https://avm.de/service/sicherheitsinfos-zu-updates

Mal schauen was da noch kommt und bis zu welcher Firmware zurück dieses Sicherheitsproblem besteht... (und was AVM allenfalls gedenkt zu tun, mit Boxen die komplett aus dem Support gefallen aber von dem Problem betroffen sind)

AVM empfiehlt jedenfalls ein dringliches Updaten der Boxen (für die bereits ein Update bereitsteht), das ganze wird daher wohl nicht ganz unkritisch sein.

Update lief durch, aber ich kann irgendwie keine News dazu finden?

Details werden zu einem späteren Zeitpunkt veröffentlicht.

Hier gibts ein paar Vermutungen:
https://www.borncity.com/blog/2023/09/04/fritz-os-7-57-7-31-als-sicherheitsupdate-schliet-schwerwiegende-sicherheitslcke/

Yep, scheint wichtig zu sein da selbst sonst stiefmütterlich behandelte Modelle wie meine 7583 diesmal zeitgleich ein Update erhalten haben :D.

Mein FRITZ!Repeater 2400 hat kein Update bekommen. Allerdings gibt es da wohl schon seit fast 2 Monaten 7.56.
5590, 4060 und 4090 auf 7.57 aktualisiert.

Meine sieben Jahre alte 7560 erhielt nun auch ein Update – von 7.29 auf 7.30. Aber nicht nur den Sicherheits-Fix, sondern auch neue Features. Echt wieder top von AVM.

Meine sieben Jahre alte 7560 erhielt nun auch ein Update – von 7.29 auf 7.30. Aber nicht nur den Sicherheits-Fix, sondern auch neue Features. Echt wieder top von AVM.
na ja vieles davon was da genannt wird ist aber im 7.29 enthalten, u. Top wäre es wenn sie die 7560 wie die 7490 auf 7.50 bringen würden :freak:
die 7560 ist ja 3 Jahre später als die 7490 raus gekommen :redface:

Für die 7490 gibt es seit längerem Lab-Firmwares mit allen 7.5x Features drin - OK aktuell natürlich etwas doof weil man wegen Security auf 7.3x zurück muss und dann mitunter Funktionen verliert die man nun schon genutzt hatte.

??? Gibts doch schon längst

https://download.avm.de/fritzbox/fritzbox-7490/deutschland/fritz.os/

Auf der Update-Übersichtsseite listet der Hersteller zahlreiche Modelle mit verfügbarer Firmware 7.57 auf: Fritzbox 6590 Cable, 7590, 7530, 7510, 5490 (7.31), 4060, 4040 und die 3490 (7.31)

Ich musste bei meiner 6490 Cabel das Update manuell machen da die "Update Funktion" keine neue Version gefunden hat und auch nix angeboten hatte.

Habe mir dann die entsprechende Version von hier geholt:

https://download.avm.de/fritzbox/

Da muss AVM ja richtig der Stift gehen wenn selbst die DOCSIS-Provider das Update schon pushen.

Ja Angriff über Port 443. Dann konnte das Passwort der FritzBox geändert werden und der Besitzer der Box konnte diese dann nur auf Werkseinstellungen zurücksetzen.

Da muss AVM ja richtig der Stift gehen wenn selbst die DOCSIS-Provider das Update schon pushen.Jo, meine 7490 wurde heute Früh auch zwangs-geupdatet auf 7.57:
"Das Update erfolgte durch Ihren Internet-Anbieter." :|

MfG
Rooter

Da muss AVM ja richtig der Stift gehen wenn selbst die DOCSIS-Provider das Update schon pushen.

Vodafone pusht aktuell noch nichts.
Hab bei einem Kunden eine gemietete 6591, die auf Fritz!OS 7.29 hängt und keine Updates findet.

Meine private 6660 hat FRITZ!OS 7.57 vorgestern eingespielt.
:confused:

Wenn das jetzt eine Netzwerkecke bei Häuslebauern (Foren) oder in hifi-foren wäre, dann hätt ich nichts gesagt.

Daß aber in Foren wie 3DC oder Luxx oder CB soviele bei ihrer Fritte "Fernzugriff" an haben, das wundert mich schon :usweet:

Ich hab zwar auf meiner 7530 eingestellt, dass Updates immer gesucht und angezeigt werden, das klappt aber nie. Also suchen tut sie jeden Tag nur finden tut sie nie was. :freak:
Aber mit manueller Suche gehts natürlich immer. Das neue Update wurde auch gefunden, habs installiert, keine Probleme. Nur beim ersten mal gings wohl nicht durch, da hab ichs angestoßen aber den Browser geschlossen, ob das was ausmacht beim Updateprozess?

Daß aber in Foren wie 3DC oder Luxx oder CB soviele bei ihrer Fritte "Fernzugriff" an haben, das wundert mich schon :usweet:

Haben diejenigen, die ihre FRITZ von ihrem Provider haben, dahingehend eigentlich eine Wahl?

