit einem einzigen Port (Also 443), dann bist Du bei einem Nichttreffer nach <20 Sekunden und bei einem Treffer nach <60 Sekunden durch (Inkl. der Identifikation des offenen Ports als tatsächlicher Fritz!Box-Fernzugriff!).
Damit hätte man nur noch zwischen gut 5h und ca. 16,5h gebraucht.

Für die 8 möglichen Ports (443-450) aus älteren Firmwares, wobei eben viele Fritz!Boxen gewohnheitsmäßig noch auf einem davon konfiguriert sein werden, braucht man nur unwesentlich länger als für einen.
johnripper hat geschrieben:Es ist aber noch einfacher nur 443 zu scannen (im Moment). Die Wahrscheinlichkeit dass ein FB auf einen anderen wie den 443 Port läuft ist wahrscheinlich viel geringer wie die Wahrscheinlichkeit, dass auf einer anderen IP eine FB mit offenem Port 443 läuft.
1. als.
2. Ganz genau. St.-Florian-Prinzip nennt man das.

Solange ich binnen 3,5 Tagen zwischen 16800 (Nieten) und 5000 (Alles Treffer!) Boxen abklappern kann und damit genug Opfer finde, begnüge ich mich nicht mit 1000 (Treffer und Nieten).
Full Portscan ist erst die Ü30-Party/Restef1cken.
johnripper hat geschrieben:Aus dem Grund sind m.E. auch so viele Kabelkunden betroffen:
- Viele Fritzboxen als Modem/Router
Das wäre bei t-ipconnect.net auch nicht so viel anders.
Da tummeln sich Unmengen an 1&1- oder Congstar-Kunden, die noch viel häufiger (Nämlich meistens) Fritz!Boxen haben als Kabelkunden (Die auch Bridge+D-Link, DK7200 oder Cisco EPC3208G haben könnten).

Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind.

Es gibt nur offensichtliche Gründe dafür, wieso wir bisher am meisten von den Opfern bei KNB wissen:
Diese kriegen das Endgerät meist aufgezwungen, hier ist also der Provider in der Pflicht und hat daher ein Eigeninteresse zum Handeln.

Niemand weiß, wie groß die Opferzahlen bei den anderen Anbietern noch werden, wenn erst einmal alle Rechnungen für Februar raus sind ...
Telekom, Vodafone, etc. haben ja gar keinen Grund, ihre Kunden proaktiv zu warnen, sobald der Mißbrauch anfängt!
Die werden die Euros noch schön von den Konten einziehen, bevor den Kunden überhaupt nur auffällt, daß sie gehackt worden sind ... der blöde Kunde hätte ja das SpeedPort mieten oder die Easybox dranlassen können ...

Ich würde übrigens aus folgender Überlegung heraus gezielt DS-lite-Kunden scannen:
Da das AVM-eigene VPN darüber nicht geht, erwarte ich hier überproportional häufig eine offene Fernwartung ...

Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 15:18

Meinst Du den immer noch vorhandenen VPN-Bug?

Das war zu erwarten. AVM hat mit dem Security Fix nichts anderes angefaßt, auch damit es "nichts" zu testen gibt und schnell ausgerollt werden kann.

Anders hätte man auch nicht mehrere Dutzend Firmwares zwischen zwei Pizzen am Wochenende flicken können ...

Ansonsten hätte man ja für jede einzelne Box den aktuellen Entwicklungsstand komplett austesten, stabilisieren, wieder austesten, usw. müssen, bevor man das Update auf die Allgemeinheit loslassen kann.

Daher wird so ein Security Update einfach auf den letzten stabilen Stand "backported" (A la Debian stable, da sind auch tausend Sachen drin, auf die man von der Versionsnummer her schon Rente kriegen müßte, allerdings sind die sicherheitsrelevanten Updates aus den neueren Versionen eben doch drin).

Das macht es nur um so unverständlicher, wieso das Update nicht zeitnah ausgerollt wird, den Stand der "fehlenden" 06.03 hat man nämlich schon im Test bzw. hätte ihn dort haben können.


