Unitymedia Kritische Sicherheitslücke in FritzOS kleiner als 6.30

[Thasitis]

Wie heise.de soeben berichtet klafft in FritzOS unter Version 6.30 eine Sicherheitslücke, die es Angreifern von außen ermöglicht Telefonate über die FB zu führen oder Code als Root auszuführen. Leider steht in dem Artikel nichts über die Kabelboxen. Ich befürchte aber, dass diese auch betroffen sein könnten. Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.

Link zum Artikel

 

[GoaSkin]

Port 8080 ist bei der FB 6490 dicht.

 

[tq1199]

Unsere 6360 hängt ja immer noch bei Version 6.04 fest und ein Update ist da wohl nicht in Sicht.

Auch bei der 6360 mit 6.04, ist der tcp-Port 8080 dicht.

 

[Bredi]

Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.

 

[koax]

Der Artikel bei Heise ist absolut daneben und reisserisch aufgemacht.
Es wird in Gegenwartsform eine Lücke beschrieben, die letztes Jahr schon korrigiert wurde.
Wenn man richtig hinschaut erfährt man, dass "Sicherheitsforscher" jetzt eine Lücke veröffentlicht haben die letztes Jahr entdeckt und repariert wurde.

Desweiteren bezieht sich die Lücke auf den DSL-Modem Teil der Box, welcher bei Kabelboxen nicht existiert.
In der Auflistung der Modelle werden auch nur DSL-Boxen genannt.

Es hätte eigentlich gereicht darauf hinzuweisen, dass AVM Kunden prüfen sollten ob ihre Firmware aktuell ist, weil diese Lücke nun veröffentlicht worden ist.
AVM und Sicherheitslücke ergibt natürlich viel mehr Seitenaufrufe, immer schön reisserisch bitte.
Heise hat bald einen Abbonenten weniger.

Und was von allem, das Du geschrieben hast, steht nicht in der Meldung?
Muss man eine Meldung etwas so aufbauen, dass auch die, die nicht einen Text erfassen können, damit klar kommen und das Weltbild der Fritzbox-Fans nicht zerstört wird.

 

[Thasitis]

OK, das bedeutet, dass die Kabelboxen nicht betroffen sind. Gut zu wissen und danke für die Infos. :super:

 

[M@rtin]

Schade, richtig schade...

 

[LinuxDoc]

Es handelt sich offenbar um die Lücke von letztem Jahr, nur hat man nun Details veröffentlicht.... Leider ist der Heise Artikel sehr verworren....
Und die Kabelboxen waren ebenfalls betroffen wimre... Aber alles schon länger gefixt


EDIT: aber 100% sicher bin ich mir nicht...

 

[GoaSkin]

Zuletzt sollte man fairerweise erwähnen, dass es sehr schwierig ist, sich diese Lücke als Angreifer überhaupt zu nutzen. Über die Fritzbox telefonieren zu können setzt voraus, das man sich (z.B. über einen ebenfalls löchrigen PC) Zugriff zu einem Heimnetz verschaffen hat. i.e.S. ist ein Rechner mit eigener Malware drauf erforderlich.

 

[LinuxDoc]

https://avm.de/service/aktuelle-sicherheitshinweise/

Aktuell nichts vermerkt zu dem Thema bei AVM.



Bei denen die die Lücke gefunden haben:

Timeline
========

2015-02-26 Vulnerability identified
2015-03-26 CVE number requested
2015-03-26 Vendor notified
2015-04-30 RedTeam Pentesting reviewed fixed version by order of vendor
2015-06-09 Vendor released fixed public beta (7490)
2015-07-16 Vendor started releasing fixed versions (7360 and 7490)
2015-10-01 Vendor finished releasing fixed versions (other models [0])
2015-11-27 Advisory release postponed to maximize patch distribution
2016-01-07 Advisory released

Quelle: https://www.redteam-pentesting.de/e...box-remote-code-execution-via-buffer-overflow

Scheint wohl alles schon gefixt zu sein und wie vermutet nur jetzt erst offizielle veröffentlich worden.

 

[koax]

Scheint wohl alles schon gefixt zu sein und wie vermutet nur jetzt erst offizielle veröffentlich worden.

Was gibt es da noch zu vermuten, wenn genau dieser Fakt in der Meldung steht?

 

[koax]

Aktuell nichts vermerkt zu dem Thema bei AVM.

Doch:

Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben.
Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
[1] FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490

Es handelt sich offenbar um die Lücke von letztem Jahr,

Wahrscheinlich meinst Du mit "Lücke vom letzten Jahr" die Lücke von 2/2014.