---

@Sherminator  schrieb:

---

@reneromann  schrieb:
Wer eben jenen Menüpunkt nicht aktiviert hat, also bei demjenigen, wo von außen KEIN Zugriff auf die Konfigurationsoberfläche möglich ist, ist NICHT von dem Problem betroffen.

Kannst Du uns einen Link zur Verfügung stellen, wo AVM oder Vodafone das bestätigen? Ich konnte leider nichts finden. Dankeschön!

---

Wie hier schon auf einigen der verlinkten Seiten anklang, betrifft das Problem ausschließlich den HTTPs-Zugriff auf die Box, wenn eben jene Option zum Zugriff auf die Konfigurationsoberfläche aktiviert ist.

Und da es für HTTPs nur genau eine Option zum externen Zugriff auf die Konfiguration gibt (nämlich jenen Menüpunkt zur Freigabe der Konfigurationsoberfläche über das Internet), gibt es auch nur eben jenes Einfallstor für HTTPs-Zugriffe.

Davon abgesehen ist es generell nicht sinnvoll, wenn man Router (oder auch andere Geräte im internen Netz) einfach mal so frei nach außen erreichbar macht, ohne dort anderweitige Schutzmechanismen walten zu lassen. Es hat schon einen Grund, warum ich schrieb, dass dieser Zugriff abgeschalten gehört und man sich -sofern man von extern auf die Box zugreifen will- immer über ein VPN darauf Zugriff holen sollte.

Bei Portweiterleitungen (auch HTTPs) an nachgeschaltete Geräte ist die FritzBox selbst ja nicht involviert; ein Firmwarepatch würde daran auch nichts ändern [zumal die FritzBox als Router dann auch keinen blassen Schimmer vom verschlüsselten Inhalt hat].

---

@Sherminator  schrieb:

---

@reneromann  schrieb:
Und woher soll das der "einfache" Hotliner jetzt wissen?

Glaubst du die lesen jetzt überall sich in sämtlichen IT-Sicherheitsforen durch, was sein könnte und vielleicht irgendwie irgendwas passieren könnte?

---

Ich glaube nicht, dass das jemand erwartet. Aber ich erwarte, dass die Hotliner ein morgendliches Briefing kriegen, ungefähr mit: "Hey, es werden Kunden nach einem Update für ihre AVM-Mietboxen fragen, das wahrscheinlich eine kritische Sicherheitslücke behebt. Sagt ihnen, wir arbeiten dran und rollen das Update in den nächsten Tagen aus. Mehr Details haben wir zum jetzigen Zeitpunkt leider nicht."

---

Da muss ich dich enttäuschen: Das ist NICHT Aufgabe des 1st-Level-Supports. Mal davon abgesehen, dass die CCA nicht für solche "Schulungen" bezahlt werden, sondern dafür, am Telefon zu hängen.

---

@Sherminator  schrieb:

---

---

@reneromann  schrieb:
weil der Kunde am Ende nämlich zu geizig ist, vernünftigen IT-Support zu bezahlen. Denn vernünftiger IT-Support und 'ne Gigabit-Leitung für 39,95 € mtl. gehen halt nicht zusammen.

---

Wenn mir Vodafone einen Heimrouter vermietet und mir darin die Möglichkeit, manuell Updates zu installieren, verwehrt, dann darf ich selbstverständlich davon ausgehen, dass sicherheitsrelevante Updates zeitnah installiert werden. Wenn das für 4,99 Euro/Monat nicht machbar ist, dann muss es halt 7,99 Euro/Monat kosten. Und/oder Vodafone muss an den 4,99 Euro-Tarif dranschreiben, dass zu diesem Preis die zeitnahe Installation sicherheitsrelevanter Updates leider nicht gewährleistet werden kann.

---

Die 7.57 wird doch bereits - wie es hier im Thread schon anklang - verteilt. Was willst du noch?

Und wir reden da auch nicht von 4,99 €/Monat oder 7,99 €/Monat, sondern wir reden da von ganz anderen Größenordnungen, die schnell in den drei- bis vierstelligen Bereich pro Monat gehen.

Davon abgesehen ist wie gesagt eine Funktion betroffen, die VF standardmäßig NICHT aktiviert hat, die auch von AVM standardmäßig NICHT aktiviert ist -- und JEDER, der diese Funktion selbst aktiviert, MUSS sich über die möglichen Konsequenzen eines Angriffs immer auch bewusst sein - und zwar unabhängig von irgendwelchen (zusätzlichen) Sicherheitslücken. Denn JEDER offene Port in's Internet stellt IMMER ein Risiko dar - das scheinen hier einige Leute nur gerne zu vergessen, die dann lauthals rumkrakeelen!