Edit:
An der 7270v2/7270v3 sieht man das hervornagend. Dort ist der Fix zuerst in die alte "stable" 05.53 eingepatcht worden, die damit guten Gewissens zur stabilen 05.54 wurde.
Den aktuellen und weniger getesteten Entwicklungstand FRITZ!OS 06.03-xxxxx BETA hingegen hat man erst ganz am Schluß ebenfalls gepacht und als FRITZ!OS 06.04-27396 BETA released.
Damit hat man vermieden, daß überstürzt eine 06.04 final veröffentlicht wird, die im Austausch für den Security Fix zig andere Fehler enthält.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 14.02.2014, 15:28

SpaceRat hat geschrieben:
johnripper hat geschrieben:
SpaceRat hat geschrieben:Bei der 6360 wird's die 06.03 eben intern schon gegeben haben, so daß hier eine 06.04 rauskam.
Die o.g. 6340 hingegen hatte entsprechend vorher keine 6.03, so daß die gefixte Version hier wie bei den DSL-Fritten die 06.03 ist.
Offensichtlich aber nur für Kabel Deutschland. Die rollen eine 6.04 aus, während KBW die 6.03 (die es gem. dem PDF nicht gibt) ausrollt.
Wenn Du den zitierten Text stehen gelassen oder zumindest gelesen hättest, hättest Du das 6340 erblickt.
Für die ist gar keine Recovery-Firmware im Netz aufgetaucht, zumindest nicht daß ich wüßte.
Logisch also, daß das Changelog der 6360 nicht so recht passen will, wenn wir von einer ganz anderen Box reden.
Verstehst du jetzt deine eigenen Texte nicht mehr?
Ich habe nie etwas zur 6340 in diesem Zusammenhang gesagt.
Besser nochmal selbst lesen und verstehen, daran harpert es gerade etwas...
SpaceRat hat geschrieben: Natürlich ist es das:

Ich habe dazu gerade mal einen Komplettscan bei einem Freund durchgeführt.
nmap hat geschrieben:Completed SYN Stealth Scan at 14:07, 269.10s elapsed (65535 total ports)
Das sind etwa 4,5 Minuten, d.h. bevor Du 1000 Hosts gescannt hast, bist Du mehr als 3 Tage älter.
Haste auch mal wieder nicht kapiert:
Ob du einen Port auf derselben IP oder den gleichen Port auf anderen IP scannst macht zeitlich kein Unterschied.
Nur die Trefferquote ist in letzterem Fall höher. Steht aber so oben.
SpaceRat hat geschrieben:Wir wissen übrigens längst nicht, wo wirklich die meisten Betroffenen zu finden sind
Auch diese Unterstellung, dass ich das jemals behauptet hätte ist wie vieles von dir einfach Unsinn.
SpaceRat hat geschrieben: Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.
Die Adressbereiche sind überproportional größer, auch ohne die Subnetze. Ist also auch quatsch.
Zudem haben viele Altkunden noch kein IPv6.
Abgesehen davon müssen die Angreifer auch IPv6 ready sein. Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

marty7
Kabelexperte
Beiträge: 182
Registriert: 27.03.2009, 18:51
Wohnort: Düren

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von marty7 » 14.02.2014, 16:08

SpaceRat hat geschrieben: Ich habe nicht gesagt, daß ich mein Heimatnetz nicht reinkriege, immerhin habe ich ja kein E- oder D/2 sondern o2.
Ich habe lediglich gesagt, daß ich hier auch mit einer KPN-Karte (Heimat-)Netz hätte.
:D Ok das stimmt wohl :super:

Da tut sich ja was zwecks Update :

Code: Alles auswählen


Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
Sicherheitshinweis von Unitymedia KabelBW:
Erste Kunden erhalten Updates – Fernzugang deaktiviert
Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die identifizierten Kunden in den vergangenen Tagen informiert und ihnen geraten, den Fernzugang zu deaktivieren.

Wir haben von AVM ein Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests durchgeführt.
Am heutigen Freitag (14.2.2014) haben wir damit begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen sein.

Da die Aktualisierung der betroffenen Geräte bei allen Kunden etwas Zeit in Anspruch nehmen wird, haben wir uns heute vorsichtshalber dazu entschieden, im Interesse unserer Kunden und im Rahmen einer Risikoabschätzung den Fernzugang auf den Fritzboxen zu deaktivieren, um möglichen Schaden von unseren Kunden abzuwenden.

Warum haben wir uns dazu entschlossen? Viele unserer Kunden sind unseren Hinweisen gefolgt. Dennoch registrieren wir nach wie vor offene Fernzugänge. Wir müssen davon ausgehen, dass es noch zahlreiche offene Fritzbox-Zugänge gibt, die möglicherweise in Vergessenheit geraten sind. Die Abschaltung erfolgt über das Protokoll TR-069, das den Datenaustausch zwischen unseren Systemen und den damit verbundenen Endgerät beim Kunden ermöglicht.

Wir möchten an dieser Stelle darauf hinweisen, dass jeder Kunde für seinen Anschluss verantwortlich ist. Wir raten daher dringlich unsere Sicherheitshinweise ernst zu nehmen und den Fernzugang auf den Fritzboxen deaktiviert zu lassen, solange das Update nicht aufgespielt ist. Die Versionsnummer der neuen Firmware nach dem Update ist „FRITZ!OS 06.03“.
 
Eine konkrete Empfehlung was Telefon-Kunden zu ihrem Schutz tun sollten haben wir hier in einer detaillierten Anleitung zusammengefasst
Weitergehende Informationen finden sich ebenfalls auf der Seite des Herstellers AVM
http://www.unitymedia.de/hilfe_service/ ... nderungen/
Zuletzt geändert von marty7 am 14.02.2014, 17:15, insgesamt 2-mal geändert.
3play PREMIUM 150 Horizon Box Fritzbox 6360

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: AW: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von SpaceRat » 14.02.2014, 17:06

Substanzlosen Teil gelöscht.
johnripper hat geschrieben:
SpaceRat hat geschrieben:Die IPv6-Adressen der Router sind auch relativ vorhersehbar, so daß bei weitem nicht der gesamte Adressbereich gescannt werden muß. Die ganzen dem Kunden zugeteilten /57er Subnetze sind z.B. für Port-Scans irrelevant, da der Router jeweils im übergeordneten Subnet sitzt.
Wäre also wirklich mal interessant zu erfahren, welche Anschlußart die Betroffenen haben, also ob die Attacke IPv4-only oder Dual Stack gefahren wurde.
Die Adressbereiche sind überproportional größer, auch ohne die Subnetze.
"Überproportional" suggeriert ein Mißverhältnis, das so nicht zwingend existiert.

Angefangen von Unitymedias /32er Subnet an sich, über Stellen die immer 00:0002 sind und ggf. zugrundeliegende MACs, von denen der OUI-Teil (24 Bit) auf den Gegenwert von 4 Bit reduziert werden kann (Weil es nur 12 mögliche OUIs für AVM gibt), ließe sich der abzugrasende Teil u.U. eben doch deutlich eindampfen.

Mir fehlt momentan ein Fundus an realen Router-IPv6-Adressen, um nach Regelmäßigkeiten zu suchen und dann fundiert zu entscheiden, ob der Port-Bereich am Ende wirklich zu riesig ist oder eben nicht.
Mit den Kenntnissen die ich habe, kann ich die Anzahl der zählenden Bits nur auf max. 72 eingrenzen, was immer noch viel zu viel für einen Port-Scan über die gesamte IP-Range wäre. Ab etwa der Hälfte würde es dann tatsächlich interessant ...

Völlig irrelevant wird die Port-Scan-Geschichte, wenn man sich einfach der myfritz.net-Adressen oder zur Not der anderer DynDNS-Dienste bedient. Da ist es wurscht, was für eine Adressfamilie dahintersteckt.
johnripper hat geschrieben:Zudem haben viele Altkunden noch kein IPv6.
Dafür haben praktisch alle Neukunden keine (öffentlich erreichbare) IPv4 ... so what?
johnripper hat geschrieben:Abgesehen davon müssen die Angreifer auch IPv6 ready sein.
Das geringste Problem.
Da stecken garantiert keine n00bs mit 'ner easybox am Vodafone-Anschluß dahinter.
johnripper hat geschrieben:Offene Proxys oder Botnetze dürften eher im IPv4 Bereich zu bekommen sein.
Wenn die Angreifer in Ländern mit hohen Strafverfolgungsbarrieren sitzen, dann machen die das auch ohne Botnetz.