Ja, aber Sicherheitslücke bleibt Sicherheitslücke.
Egal wie viele Nutzer das aktiviert oder deaktiviert haben.
Positiv ist die rasche Update-Verteilung von AVM.

Hui, nun gibt es auch eine Securitywarnung für Router von Asus sowie TP-Link und zumindest eines der gemeldeten Problem klingt hier ähnlich wie das bei AVM...

Nutzen diese für die Firmware allenfalls alle das gleiche Basisframework eines Chip Herstellers (Broadcom?) welches diese Lücke eingebracht hat?

Positiv ist die rasche Update-Verteilung von AVM.Postiv wäre es, wenn das Netgear und TP-Link Router betreffen würde, und AVM nicht.

edit:
Nicht hingeschaut. Und umgehend ein Bingo von Birdman :D

Denke nicht. Die Fritten haben nicht alle nur den einen DSP. Es wird wahrscheinlich etwas vom anderen Treiber abhängen oder an der am überall gleichen Treiber der zu den embedded Linuxen die draf laufen abhängen.

Vodafone pusht aktuell noch nichts.
Hab bei einem Kunden eine gemietete 6591, die auf Fritz!OS 7.29 hängt und keine Updates findet.



Nimm die Box kurz offline, danach sollte das Update reinkommen.
So habe ich es vorhin auch gemacht.

Danke für den Tip!
Nach einem händisch angestoßenen reboot, hat Vodafone innerhalb von drei Minuten 7.57 auf die Box ausgerollt...

Hast du eine Idee, warum das Update nur an händisch neu gestartete Geräte gepushed wird?
Bei einer manuell initierten Suche nach Updates (vor dem Neustart), wurde mir (weiterhin) kein verfügbares Update angezeigt.

Neustart hat hier leider nicht geklappt. Hänge immernoch auf 5.27.
Vielleicht frag ich Vodafone mal nach ner neuen Box, wenn ich das Update nicht bekomme. Für irgendwas zahl ich ja die 5€ mehr :biggrin:

Jetzt werden auch die Repeater gepatcht.

Und somit war die Lücke wohl doch größer als "nur" unerlaubter Zugriff per Fernwartung und Port 443.

Meine Leih Fritzbox 6660 von Vodafone hat auch schon das Update bekommen. Wenn Vodafone so extrem schnell handelt, muss wirklich ne ganz große Lücke geklafft haben.

Bin gespannt was es genau war.

Der Betreff haut nicht hin. Das Loch wird auch mit der 7.30 gepatcht
https://it-blogger.net/avm-veroeffentlicht-fritzos-7-30-fuer-fritzbox-7580/

Die Frage die sich mir da stellt:
Bei Routern die schon länger an den Faeturesorgien kein teilnehmen dürften, wird bei denen mit solche "hohen" Firmwares diese mitgeleifert oder stellt man nur die Versionsnummer hoch und für die ist es die letztaktuelle Version, ohne die Sicherheitslöcher?
Oder kommen durch solche glücklich unglücklichen Zufälle die Features mit rein welche die neueren Boxen mit solchen Versionsnummern bekamen? :tongue:

Am obigen, ich sehe hier nur Features. Keine Sicherheitslöcher :D
https://avm.de/service/update-news/download/product/fritzbox-7580/

Und offensichtlich auch mit 6.88 und anderen älteren Versionen, welche plötzlich eine außerplanmäßiges Update erhalten haben.
https://it-blogger.net/avm-veroeffentlicht-fritzos-6-88-fuer-fritzbox-7390/

EDIT: hier der offizielle Changelog:
https://avm.de/service/update-news/download/show/eyJkaXNwbGF5IjoiRlJJVFohQm94IDczOTAiLCJ1cmwiOiJodHRwOlwvXC9kb3dubG9hZC5hdm0uZGVc L2ZyaXR6Ym94XC9mcml0emJveC03MzkwXC9kZXV0c2NobGFuZFwvZnJpdHoub3NcL2luZm9fZGUudHh0 IiwiaGFzaCI6ImY1ODc2MGE4MDU1N2Q0ZWE4MmQ2OTg5MzYyMGY1Y2IzNDI2YmZiNDlkZDZjODA3Zjlj NDhiNDYzZjZkNmFmYWEifQ==/?cHash=7efa0139b717adf1e832a64ccf7b006d


Weitere Verbesserungen im FRITZ!OS 6.88
System:

Behoben Stabilität und Sicherheit erhöht

Das würde man eher hier offenlegen:
https://avm.de/service/sicherheitsinfos-zu-updates/

Ist aber noch nicht disclosed bis ein Großteil der Geräte gepatcht ist.

Wir hatten hier schon den Blogartikel mit den Infos. Was ist da noch so spannend? ;)

Danke für den Tip!
Nach einem händisch angestoßenen reboot, hat Vodafone innerhalb von drei Minuten 7.57 auf die Box ausgerollt...

