@seelo2010 schrieb:
Ich habe da ein etwas anderes Verständnis, AVM fixt nach wie vor die 6360 wenn es sicherheitsrelevante Fehler gibt.
Nur weil es keine neue Funktionsupdate mehr für die 6360 gibt, bedeutet das nicht, dass Sicherheitslücken nicht geschlossen werden sofern relevant.
Und die Erfahrungen der vergangenen Jahre zeigt ja, dass aktuelle FW nicht weniger betroffen ist von großen Lücken.
Beispiel Angriff auf die Telekom Speedports oder alle AVM Router.
Wenn es Dir jetzt um Sicherheitslücken wie KRACK geht, dann ist diese zum Beispiel bei der 6360 nicht relevant und daher bedarf dies auch kein Update.
Unabhängig davon das Home-Router in der Regel er als Bots missbraucht werden, oder für das anwählen gebührenpflichtiger Nummern, welches aber mittlerweile seitens der Provider systemisch eingeschränkt wird.
Bei Geräten, die mit dem Internet verbunden sind und damit für alle ein Angriffsziel darstellen ist es nun mal nicht wie bei Opas Traktor - never touch a running System.
Auch bin ich mir ziemlich sicher, dass Du an Deiner Haustüre kein Bartschloss, sondern ein modernes Türschloss hast. Wieso geigentlich? Sperrt doch auch auf, und das bisweilen zuverlässiger als filigrane Sicherheitsschlösser? Und die potentiellen Angreifer sind in der Anzahl um Potenzen weniger, als es Angriffe im Internet gibt.
Ganz abgesehen von neuen Standards, höheren Verschlüsslungen, neuen Zertifikaten und anderen absolut relevanten Sicherheitsfeatures genügt auch ein Blick auf die AVM Seiten um festzustellen, wo der Hersteller selbst Handlungsbedarf gesehen und Nachbesserungen vorgenommen hat (die er offen beschreibt, dazu kommen diejenigen Lücken, die er zusätzlich ohne Dokumentation schließt). Darunter sind kritische und auch weniger kritische. Wichtig ist, die Erkenntnisse von Bedrohungen fließen in die Produkte ein, nur VF gibt diese nicht an den Kunden weiter
Ich möchte mich wiederholen. VF verlangt die gleiche Miete wie für neuere Geräte mit aktuellerer Software und lässt dennoch das Risiko zu 100% auf der Nutzerseite. Wird schon nichts passieren, unsere Geräte sind sicher.
Komisch nur, dass kein relevantes Unternehmen sich leistet, solch alte Geräte incl. seit Jahren fehlenden Updates mit derartigen Sicherheitslücken einzusetzen.
Sicherheitsverbesserungen FRITZ!OS 6.80 (von 2016)
Beschreibung
- Fehlgeschlagene Anmeldeversuche für FTP, SMB und SIP-Nebenstellen werden im Ereignisprotokoll angezeigt.
- Das Kennwort für die Anmeldung eines IP-Telefons an der FRITZ!Box muss mindestens achtstellig sein. IP-Telefone mit kürzerem Kennwort werden beim Update deaktiviert.
- Der FTPS-Port wird zufällig gewählt, um die Sicherheit zu erhöhen.
- Zugriff über FTPS unterstützt zusätzlich ECDHE-Chiffren.
- Der Zeitpunkt der letzten Aktualisierung des FRITZ!OS wird auf der Benutzeroberfläche angezeigt.
- Die Anmeldung an der FRITZ!Box-Oberfläche ist 20 min gültig.
- Erhöhen der Sicherheit des FRITZ!Box-eigenen Zertifikats durch Signatur mit SHA-256.
- Neustart der FRITZ!Box durch speziell präparierte Datenpakete verhindert. Vielen Dank an S. Deseke für die Meldung.
- Temporäre Beeinträchtigung der Erreichbarkeit der Benutzeroberfläche über bestimmte Zugriffswege durch präparierte Anfragen verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
- Bei manuellem Laden einer präparierten tar-Datei wird die Ausführung von Befehlen verhindert. Das Einspielen einer tar-Datei erfordert sowohl den lokalen als auch physischen Zugriff auf die FRITZ!Box. Vielen Dank an P. Hämmerlein für die Meldung.
- Sicherheitsverbesserungen bei der Anmeldung am FTP-Server verhindern das Durchprobieren von Passwörtern mit Hilfe der Session-ID. Vielen Dank an P. Hämmerlein für die Meldung.
- Die Überprüfung eines Headers wurde beim Einspielen von Firmware Updates verbessert. Vielen Dank an P. Hämmerlein für die Meldung.
- Bei Nutzung eines präparierten Parameters im Pushmail Kontext wird die Ausführung von Befehlen verhindert. Änderungen an den Pushmail-Einstellungen erfordern die Kenntnis des FRITZ!Box-Kennworts. Vielen Dank an P. Hämmerlein für die Meldung.
Sicherheitsverbesserungen FRITZ!OS 6.83 (von 2017)
Beschreibung
- Das Einrichten eines IP-Telefons erfordert eine Mindestlänge von 8 Zeichen bei der Vergabe des Benutzernamens.
- Die Option für IP-Telefone, die Anmeldung aus dem Internet zu erlauben, ist nach dem Update deaktiviert. Wir empfehlen IP-Telefone von anderen Standorten verschlüsselt mit Hilfe von VPN anzubinden.
- In FRITZ!OS 6.80/81 war es mit einem speziell präparierten Datenpaket und dem Zusammentreffen mehrerer Bedingungen möglich, einen Speicherüberlauf zu erzeugen. Dies wurde mit FRITZ!OS 6.83 behoben [1].
- Die Ausführung von Befehlen durch speziell präparierte Parameter im TR-064 Kontext wird nun verhindert. Das Ausführen von TR-064 Kommandos erforderte die Kenntnis des Gerätekennworts. Vielen Dank an P. Hämmerlein für die Meldung.
Sicherheitsverbesserungen FRITZ!OS 6.90 (von 2017)
Beschreibung
- Mögliche Information Leakage in PPPoE-Padding-Bytes behoben. Vielen Dank an das CERT-Team der Deutschen Telekom für die Meldung, insbesondere an C. Kagerhuber und F. Krenn (DTC-A-20170323-001).
- Unerwünschtes Verändern der BPJM-Liste via NAS-Zugriff verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
- Möglichkeit einer Traffic-Amplification im VPN/IKEv1-Dienst verhindert.
- Datei-Umbenennen in FRITZ!NAS ermöglicht die Ausführung von Code im Browser (XSS). Vielen Dank an T. Roth für die Meldung.
- Gültige SID für Web-UI-Zugang wurde unter bestimmten Rahmenbedingungen bei externen Links an den nächsten Server weitergegeben. Vielen Dank an B. Blechschmidt für die Meldung.
- DNS-Rebind-Schutz auch für die globale IPv6-Adresse der FRITZ!Box durchsetzen. Vielen Dank an B. Blechschmidt für die Meldung.
- Die Einrichtung von Portfreigaben über UPnP, PCP und TR-064 ist nur zu dem Heimnetzgerät möglich, welches die Portfreigabe einrichtet.
- Die zusätzliche Bestätigung wurde auf weitere sicherheitsrelevante Einstellungen ausgeweitet:
- Setzen von Werkseinstellungen
- Verändern der DNS-Server-Einstellungen
- Der Download der erweiterten Supportdaten
Sicherheitsverbesserungen FRITZ!OS 7.10 (von 2019)
Beschreibung
- Moderne TLS-Verfahren erzwingen, Unterstützung von TLS 1.0 für FRITZ!Box in der Server-Rolle entfernt.
- Beim Diffie-Hellman-Schlüsselaustausch im TLS-Kontext wird jetzt ein 2048 Bit DH-Parameter genutzt.
- Härtung des Systems durch Nutzung von Stack Smashing Protection (SSP), Position-Independent Executable (PIE/ASLR) und RELocation Read-Only (RELRO).