Die primäre Frage ist ja eigentlich: cui bono?

Hinter den Nummern, die da angerufen wurden, stecken keine Mehrwertdienste o.ä., das waren einfach nur Auslandsanrufe.
Die sind mit 1 EUR/Minute (Waren ja wohl ausnahmslos Länder in International 6) zwar happig teuer, das war's aber auch schon.

Mir erschließt sich da einfach der Sinn nicht.

shub
Kabelneuling
Beiträge: 5
Registriert: 08.04.2012, 10:35

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von shub » 14.02.2014, 18:57

Guten Abend,

hätte auch gern den Link zum Update.

Vielen Dank im voraus.
Internet: UM 2play 100 / Fritz!Box 6360 (IPv4)

nick99cgn
Übergeordneter Verstärkerpunkt
Beiträge: 661
Registriert: 21.03.2007, 14:25
Wohnort: 50xxx Köln

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von nick99cgn » 14.02.2014, 19:26

Ich schließe mich meinem Vorredner an.
Könnte mir jemand den Link zum Update zuschicken?
3play PREMUIM 200:
Horizon HD Recorder V2 / DigitalTV ALLSTARS + HD Option + Sky komplett Paket

2play Max400:
Connect Box

shm0
Kabelexperte
Beiträge: 108
Registriert: 25.05.2009, 22:18

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von shm0 » 14.02.2014, 22:05

Hier bitte:

Link entfernt, die Moderation.

Es ist die 6.04. UM rollt demnächst 6.03 aus.
Es ist eine Recovery. Programm starten und den Anweisungen folgen. Vllt noch eurer Netzwerkkarte eine feste IP verpassen z.B. 192.168.178.10

Aber es gibt da ein Paar Dinge die ich erwähne möchte.
Beim Neustarten der FB dauert es etwas da Sie versucht die Firmware vom UM Server zu laden und zu flashen was aber fehlt schlägt.
SW upgrade Failed after download - Incompatible SW file
Hoffe es liegt nur daran, dass die 6.04 neuer ist als die geladene. Sonst wäre es nicht so toll wenn zukünftig keine Firmare mehr von UM Server installiert wird.


Außerdem scheint der Bridge Mode nicht mehr zu funktioneren. Wobei ich nicht weiss ob es an der Firmware liegt. Am neuen Config File oder UM Allgemein was geändert hat.
Und obwohl im Log steht das Einstellungen vom Anbieter übertragen wurden, sind keine Rufnummer eingetragen. Muss man also selber machen.

Ansonsten läuft bis jetzt alles rund.

wwerner
Kabelexperte
Beiträge: 111
Registriert: 10.08.2013, 11:13
Wohnort: Alt-KabelBW-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von wwerner » 14.02.2014, 22:23

Abend,
habe heute im Zuge einer Störungsmeldung (Sprachqualität bei VoIP) die 6.03 auf die 6360 draufbekommen (Reaktionszeit nach Anruf unter 30 Minuten!)
Also hat zumindest mal KabelBW erfolgreich die Tests abgeschlossen. Bis jetzt scheint alles zu klappen - nach der Rücksicherung meiner Konfiguration.
Gruß
Wolfgang
2play 200/10 Komf. IP V4
a/b:Fax & TFE mit MP3 Klingel mit Cambild der Tür auf MT-F/C5
DECT:2Fritz!Fon MT-F & 2C5 & 2C340H & 3AVM Rep.100 & 10 DECT200
S0-Bus:3 ISDN & 2 TA2a/b
WLAN:FB6490 & 2TL-WR1042ND als AP & 3AVM 1750E & 3AVM RE310
GB-LAN:FB64690 & 5Netgear GS108T
PCs an GB-LAN: WinServer2016 & 1Win7 PC & 11Win10 PCs / WLAN: WACOM WIN8.1 & mehrere Smartphones/Tablets/Laptops
bei Bedarf TV über SAT/Medienstreaming im Netzwerk mit ServiioPro

magentis
Übergeordneter Verstärkerpunkt
Beiträge: 575
Registriert: 15.03.2013, 09:00