Hast du eine Idee, warum das Update nur an händisch neu gestartete Geräte gepushed wird?
Bei einer manuell initierten Suche nach Updates (vor dem Neustart), wurde mir (weiterhin) kein verfügbares Update angezeigt.


(y)

Hm, keine Ahnung...demnach hast Du DSL?
War mit meinen Gedanken bei einem Kabelanschluss, dort kann man dieses Verhalten so forcieren (wenn man eh schon eingereiht ist).

Haben diejenigen, die ihre FRITZ von ihrem Provider haben, dahingehend eigentlich eine Wahl?Vermutlich nicht. Aber meine aktuelle 7490 ist nicht von meinem Provider 1&1 und wurde dennoch zwangsgeupdatet.

MfG
Rooter

Das Update wurde wohl überall zwangsgepusht, auch wenn man das Installieren automatischer Updates deaktiviert hatte. Wird auch keine älteren Recoverys mehr geben.

Das Update wurde wohl überall zwangsgepusht, auch wenn man das Installieren automatischer Updates deaktiviert hatte.
Ah? Es gibt einen God-Mode? Ein Sicherheitsloch bleibt also noch über? :ulol:

PS:
Echt schade. Auch wenn die Fritte früher nicht die allerbesten Optionen hatte und nicht grad die preiswerteste war, so war es so - gegenüber den Asiaten wie auch den Amis - daß sie dich wenigstens nicht f... konnten. Die ganzen Disaster haben sich ständig die erwähnten eingehandelt.

Jetzt passierte es doch noch oft genug, um sagen zu können, daß auch dieser Nimbus bei AVM gefallen ist.

Wobei die bleiben noch wenigstens dran. Die anderen brauchen 2 Monate oder lassen einen auch mal drauf sitzen. Diesmal waren sie wenigstens nur Stück langsamer als AVM. Aber ob die alles so wieder zu patchen wie AVM, das bezweifle ich stark.

Der Nimbus ist aber weg =)

Grade eine 7330 geupdatet, da gab es jetzt 6.56. Die Box ist von 2011.

mfg

@Pinoccio
So viel wie man es gerne glauben würde, oder glauben soll, ändert sich an der Hardware eben nicht ;)

Welcher Nimbus bitte? Router sind auch nur Computer mit Unix/Linux drauf, wenn es keine regelmäßige Updates gibt, wirds allein in den entsprechenden Betriebssystemen und Paketen zig Exploits geben. Wenn dann noch die Firewall nach außen fällt, wars das halt.

(y)

Hm, keine Ahnung...demnach hast Du DSL?
War mit meinen Gedanken bei einem Kabelanschluss, dort kann man dieses Verhalten so forcieren (wenn man eh schon eingereiht ist).

Nope, die (von der Firma geleaste) 6591 hängt an einem Vodafone 1000/50 Kabelanschluß.

Das heißt dann -> Vodafone hat einen internen queue für ihren Pool an Leasingroutern, der dann nach und nach abgearbeitet bzw. gepatched wird?
Und mit einem Routerneustart spring ich in dem queue nach oben?

Das Update wurde wohl überall zwangsgepusht, auch wenn man das Installieren automatischer Updates deaktiviert hatte. Wird auch keine älteren Recoverys mehr geben.

Habe eben nachgeschaut und meine 7520 hat noch die alte 7.56 drauf. Automatische Updates habe ich deaktiviert und da wurde kein Zwangsupdate durchgeführt.

Wtf, ich bin mir auch ziemlich sicher, dass ich Auto-Updates immer ausschalte jedes Mal.

Edit: Ja, Ok. Den Haken weg setzt das auf Stufe 2 aka "notwendige Updates automatisch installieren".

Welcher Nimbus bitte?
Nochmal? :| Es war bis zum Telefoniehack EWIG Ruhe um die Fritten, während die Asiaten ständig nur so hin und her schwammen (und meist ein shice Supportverhalten zeigten).

Deswegen will ich auch keine Router von denen. Und von den Amis eigentlich auch nicht :usweet:

Bald wird AVM verkauft. Die Gründer laufen auf die 70 zu und es gibt keinen Nachwuchs oder es hat kein Interesse an sowas. Ich bin gespannt.

https://www.heise.de/hintergrund/Fritzbox-Sicherheitsleck-analysiert-Risiken-und-Gegenmassnahmen-9323225.html

Der Artikel erinnerte mich wieder an den FTP-Server.
https://ftp.avm.de/

Was nicht stimmt. Keine Ahnung woher sie diese URL haben. Scheint irgendwas um 2011 zu sein... Richtig ist:
https://download.avm.de/fritzbox/

Eine 7272 scheint betroffen. Eine 7270v3 (die nach wie vor ADSL mit 16Mbit sauber machen dürfte und was in DE auch meist überall angeboten wird) scheint nicht betroffen :ulol: