Sicherheitsinformationen zu Updates

Behoben:

• XSS-Möglichkeit über manipulierte Gerätenamen in der Mesh-Ansicht behoben.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Eine Open-Redirect-Möglichkeit, die eine gültige Anmeldung voraussetzte, wurde behoben.
• Neustart der FRITZ!Box 6690 Cable bei Nutzung der Netzwerkmessfunktion (iperf) und hoher Auslastung in bestimmten Konfigurationen behoben. Vielen Dank an C. Kohlschütter für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• DoS-Möglichkeit über den FTP-Dienst bei mehrfachen TLS-Aushandlungen behoben.
• TLS-Implementierung auf OpenSSL 3.0 migriert.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Notwendiges Stabilitäts- und Sicherheitsupdate.

  Hinweis:Das Update ist für sämtliche FRITZ!Box-Modelle verfügbar, für die es erforderlich ist, gegebenenfalls unter einer anderen Versionsnummer. Die Installation erfolgt automatisch. Anwender mit geänderten Update-Einstellungen folgen der Anleitung FRITZ!OS per Online-Update aktualisieren.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Kernel-Hardening-Maßnahmen erweitert.
• Bei TLS-Verbindungen zu FRITZ!Box Server-Diensten wurde die Unterstützung von DHE- und CBC-Cipher-Suiten entfernt.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• In bestimmten Betriebsarten den DNS-Dienst nicht starten. Vielen Dank an A. Traud für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Schwachstellen in der Behandlung eingehender fragmentierter Pakete sowie aggregierter MPDUs (A-MPDU) behoben ("Fragattacks").

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Bei der Auswertung eines präparierten Bootloader-Parameters wird die Ausführung von Befehlen verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Mediaserver liefert nur noch Mediendateien aus.
• Hardening-Maßnahmen erweitert.
• TR-069 Root Certificate Store aktualisiert.
• Unterstützung von TLS 1.1 an FRITZ!Box Server-Diensten entfernt. Neu unterstützt werden jetzt TLS 1.3 und der ChaCha20-Poly1305 Cipher.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• DNS-Rebind-Schutz um spezielle Adressformen erweitert. Vielen Dank an RedTeam Pentesting GmbH für die Meldung.

  Hinweis:Für die Modelle FRITZ!Box 6590 Cable und FRITZ!Box 6490 Cable ist der Punkt bereits in FRITZ!OS 7.20 gelöst.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• WLAN-Klienten konnten trotz Nutzung von Protected Management Frames (PMF) durch manipulierte WLAN-Pakete abgemeldet werden (CVE-2019-16275).
• Das Challenge-Response-Verfahren zur Anmeldung an der FRITZ!Box-Benutzeroberfläche nutzt jetzt das PBKDF2-Verfahren.
• Unterstützung von TLS 1.0 an FRITZ!Box Server-Diensten entfernt.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Nach Trennen einer WLAN-Verbindung werden noch vorhandene Pakete aus dem Sendepuffer nicht mehr mit schwacher Verschlüsselung gesendet (CVE-2019-15126)

  Hinweis:Nur relevant für die Modelle FRITZ!Box 7582 und FRITZ!Box 7581.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Möglicher Neustart (CVE-2019-11477) oder unnötig hoher Verbrauch von System-Ressourcen bei Empfang bestimmter SACK-Nachrichten (CVE-2019-11478 und CVE-2019-11479) verhindert.
• Das E-Mail-Kennwort für den Versand von Push-Service-Mails erscheint nicht mehr in der Prozessliste, wenn die Erstellung von Supportdaten und der Versand einer Push-Mail gleichzeitig erfolgen. Vielen Dank an D. Lücking für die Meldung

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Moderne TLS-Verfahren erzwingen, Unterstützung von TLS 1.0 für FRITZ!Box in der Server-Rolle entfernt.
• Beim Diffie-Hellman-Schlüsselaustausch im TLS-Kontext wird jetzt ein 2048 Bit DH-Parameter genutzt.
• Härtung des Systems durch Nutzung von Stack Smashing Protection (SSP), Position-Independent Executable (PIE/ASLR) und RELocation Read-Only (RELRO).

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• WPAD-Filter hinzugefügt. Dieser Filter sperrt die automatische Proxyerkennung von Microsoft Windows (WPAD, Web Proxy Auto-Discovery).