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von magentis » 14.02.2014, 22:29

marty7 hat geschrieben:
Da tut sich ja was zwecks Update :

Code: Alles auswählen


Sicherheitslücke durch aktivierten Fernzugang bei der FRITZ!Box
Sicherheitshinweis von Unitymedia KabelBW:
Erste Kunden erhalten Updates – Fernzugang deaktiviert
Seit einigen Tagen ist bekannt, dass unautorisierte Dritte aufgrund einer Sicherheitslücke über den aktivierten Fernzugang auf die Fritzbox zugreifen können. Die Angreifer sind dadurch in der Lage, ein virtuelles IP-Telefon zu installieren und teure Telefonate ins Ausland auf Kosten des Anschlussinhabers zu führen. Über diesen Sachverhalt haben wir die identifizierten Kunden in den vergangenen Tagen informiert und ihnen geraten, den Fernzugang zu deaktivieren.

Wir haben von AVM ein Sicherheitsupdate erhalten, das den Zugang zur Fritzbox durch Fremde unterbindet, wenn der Fernzugriff aktiviert ist. An diesem Update haben wir in den vergangenen Tagen aus Sicherheitsgründen Kompatibilitätstests durchgeführt.
Am heutigen Freitag (14.2.2014) haben wir damit begonnen, das Update zur Beseitigung der Sicherheitslücke an unsere Kunden zu verteilen. Die Auslieferung erfolgt in mehreren Schritten, bis spätestens Ende nächster Woche wird die Aktualisierung abgeschlossen sein.

Da die Aktualisierung der betroffenen Geräte bei allen Kunden etwas Zeit in Anspruch nehmen wird, haben wir uns heute vorsichtshalber dazu entschieden, im Interesse unserer Kunden und im Rahmen einer Risikoabschätzung den Fernzugang auf den Fritzboxen zu deaktivieren, um möglichen Schaden von unseren Kunden abzuwenden.

Warum haben wir uns dazu entschlossen? Viele unserer Kunden sind unseren Hinweisen gefolgt. Dennoch registrieren wir nach wie vor offene Fernzugänge. Wir müssen davon ausgehen, dass es noch zahlreiche offene Fritzbox-Zugänge gibt, die möglicherweise in Vergessenheit geraten sind. Die Abschaltung erfolgt über das Protokoll TR-069, das den Datenaustausch zwischen unseren Systemen und den damit verbundenen Endgerät beim Kunden ermöglicht.

Wir möchten an dieser Stelle darauf hinweisen, dass jeder Kunde für seinen Anschluss verantwortlich ist. Wir raten daher dringlich unsere Sicherheitshinweise ernst zu nehmen und den Fernzugang auf den Fritzboxen deaktiviert zu lassen, solange das Update nicht aufgespielt ist. Die Versionsnummer der neuen Firmware nach dem Update ist „FRITZ!OS 06.03“.
 
Eine konkrete Empfehlung was Telefon-Kunden zu ihrem Schutz tun sollten haben wir hier in einer detaillierten Anleitung zusammengefasst
Weitergehende Informationen finden sich ebenfalls auf der Seite des Herstellers AVM
http://www.unitymedia.de/hilfe_service/ ... nderungen/

Und es gibt immer noch Kunden die bis heute keine Nachricht von UM bekommen haben. Auch im Spamordner ist nichts.
3Play Premium 100
DigitalTV Allstars + HD Option
Echostar Recorder
Cisco EPC 3208
Firmwarename: e3200-E10-5-v302r125562-130611c_upc.bin Jun 19 17:34:31 2013
Config-File: generic_100000_5000_ipv4_ncs_wifi-on.bin
Asus RT-N66U
Samsung UE40F6500
Sky Buli + Sport HD auf Sky Recorder
Synology DS213+

Die Moral von der Geschicht, traue keinen Versprechungen der UM-Hotliner.

Snuffchen
Kabelexperte
Beiträge: 133
Registriert: 02.10.2009, 09:05
Wohnort: Waldems
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Snuffchen » 15.02.2014, 07:00

Hat zufällig schon jemand mit einem Businessanschluss und mehreren IP-Adressen auf seiner 6360 die neue 6.03 Firmware? Kann der Bridgemode nun auf einen einzelnen Port festgelegt werden und die anderen 3 normal mit einem 192.168.xxx.xxx Netz genutzt werden?