---

@reneromann  schrieb:

---

@Sherminator  schrieb:

---

@reneromann  schrieb:
Wer eben jenen Menüpunkt nicht aktiviert hat, also bei demjenigen, wo von außen KEIN Zugriff auf die Konfigurationsoberfläche möglich ist, ist NICHT von dem Problem betroffen.

Kannst Du uns einen Link zur Verfügung stellen, wo AVM oder Vodafone das bestätigen? Ich konnte leider nichts finden. Dankeschön!

---

Wie hier schon auf einigen der verlinkten Seiten anklang, betrifft das Problem ausschließlich den HTTPs-Zugriff auf die Box, wenn eben jene Option zum Zugriff auf die Konfigurationsoberfläche aktiviert ist.

---

Heise schreibt, es gibt Gerüchte in diese Richtung. Eine Sprecherin von AVM nennt auf Anfrage von Heise keine Details. AVM hat auf seiner Webseite ebenfalls keine Details. Und auch das CERT schreibt ausdrücklich, dass es keine Details hat. Und auf dieser Grundlage schreibst Du hier im Forum, man müsse lediglich den Fernzugriff deaktivieren und ist dann nicht mehr von dem Problem betroffen. Ich halte das nach jetzigem Kenntnisstand für falsch und gefährlich.

Über die Sinnhaftigkeit dieser Funktion lässt sich trefflich streiten. In der Tat bin ich da Deiner Meinung und empfehle, das nicht ohne Weiteres zu aktivieren. Aber Fakt ist, dass AVM und Vodafone diese Funktion zur Verfügung stellen und sie aktiv bewerben. Damit sind sie natürlich auch in der Pflicht, Sicherheitslücken an dieser Funktion zeitnah zu beheben. Und AVM hat ja bereits gezeigt, dass das möglich ist.

---

@Sherminator  schrieb:

---

@reneromann  schrieb:

---

@Sherminator  schrieb:

---

@reneromann  schrieb:
Wer eben jenen Menüpunkt nicht aktiviert hat, also bei demjenigen, wo von außen KEIN Zugriff auf die Konfigurationsoberfläche möglich ist, ist NICHT von dem Problem betroffen.

Kannst Du uns einen Link zur Verfügung stellen, wo AVM oder Vodafone das bestätigen? Ich konnte leider nichts finden. Dankeschön!

---

Wie hier schon auf einigen der verlinkten Seiten anklang, betrifft das Problem ausschließlich den HTTPs-Zugriff auf die Box, wenn eben jene Option zum Zugriff auf die Konfigurationsoberfläche aktiviert ist.

---

Heise schreibt, es gibt Gerüchte in diese Richtung. Eine Sprecherin von AVM nennt auf Anfrage von Heise keine Details. AVM hat auf seiner Webseite ebenfalls keine Details. Und auch das CERT schreibt ausdrücklich, dass es keine Details hat. Und auf dieser Grundlage schreibst Du hier im Forum, man müsse lediglich den Fernzugriff deaktivieren und ist dann nicht mehr von dem Problem betroffen. Ich halte das nach jetzigem Kenntnisstand für falsch und gefährlich.

---

Was du für falsch und gefährlich hältst, ist deine Sache. Fakt ist, dass die Box nur genau EINE Möglichkeit zum HTTPs-Zugriff auf das Konfig-Interface bietet - und diese wird genau mit diesem einen Menüpunkt aktiviert oder deaktiviert.

Wer den Menüpunkt deaktiviert hat, ist per se weniger angreifbar, als derjenige, der ihn aktiviert hat.

Und geh mal davon aus, dass AVM Details erst dann veröffentlichen wird, wenn sie für alle Boxen -auch die älteren Geräte- entsprechende Fixes bereitgestellt haben. Denn wenn sie die Details veröffentlichen würden, ohne entsprechende Fixes bereitgestellt zu haben, wäre dies zivil- und strafrechtlich durchaus relevant.

---

@Sherminator  schrieb:

Über die Sinnhaftigkeit dieser Funktion lässt sich trefflich streiten. In der Tat bin ich da Deiner Meinung und empfehle, das nicht ohne Weiteres zu aktivieren.

---

Na immerhin...

---

@Sherminator  schrieb:

Aber Fakt ist, dass AVM und Vodafone diese Funktion zur Verfügung stellen und sie aktiv bewirben. Damit sind sie natürlich auch in der Pflicht, Sicherheitslücken an dieser Funktion zeitnah zu beheben.

---

Wo bewirbt Vodafone diese Funktion zur Fernkonfiguration aktiv?

Und wie gesagt - das Update auf die 7.57 befindet sich doch bereits in der Ausrollung - was willst du mehr? Eine schnellere Verteilung ist alleine aufgrund der Serverlast bei AVM nicht möglich.

---

@reneromann  schrieb:
Da muss ich dich enttäuschen: Das ist NICHT Aufgabe des 1st-Level-Supports. Mal davon abgesehen, dass die CCA nicht für solche "Schulungen" bezahlt werden, sondern dafür, am Telefon zu hängen.

---

---

Ich habe ehrlich gesagt keine Ahnung, wie große Callcenter so ticken, aber was ich aus Erfahrung als Endkunde sagen kann, ist, dass die Infos darüber, welche Fancy-Special-Tarife den Kund:innen heute am Telefon aufgeschwatzt werden sollen, zuverlässig den 1st-Level-Support erreichen. Auf dem gleichen Weg könnten doch gelegentlich auch mal nützliche Infos weitergegeben werden, nicht? Aber was weiß ich schon davon.

---

@reneromann  schrieb:

Was du für falsch und gefährlich hältst, ist deine Sache. Fakt ist, dass die Box nur genau EINE Möglichkeit zum HTTPs-Zugriff auf das Konfig-Interface bietet - und diese wird genau mit diesem einen Menüpunkt aktiviert oder deaktiviert.

Wer den Menüpunkt deaktiviert hat, ist per se weniger angreifbar, als derjenige, der ihn aktiviert hat.

---

Nochmal: Dass dieses Problem (ausschließlich) den Fernzugriff via HTTPS betrifft, ist nicht offiziell bestätigt. Das sind nach aktuellem Stand Gerüchte und Hörensagen. Und auf dieser Grundlage hier im Forum sicherheitsrelevante Ratschläge zu geben, ist falsch und gefährlich. Dein Hinweis darauf, dass es stets sicherer ist, einen Port geschlossen zu haben als ihn geöffnet zu haben, ist korrekt, aber in diesem Kontext nach jetzigem Kenntnisstand nicht relevant.

---

@reneromann  schrieb:

Und geh mal davon aus, dass AVM Details erst dann veröffentlichen wird, wenn sie für alle Boxen -auch die älteren Geräte- entsprechende Fixes bereitgestellt haben. Denn wenn sie die Details veröffentlichen würden, ohne entsprechende Fixes bereitgestellt zu haben, wäre dies zivil- und strafrechtlich durchaus relevant.

---

Ich habe die Informationspolitik von AVM nicht kritisiert, ich habe nur den aktuellen Stand beschrieben. Für die aktuelle Situation dürfte das von Dir Geschriebene aber auch kaum relevant sein, weil AVM ja bereits Fixes veröffentlicht hat. Wahrscheinlich warten sie noch darauf, bis die wichtigsten Internetanbieter auch eine anständige Verteilquote erreicht haben.

---

@reneromann  schrieb:
Wo bewirbt Vodafone diese Funktion zur Fernkonfiguration aktiv?

---

ach komm... AVM wirbt damit, und Vodafone wirbt damit, Fritz!Boxen zu vermieten. Und selbst wenn nicht: Die Fritz!Boxen haben diese Funktion, damit haben Fritz!Box-Kunden einen Anspruch auf die zeitnahe Behebung von sicherheitsrelevanten Problemen an dieser Funktion. Und wie bereits gesagt: AVM wird diesem Anspruch ja gerecht. Vodafone vielleicht auch; das wird sich in den kommenden Tagen zeigen.

---

@reneromann  schrieb:
Und wie gesagt - das Update auf die 7.57 befindet sich doch bereits in der Ausrollung - was willst du mehr? Eine schnellere Verteilung ist alleine aufgrund der Serverlast bei AVM nicht möglich.

---

Ich habe mich nicht beschwert. Ich wollte dem von Dir vermittelten Eindruck entgegenwirken, dass Leute, die den Fernzugriff aktiviert haben, selbst Schuld sind, wenn sie jetzt gefährdet sind. Und ich wollte darauf hinweisen, dass Deine Ratschläge (zum jetzigen Zeitpunkt) irreführend und falsch sind. Und daran erinnern, dass AVM und Vodafone in der Pflicht sind, zeitnah Sicherheitsupdates auszurollen.

Hast Du zu dem Hinweis mit der Serverlast eine Quelle? Einfach, weil's mich interessiert, weil ich selbst mal in dem Bereich gearbeitet habe. Ich vermute, dass die Internetanbieter ihre Updates über ihre eigenen Infrastrukturen ausrollen (die ordentlich Rums haben sollten). Und auch bei AVM würde ich vermuten, dass sie die Anzahl ihrer Fritz!Boxen gut im Blick haben und eine Infrastruktur vorhalten, mit der man zeitnah Updates ausrollen kann.

---

@reneromann  schrieb:

---

@Sherminator  schrieb:

---

@reneromann  schrieb:

---

@Sherminator  schrieb:

---

@reneromann  schrieb:
Wer eben jenen Menüpunkt nicht aktiviert hat, also bei demjenigen, wo von außen KEIN Zugriff auf die Konfigurationsoberfläche möglich ist, ist NICHT von dem Problem betroffen.

Kannst Du uns einen Link zur Verfügung stellen, wo AVM oder Vodafone das bestätigen? Ich konnte leider nichts finden. Dankeschön!

---

Wie hier schon auf einigen der verlinkten Seiten anklang, betrifft das Problem ausschließlich den HTTPs-Zugriff auf die Box, wenn eben jene Option zum Zugriff auf die Konfigurationsoberfläche aktiviert ist.

---

Heise schreibt, es gibt Gerüchte in diese Richtung. Eine Sprecherin von AVM nennt auf Anfrage von Heise keine Details. AVM hat auf seiner Webseite ebenfalls keine Details. Und auch das CERT schreibt ausdrücklich, dass es keine Details hat. Und auf dieser Grundlage schreibst Du hier im Forum, man müsse lediglich den Fernzugriff deaktivieren und ist dann nicht mehr von dem Problem betroffen. Ich halte das nach jetzigem Kenntnisstand für falsch und gefährlich.

---

Was du für falsch und gefährlich hältst, ist deine Sache. Fakt ist, dass die Box nur genau EINE Möglichkeit zum HTTPs-Zugriff auf das Konfig-Interface bietet - und diese wird genau mit diesem einen Menüpunkt aktiviert oder deaktiviert.

Wer den Menüpunkt deaktiviert hat, ist per se weniger angreifbar, als derjenige, der ihn aktiviert hat.

 

Und geh mal davon aus, dass AVM Details erst dann veröffentlichen wird, wenn sie für alle Boxen -auch die älteren Geräte- entsprechende Fixes bereitgestellt haben. Denn wenn sie die Details veröffentlichen würden, ohne entsprechende Fixes bereitgestellt zu haben, wäre dies zivil- und strafrechtlich durchaus relevant.

 

---

@Sherminator  schrieb:

Über die Sinnhaftigkeit dieser Funktion lässt sich trefflich streiten. In der Tat bin ich da Deiner Meinung und empfehle, das nicht ohne Weiteres zu aktivieren.

---

Na immerhin...

 

---

@Sherminator  schrieb:

Aber Fakt ist, dass AVM und Vodafone diese Funktion zur Verfügung stellen und sie aktiv bewirben. Damit sind sie natürlich auch in der Pflicht, Sicherheitslücken an dieser Funktion zeitnah zu beheben.

---

Wo bewirbt Vodafone diese Funktion zur Fernkonfiguration aktiv?

Und wie gesagt - das Update auf die 7.57 befindet sich doch bereits in der Ausrollung - was willst du mehr? Eine schnellere Verteilung ist alleine aufgrund der Serverlast bei AVM nicht möglich.

---

Wo steht man soll es nicht benutzen oder abschalten, wenn es überhaupt das Problem behabt, was ich sehr stark bezweifle.

Wie hat Vodafon dich informiert dass es ausgerollt wird und dass man rebooten soll?

Das Update wird nicht über AVM verteilt, Vodafon lädt das einmal runter und verteilt es dann über seine eigenen Infrastruktur.

reneromann, du nervst hier im Forum einfach in dem Du jeden kritischen Userbeitrag versucht mit den gleichen stupiden und tw. auch falschen Antworten "zu entkräften".

zu Deinem Einwurf:

Da muss ich dich enttäuschen: Das ist NICHT Aufgabe des 1st-Level-Supports. Mal davon abgesehen, dass die CCA nicht für solche "Schulungen" bezahlt werden, sondern dafür, am Telefon zu hängen.

Doch, genau das macht einen guten Support aus, oder wenn man proaktiv seine Kunden per Email, WhatsApp, X informiert.

Aber wie immer hast Du deine eigene Sichtweise und akzeptierst keine anderen Meinungen.

Übrigens: nachdem ich heute morgen (Freitag, 09.09., ca 09 Uhr)  die Fritz!Box nach neuen Updates hab suchen lassen, kam tatsächlich 7.57 unverhofft - insofern nehme ich meine vorher getätigten Bashing-Attacken gegenüber VF wegen der langen Zeit, welche sie benötigen für Roll-out neue Firmware tw. zurück. Meine  Kritik wegen mangelnder Kommunikation seitens Vodafone, egal ob es wie hier wegen der Verfügbarkeit neues OS 7.57 oder auch wie bei Störungen und fehlender Abschluss-Info, dass diese behoben sind, bleibt jedoch bestehen !!