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Weitere sicherheitsrelevante Einstellungen mit zusätzlicher Bestätigung abgesichert.
• Sehr lange Eingabewerte in Kennwortfeldern konnten zum Absturz führen.
• Update der libpng (diverse Korrekturen, u.a. für CVE-2015-8540 und CVE-2016-10087)
• Update der zlib (diverse Korrekturen, u.a. für CVE-2016-9840, CVE-2016-9841, CVE-2016-9842, CVE-2016-9843)
• Host-Header-Validierung bei HTTP(s) Requests als weiteren DNS-Rebind-Schutz. Vielen Dank an B. Blechschmidt für die Anregung.
• WLAN-Schlüssel werden beim Setzen nicht länger als GET Parameter übertragen. Vielen Dank an Dr. K. Andrä für die Meldung.
• Mögliche RCE in Werkseinstellungszustand über einen präparierten USB-Stick behoben. Vielen Dank an T. Barabosch vom Fraunhofer FKIE.
• Label für Passwortfelder korrekt gesetzt, werden daher nicht länger durch die Autovervollständigung des Browsers vorgeschlagen. Vielen Dank an C. Knupfer für die Meldung.
• Diverse Fixes in Linux-USB-Treibern, u.a. für CVE-2017-17558, CVE-2017-16535, CVE-2017-16525, CVE-2017-16534, CVE-2017-16531. Vielen Dank an das google Syzkaller Team.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Mögliche Information Leakage in PPPoE-Padding-Bytes behoben. Vielen Dank an das CERT-Team der Deutschen Telekom für die Meldung, insbesondere an C. Kagerhuber und F. Krenn (DTC-A-20170323-001).
• Unerwünschtes Verändern der BPJM-Liste via NAS-Zugriff verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Möglichkeit einer Traffic-Amplification im VPN/IKEv1-Dienst verhindert.
• Datei-Umbenennen in FRITZ!NAS ermöglicht die Ausführung von Code im Browser (XSS). Vielen Dank an T. Roth für die Meldung.
• Gültige SID für Web-UI-Zugang wurde unter bestimmten Rahmenbedingungen bei externen Links an den nächsten Server weitergegeben. Vielen Dank an B. Blechschmidt für die Meldung.
• DNS-Rebind-Schutz auch für die globale IPv6-Adresse der FRITZ!Box durchsetzen. Vielen Dank an B. Blechschmidt für die Meldung.
• Die Einrichtung von Portfreigaben über UPnP, PCP und TR-064 ist nur zu dem Heimnetzgerät möglich, welches die Portfreigabe einrichtet.
• Die zusätzliche Bestätigung wurde auf weitere sicherheitsrelevante Einstellungen ausgeweitet (Laden der Werkseinstellungen, Verändern der DNS-Server-Einstellungen, Download der erweiterten Supportdaten).
• VPN-Schwachstelle behoben. Vielen Dank an M. Kraus für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Das Einrichten eines IP-Telefons erfordert eine Mindestlänge von 8 Zeichen bei der Vergabe des Benutzernamens.
• Die Option für IP-Telefone, die Anmeldung aus dem Internet zu erlauben, ist nach dem Update deaktiviert. Wir empfehlen IP-Telefone von anderen Standorten verschlüsselt mit Hilfe von VPN anzubinden.
• Nur relevant für FRITZ!Box-Modelle mit FRITZ!OS 6.80 und 6.81: In FRITZ!OS 6.80/81 war es mit einem speziell präparierten Datenpaket und dem Zusammentreffen mehrerer Bedingungen möglich, einen Speicherüberlauf zu erzeugen. Dies wurde mit FRITZ!OS 6.83 behoben.
• Die Ausführung von Befehlen durch speziell präparierte Parameter im TR-064 Kontext wird nun verhindert. Das Ausführen von TR-064 Kommandos erforderte die Kenntnis des Gerätekennworts. Vielen Dank an P. Hämmerlein für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Fehlgeschlagene Anmeldeversuche für FTP, SMB und SIP-Nebenstellen werden im Ereignisprotokoll angezeigt.
• Das Kennwort für die Anmeldung eines IP-Telefons an der FRITZ!Box muss mindestens achtstellig sein. IP-Telefone mit kürzerem Kennwort werden beim Update deaktiviert.
• Der FTPS-Port wird zufällig gewählt, um die Sicherheit zu erhöhen.