Gruss Patrick
Unitymedia Business Office Internet & Phone 400 (450 Mbit/s Download und 20 Mbit/s Upload)
AVM FRITZ!Box 6490 Cable, FRITZ!OS 06.50, AVM FRITZ!Box 7490, FRITZ!OS 6.51, AVM FRITZ!Box Fon WLAN 7270 v2, FRITZ!OS 6.06
FRITZ!WLAN Repeater 1750E, FRITZ!OS 06.32 AVM FRITZ!WLAN Repeater DVB-C, FRITZ!OS 06.32 AVM FRITZ!Fon C4, Firmware 3.68,
AVM FRITZ!Fon M2, Firmware 3.67, Gigaset S810H, Asterisk 11.13.1~dfsg-2+b1 auf Raspberry Pi 2 B

hajodele
Kabelkopfstation
Beiträge: 4820
Registriert: 10.04.2013, 14:19
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von hajodele » 15.02.2014, 07:10

Snuffchen hat geschrieben:Hat zufällig schon jemand mit einem Businessanschluss und mehreren IP-Adressen auf seiner 6360 die neue 6.03 Firmware? Kann der Bridgemode nun auf einen einzelnen Port festgelegt werden und die anderen 3 normal mit einem 192.168.xxx.xxx Netz genutzt werden?

Gruss Patrick
Das liegt nicht an der Firmware sondern an der Konfiguration von UM.
Bei Kabelbw geht das schon immer.

Snuffchen
Kabelexperte
Beiträge: 133
Registriert: 02.10.2009, 09:05
Wohnort: Waldems
Kontaktdaten:

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Snuffchen » 15.02.2014, 07:43

Mal sehen ob sich da was ändert, vermutlich nicht. Dann könnte ich mir einen extra Router für mein gastnetz sparen
Unitymedia Business Office Internet & Phone 400 (450 Mbit/s Download und 20 Mbit/s Upload)
AVM FRITZ!Box 6490 Cable, FRITZ!OS 06.50, AVM FRITZ!Box 7490, FRITZ!OS 6.51, AVM FRITZ!Box Fon WLAN 7270 v2, FRITZ!OS 6.06
FRITZ!WLAN Repeater 1750E, FRITZ!OS 06.32 AVM FRITZ!WLAN Repeater DVB-C, FRITZ!OS 06.32 AVM FRITZ!Fon C4, Firmware 3.68,
AVM FRITZ!Fon M2, Firmware 3.67, Gigaset S810H, Asterisk 11.13.1~dfsg-2+b1 auf Raspberry Pi 2 B

tq1199
Glasfaserstrecke
Beiträge: 1816
Registriert: 07.02.2014, 09:05

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von tq1199 » 15.02.2014, 08:04

hajodele hat geschrieben: ... sondern an der Konfiguration von UM.
Das geht bei UM auch. Siehe: http://www.unitymediakabelbwforum.de/vi ... 90&t=27273
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note

LM76
erfahrener Kabelkunde
Beiträge: 67
Registriert: 01.08.2008, 12:12

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von LM76 » 15.02.2014, 10:20

Was für ein lustiger Laden.

Hab grad mit der technischen Hotline telefoniert. Bin aus NRW. Das Update 6.03 war der Dame nicht bekannt, auch wenn sie heute wohl schon von mehreren Kunden danach gefragt wurde. Ich verwies auf die Homepage und die aktuellen Meldungen. Daraufhin fragte sie angeblich kurz irgendwo nach und gab mir eine Hotline von AVM, da Unitygurkenmedia das Update noch nicht verteilen würde.

Toll. Ich benutze den Fernzugang jeden Tag und hatte ihn auch noch nie auf dem Standardport liegen. Standardports sind einfach zu offensichtlich anzugreifen.

Hatte ein NRW-Kunde von Euch Erfolg?

Gruß

Lars
Wohnzimmer Philips 55PUS9109, VU+ Uno 4K DVB-C FBC, Denon AVR-X4400H, Denon DVD-2500BT, Playstation 4 Pro, Nintendo Wii
Schlafzimmer: Philips 46PFL9704, VU+ Uno 4K DVB-C FBC, Panasonic DMP-BD 60
Küche: Samsung UE22D5010, VU+ Sole SE V2 2xDVB-C

Egalus
erfahrener Kabelkunde
Beiträge: 59
Registriert: 11.12.2013, 06:38

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Egalus » 15.02.2014, 13:23

wwerner hat geschrieben:Abend,
habe heute im Zuge einer Störungsmeldung (Sprachqualität bei VoIP) die 6.03 auf die 6360 draufbekommen (Reaktionszeit nach Anruf unter 30 Minuten!)
Also hat zumindest mal KabelBW erfolgreich die Tests abgeschlossen. Bis jetzt scheint alles zu klappen - nach der Rücksicherung meiner Konfiguration.
Gruß
Wolfgang
Aehm, nach dem geleakten Changelog für die 6360 ist aber erst 6.04 die Version, die die Sicherheitslücke stopft,
6.03 behebt glaube ich nur das VPN Problem.
Die Lösung für den DSLite Murx von Unitymedia: Business-Kunde mit statischer IPv4 Adresse werden.

Spass mit DS-Lite:
- OpenVPN an einen IPv4 Endpoint funktioniert über DSLite wenn man die MTU auf 1380 Bytes reduziert.
- Die Firewall des TC7200 ist binär. Alles an oder alles aus.
- Die FB6360 kann zwar IPv6 Prefix Delegation, AVM ist aber unfähig der Fritte dann beizubringen die Finger vom Prefix zu lassen => eingehender Verbindungsaufbau unmöglich.

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 15.02.2014, 13:33

Egalus hat geschrieben:
wwerner hat geschrieben:Abend,
habe heute im Zuge einer Störungsmeldung (Sprachqualität bei VoIP) die 6.03 auf die 6360 draufbekommen (Reaktionszeit nach Anruf unter 30 Minuten!)
Also hat zumindest mal KabelBW erfolgreich die Tests abgeschlossen. Bis jetzt scheint alles zu klappen - nach der Rücksicherung meiner Konfiguration.
Gruß
Wolfgang
Aehm, nach dem geleakten Changelog für die 6360 ist aber erst 6.04 die Version, die die Sicherheitslücke stopft,
6.03 behebt glaube ich nur das VPN Problem.
Es ist davon auszugehen dass die Version 6.03 direkt auf 6.00 basiert und nur das Problem mit der Fernwartung behebt. Die Fehler die in 6.01 und 6.02 behoben wurden sind da nicht drin, sondern erst in 6.04. Das erklärt auch warum in dem Changelog die 6.04 auf 6.02 basiert und nicht auf 6.03.

Vermutlich hat man die Zwischenversion gemacht um eine schnellere Implementierug zu ermöglichen. Umso verwunderlicher, dass KBW so lange gebraucht hat während KD die 6.04 ausrollt.
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Shinigami0Lilith
Kabelneuling
Beiträge: 21
Registriert: 03.03.2013, 15:17

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von Shinigami0Lilith » 15.02.2014, 17:09

johnripper hat geschrieben:Es ist davon auszugehen dass die Version 6.03 direkt auf 6.00 basiert und nur das Problem mit der Fernwartung behebt. Die Fehler die in 6.01 und 6.02 behoben wurden sind da nicht drin, sondern erst in 6.04. Das erklärt auch warum in dem Changelog die 6.04 auf 6.02 basiert und nicht auf 6.03.

Vermutlich hat man die Zwischenversion gemacht um eine schnellere Implementierug zu ermöglichen. Umso verwunderlicher, dass KBW so lange gebraucht hat während KD die 6.04 ausrollt.
Klingt logisch was du da schreibst, bin ich mal gespannt wann die 6.04 zu uns kommt.