• Zugriff über FTPS unterstützt zusätzlich ECDHE-Chiffren.
• Der Zeitpunkt der letzten Aktualisierung des FRITZ!OS wird auf der Benutzeroberfläche angezeigt.
• Die Anmeldung an der FRITZ!Box-Oberfläche ist 20 min gültig.
Erhöhen der Sicherheit des FRITZ!Box-eigenen Zertifikats durch Signatur mit SHA-256.
• Neustart der FRITZ!Box durch speziell präparierte Datenpakete verhindert. Vielen Dank an S. Deseke für die Meldung.
• Temporäre Beeinträchtigung der Erreichbarkeit der Benutzeroberfläche über bestimmte Zugriffswege durch präparierte Anfragen verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Bei manuellem Laden einer präparierten tar-Datei wird die Ausführung von Befehlen verhindert. Das Einspielen einer tar-Datei erfordert sowohl den lokalen als auch physischen Zugriff auf die FRITZ!Box. Vielen Dank an P. Hämmerlein für die Meldung.
• Sicherheitsverbesserungen bei der Anmeldung am FTP-Server verhindern das Durchprobieren von Passwörtern mit Hilfe der Session-ID. Vielen Dank an P. Hämmerlein für die Meldung.
• Die Überprüfung eines Headers wurde beim Einspielen von Firmware-Updates verbessert. Vielen Dank an P. Hämmerlein für die Meldung.
• Bei Nutzung eines präparierten Parameters im Pushmail Kontext wird die Ausführung von Befehlen verhindert. Änderungen an den Pushmail-Einstellungen erfordern die Kenntnis des FRITZ!Box-Kennworts. Vielen Dank an P. Hämmerlein für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Bei der MyFRITZ!-Einrichtung müssen für den MyFRITZ!Net-Dienst und den Zugang zur FRITZ!Box unterschiedliche Kennwörter vergeben werden
• Sichere TLS-Verfahren erzwingen, Unterstützung von SSLv3 auch für alle Client-Rollen der FRITZ!Box (z.B. im Rahmen von TR-069, WebDAV-Onlinespeicher) entfernt
• DNS-Poisoning-Möglichkeit über DHCP-Hostnamen unterbunden. Vielen Dank an A. Vogt für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Veraltetes RC4-Verschlüsselungsverfahren wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
• Veraltetes SSLv3-Protokoll wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
• Bei dem Versuch, eine präparierte Firmware-Datei manuell einzuspielen, wird die Ausführung von Befehlen verhindert. Das Einspielen einer Firmware-Datei erfordert eine vorherige Anmeldung auf der FRITZ!Box-Oberfläche. Vielen Dank an RedTeam GmbH für die Meldung.
• Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Nur relevant für die Modelle FRITZ!Box 7490, 7412, 736x (SL), 7330 (SL), 7320, 7312, 7272, 3490, 3390, 3370 und 3272. Vielen Dank an RedTeam GmbH für die Meldung.
• HTML-Injection-Möglichkeit bei der Verwendung der Funktion "Push Mail" behoben. Vielen Dank an D. Schliebner für die Meldung.

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Bei manuellem Laden einer präparierten Einstellungssicherungsdatei wird die Ausführung von Befehlen verhindert. Das Einspielen einer Einstellungssicherungsdatei erfordert die Kenntnis des Gerätekennworts.

  Hinweis:Behoben mit FRITZ!OS 6.23 (FRITZ!Box 7490, FRITZ!Box 7390), FRITZ!OS 6.20 (weitere Modelle).

Anleitung: FRITZ!OS per Online-Update aktualisieren.

Behoben:

• Bei manuellem Einspielen einer präparierten Firmware-Datei kann die Signaturprüfung nicht mehr umgangen werden. Das Einspielen einer Firmware-Datei erfordert die Kenntnis des Gerätekennworts. Nur relevant für FRITZ!Box 6810 LTE ab FRITZ!OS 5.22, FRITZ!Box 6840 LTE ab FRITZ!OS 5.23 und andere Modelle ab FRITZ!OS 5.50.

  Hinweis:Behoben mit FRITZ!OS 6.05 (FRITZ!Box 7270, FRITZ!Box 7270 V3, FRITZ!Box 7240), FRITZ!OS 6.20 (weitere Modelle).

Anleitung: FRITZ!OS per Online-Update aktualisieren.