Gruß Lili

wwerner
Kabelexperte
Beiträge: 111
Registriert: 10.08.2013, 11:13
Wohnort: Alt-KabelBW-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von wwerner » 15.02.2014, 17:23

Egalus hat geschrieben:

wwerner hat geschrieben:Abend,
habe heute im Zuge einer Störungsmeldung (Sprachqualität bei VoIP) die 6.03 auf die 6360 draufbekommen (Reaktionszeit nach Anruf unter 30 Minuten!)
Also hat zumindest mal KabelBW erfolgreich die Tests abgeschlossen. Bis jetzt scheint alles zu klappen - nach der Rücksicherung meiner Konfiguration.
Gruß
Wolfgang

Aehm, nach dem geleakten Changelog für die 6360 ist aber erst 6.04 die Version, die die Sicherheitslücke stopft,
6.03 behebt glaube ich nur das VPN Problem
.

Keine Ahnung, was jetzt alles geändert wurde - Fakt ist, ich "darf" jetzt wieder von außen auf meine Fritzbox zugreifen, also müsste nach den Informationen von UM/KabelBW bereits die Sicherheitslücke mit der FW 6.03 gestopft sein.
Was mir aber bei der Kabel 6.03 Version aufgefallen ist - es gibt jetzt die Möglichkeit für einen privaten Hotspot (für den ders braucht) so wie bei der Standard DSL 6.03 FW.
Gruß
Wolfgang
2play 200/10 Komf. IP V4
a/b:Fax & TFE mit MP3 Klingel mit Cambild der Tür auf MT-F/C5
DECT:2Fritz!Fon MT-F & 2C5 & 2C340H & 3AVM Rep.100 & 10 DECT200
S0-Bus:3 ISDN & 2 TA2a/b
WLAN:FB6490 & 2TL-WR1042ND als AP & 3AVM 1750E & 3AVM RE310
GB-LAN:FB64690 & 5Netgear GS108T
PCs an GB-LAN: WinServer2016 & 1Win7 PC & 11Win10 PCs / WLAN: WACOM WIN8.1 & mehrere Smartphones/Tablets/Laptops
bei Bedarf TV über SAT/Medienstreaming im Netzwerk mit ServiioPro

sebr
Übergeordneter Verstärkerpunkt
Beiträge: 627
Registriert: 27.04.2011, 15:27
Wohnort: Nidda

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von sebr » 16.02.2014, 00:29

Die Firmwarversionen von den Kableboxen sind nicht mit den "normalen" Boxen vergleichbar. Das sind oft irgendwelche Zwischenversionen die Bestandteile aus unterschiedlichen Firmwares beinhalten. Sieht man z.B. wenn man die DECT-Versionen mal vergleicht.
Ich beobachte die Situation auch schon seit Anfang an und wenn Ende nächster Woche kein Update auf meiner Box landet werde ich ebenfalls das Recovery bemühen.
Übrigens halte ich es nicht wirklich für einen "Leak" dass das Recovery Image aufgetaucht ist ;-)
Denn in dieser Form wird es wohl kaum für UM bereitgestellt um daran Anpassungen vorzunehmen.
Ich denke vielmehr hier möchte sich AVM nicht Untätigkeit vorwerfen lassen und das auf diesem Weg dokumentieren. Auch wenn AVM den Fehler verbockt hat: UM hat doch angeblich monatelang getestet und ist jetzt auch wieder in der Pflicht das Update nachzuliefern. Momentan hat UM (mal wieder) den schwarzen Peter.
Office Internet & Phone 50
Hardware:
Fritz!Box 6490 Cable (UM) FW: FRITZ!OS 06.50

johnripper
Glasfaserstrecke
Beiträge: 1294
Registriert: 06.02.2014, 19:29
Wohnort: Kabelbw-Land

Re: Fritzbox OS 6.0 Rollout ab 13.1.2014

Beitrag von johnripper » 16.02.2014, 00:37

Es ist einfach nur armselig, dass UMKBW für das freigeben der Version der Version 6.01 --die vermutlich nicht (viel) mehr als den FernwartungsBug behebt-- eine Woche gebraucht hat.
Ansonsten keine Reaktion, keine Information. Und das obwohl Donnerstags (vor dem Big-Bug-Fixing Weekend) von AVM bereits alle Provider informiert wurden (http://www.mobiflip.de/tipp/interne-hin ... -fritzbox/).
Office & Internet 150 @ Fritz!Box 6490, OS 6.50

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste