Sicherheitsinfos zu Updates

04.09.2023

Sicherheitsverbesserungen FRITZ!OS 7.57

Beschreibung

• Notwendiges Stabilitäts- und Sicherheitsupdate

Behoben mit

FRITZ!OS 7.57

Hinweis
Das Update ist für sämtliche Modelle verfügbar, für die es erforderlich ist, gegebenenfalls unter einer anderen Versionsnummer.

Lösung

Die Installation erfolgt auf allen Geräten automatisch. Anwender mit geänderten Update-Einstellungen folgen dem Servicelink.

01.12.2022

Sicherheitsverbesserungen FRITZ!OS 7.50

Beschreibung

• Kernel-Hardening-Maßnahmen erweitert.
• Bei TLS-Verbindungen zu FRITZ!Box Server-Diensten wurde die Unterstützung von DHE- und CBC-Cipher-Suiten entfernt.

Behoben mit

FRITZ!OS 7.50

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

28.10.2021

Sicherheitsverbesserungen FRITZ!OS 7.29

Beschreibung

• In bestimmten Betriebsarten den DNS-Dienst nicht starten. Vielen Dank an A. Traud für die Meldung.

Behoben mit

FRITZ!OS 7.29

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

11.05.2021

Sicherheitsverbesserungen FRITZ!OS 7.27

Beschreibung

• Schwachstellen in der Behandlung eingehender fragmentierter Pakete sowie aggregierter MPDUs (A-MPDU) behoben ("Fragattacks").

Behoben mit

FRITZ!OS 7.27

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

25.02.2021

Sicherheitsverbesserungen FRITZ!OS 7.25

Beschreibung

• Bei der Auswertung eines präparierten Bootloader-Parameters wird die Ausführung von Befehlen verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Mediaserver liefert nur noch Mediendateien aus.
• Hardening-Maßnahmen erweitert.
• TR-069 Root Certificate Store aktualisiert.
• Unterstützung von TLS 1.1 an FRITZ!Box Server-Diensten entfernt. Neu unterstützt werden jetzt TLS 1.3 und der ChaCha20-Poly1305 Cipher.

Behoben mit

FRITZ!OS 7.25

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

19.10.2020

Sicherheitsverbesserungen FRITZ!OS 7.21

Beschreibung

• DNS-Rebind-Schutz um spezielle Adressformen erweitert. Vielen Dank an RedTeam Pentesting GmbH für die Meldung.

Behoben mit

FRITZ!OS 7.21

Hinweis
Für die Modelle FRITZ!Box 6490 und FRITZ!Box 6590 ist der Punkt bereits in FRITZ!OS 7.20 gelöst.

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

06.07.2020

Sicherheitsverbesserungen FRITZ!OS 7.20

Beschreibung

• WLAN-Klienten konnten trotz Nutzung von Protected Management Frames (PMF) durch manipulierte WLAN-Pakete abgemeldet werden (CVE-2019-16275).
• Das Challenge-Response-Verfahren zur Anmeldung an der FRITZ!Box-Benutzeroberfläche nutzt jetzt das PBKDF2-Verfahren.
• Unterstützung von TLS 1.0 an FRITZ!Box Server-Diensten entfernt.

Behoben mit

FRITZ!OS 7.20

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

02.03.2020

Sicherheitsverbesserungen FRITZ!OS 7.13

Hinweis
Nur relevant für die Modelle FRITZ!Box 7582 und FRITZ!Box 7581.

Beschreibung

• Nach Trennen einer WLAN-Verbindung werden noch vorhandene Pakete aus dem Sendepuffer nicht mehr mit schwacher Verschlüsselung gesendet (CVE-2019-15126)

Behoben mit

FRITZ!OS 7.13

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

23.07.2019

Sicherheitsverbesserungen FRITZ!OS 7.12

Beschreibung

• Möglicher Neustart (CVE-2019-11477) oder unnötig hoher Verbrauch von System-Ressourcen bei Empfang bestimmter SACK-Nachrichten (CVE-2019-11478 und CVE-2019-11479) verhindert.
• Das E-Mail-Kennwort für den Versand von Push-Service-Mails erscheint nicht mehr in der Prozessliste, wenn die Erstellung von Supportdaten und der Versand einer Push-Mail gleichzeitig erfolgen. Vielen Dank an D. Lücking für die Meldung

Behoben mit

FRITZ!OS 7.12

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

08.04.2019

Sicherheitsverbesserungen FRITZ!OS 7.10

Beschreibung

• Moderne TLS-Verfahren erzwingen, Unterstützung von TLS 1.0 für FRITZ!Box in der Server-Rolle entfernt.
• Beim Diffie-Hellman-Schlüsselaustausch im TLS-Kontext wird jetzt ein 2048 Bit DH-Parameter genutzt.
• Härtung des Systems durch Nutzung von Stack Smashing Protection (SSP), Position-Independent Executable (PIE/ASLR) und RELocation Read-Only (RELRO).

Behoben mit

FRITZ!OS 7.10

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

12.09.2018

Sicherheitsverbesserungen FRITZ!OS 7.01

Beschreibung

• WPAD-Filter hinzugefügt. Dieser Filter sperrt die automatische Proxyerkennung von Microsoft Windows (WPAD, Web Proxy Auto-Discovery).

Behoben mit

FRITZ!OS 7.01

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

24.07.2018

Sicherheitsverbesserungen FRITZ!OS 7.00

Beschreibung

• Weitere sicherheitsrelevante Einstellungen mit zusätzlicher Bestätigung abgesichert.
• Sehr lange Eingabewerte in Kennwortfeldern konnten zum Absturz führen.
• Update der libpng (diverse Korrekturen, u.a. für CVE-2015-8540 und CVE-2016-10087)
• Update der zlib (diverse Korrekturen, u.a. für CVE-2016-9840, CVE-2016-9841, CVE-2016-9842,  CVE-2016-9843)
• Host-Header-Validierung bei HTTP(s) Requests als weiteren DNS-Rebind-Schutz. Vielen Dank an B. Blechschmidt für die Anregung.
• WLAN-Schlüssel werden beim Setzen nicht länger als GET Parameter übertragen. Vielen Dank an Dr. K. Andrä für die Meldung.
• Mögliche RCE in Werkseinstellungszustand über einen präparierten USB-Stick behoben. Vielen Dank an T. Barabosch vom Fraunhofer FKIE.
• Label für Passwortfelder korrekt gesetzt, werden daher nicht länger durch die Autovervollständigung des Browsers vorgeschlagen. Vielen Dank an C. Knupfer für die Meldung.
• Diverse Fixes in Linux-USB-Treibern, u.a. für CVE-2017-17558, CVE-2017-16535, CVE-2017-16525, CVE-2017-16534, CVE-2017-16531. Vielen Dank an das google Syzkaller Team.

Behoben mit

FRITZ!OS 7.00

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

05.09.2017

Sicherheitsverbesserungen FRITZ!OS 6.90

Beschreibung

• Mögliche Information Leakage in PPPoE-Padding-Bytes behoben. Vielen Dank an das CERT-Team der Deutschen Telekom für die Meldung, insbesondere an C. Kagerhuber und F. Krenn (DTC-A-20170323-001).
• Unerwünschtes Verändern der BPJM-Liste via NAS-Zugriff verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Möglichkeit einer Traffic-Amplification im VPN/IKEv1-Dienst verhindert.
• Datei-Umbenennen in FRITZ!NAS ermöglicht die Ausführung von Code im Browser (XSS). Vielen Dank an T. Roth für die Meldung.
• Gültige SID für Web-UI-Zugang wurde unter bestimmten Rahmenbedingungen bei externen Links an den nächsten Server weitergegeben. Vielen Dank an B. Blechschmidt für die Meldung.
• DNS-Rebind-Schutz auch für die globale IPv6-Adresse der FRITZ!Box durchsetzen. Vielen Dank an B. Blechschmidt für die Meldung.
• Die Einrichtung von Portfreigaben über UPnP, PCP und TR-064 ist nur zu dem Heimnetzgerät möglich, welches die Portfreigabe einrichtet.
• Die zusätzliche Bestätigung wurde auf weitere sicherheitsrelevante Einstellungen ausgeweitet:
  • Setzen von Werkseinstellungen
  • Verändern der DNS-Server-Einstellungen
  • Der Download der erweiterten Supportdaten
• VPN-Schwachstelle behoben. Vielen Dank an M. Kraus für die Meldung.

Behoben mit

FRITZ!OS 6.90

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

03.03.2017

Sicherheitsverbesserungen FRITZ!OS 6.83

Beschreibung

• Das Einrichten eines IP-Telefons erfordert eine Mindestlänge von 8 Zeichen bei der Vergabe des Benutzernamens.
• Die Option für IP-Telefone, die Anmeldung aus dem Internet zu erlauben, ist nach dem Update deaktiviert. Wir empfehlen IP-Telefone von anderen Standorten verschlüsselt mit Hilfe von VPN anzubinden.
• In FRITZ!OS 6.80/81 war es mit einem speziell präparierten Datenpaket und dem Zusammentreffen mehrerer Bedingungen möglich, einen Speicherüberlauf zu erzeugen. Dies wurde mit FRITZ!OS 6.83 behoben [1].
• Die Ausführung von Befehlen durch speziell präparierte Parameter im TR-064 Kontext wird nun verhindert. Das Ausführen von TR-064 Kommandos erforderte die Kenntnis des Gerätekennworts. Vielen Dank an P. Hämmerlein für die Meldung.

Behoben mit

FRITZ!OS 6.83

Hinweis

[1] Betroffen waren nur Modelle mit FRITZ!OS 6.80 und 6.81

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

15.12.2016

Sicherheitsverbesserungen FRITZ!OS 6.80

Beschreibung

• Fehlgeschlagene Anmeldeversuche für FTP, SMB und SIP-Nebenstellen werden im Ereignisprotokoll angezeigt.
• Das Kennwort für die Anmeldung eines IP-Telefons an der FRITZ!Box muss mindestens achtstellig sein. IP-Telefone mit kürzerem Kennwort werden beim Update deaktiviert.
• Der FTPS-Port wird zufällig gewählt, um die Sicherheit zu erhöhen.
• Zugriff über FTPS unterstützt zusätzlich ECDHE-Chiffren.
• Der Zeitpunkt der letzten Aktualisierung des FRITZ!OS wird auf der Benutzeroberfläche angezeigt.
• Die Anmeldung an der FRITZ!Box-Oberfläche ist 20 min gültig.
• Erhöhen der Sicherheit des FRITZ!Box-eigenen Zertifikats durch Signatur mit SHA-256.
• Neustart der FRITZ!Box durch speziell präparierte Datenpakete verhindert. Vielen Dank an S. Deseke für die Meldung.
• Temporäre Beeinträchtigung der Erreichbarkeit der Benutzeroberfläche über bestimmte Zugriffswege durch präparierte Anfragen verhindert. Vielen Dank an P. Hämmerlein für die Meldung.
• Bei manuellem Laden einer präparierten tar-Datei wird die Ausführung von Befehlen verhindert. Das Einspielen einer tar-Datei erfordert sowohl den lokalen als auch physischen Zugriff auf die FRITZ!Box. Vielen Dank an P. Hämmerlein für die Meldung.
• Sicherheitsverbesserungen bei der Anmeldung am FTP-Server verhindern das Durchprobieren von Passwörtern mit Hilfe der Session-ID. Vielen Dank an P. Hämmerlein für die Meldung.
• Die Überprüfung eines Headers wurde beim Einspielen von Firmware Updates verbessert. Vielen Dank an P. Hämmerlein für die Meldung.
• Bei Nutzung eines präparierten Parameters im Pushmail Kontext wird die Ausführung von Befehlen verhindert. Änderungen an den Pushmail-Einstellungen erfordern die Kenntnis des FRITZ!Box-Kennworts. Vielen Dank an P. Hämmerlein für die Meldung.

Behoben mit

FRITZ!OS 6.80

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

10.12.2015

Sicherheitsverbesserungen FRITZ!OS 6.50

Beschreibung

• Bei der MyFRITZ!-Einrichtung müssen für den myfritz.net-Dienst und den Zugang zur FRITZ!Box unterschiedliche Kennwörter vergeben werden
• Sichere TLS-Verfahren erzwingen, Unterstützung von SSLv3 auch für alle Client-Rollen der FRITZ!Box (z.B. im Rahmen von TR-069, Webdav-Onlinespeicher) entfernt
• DNS-Poisoning-Möglichkeit über DHCP-Hostnamen unterbunden. Vielen Dank an A. Vogt für die Meldung.

Behoben mit

FRITZ!OS 6.50

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

13.07.2015

Sicherheitsverbesserungen FRITZ!OS 6.30

Beschreibung

• Veraltetes RC4-Verschlüsselungsverfahren wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
• Veraltetes SSLv3-Protokoll wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
• Bei dem Versuch, eine präparierte Firmware-Datei manuell einzuspielen, wird die Ausführung von Befehlen verhindert. Das Einspielen einer Firmware-Datei erfordert eine vorherige Anmeldung auf der FRITZ!Box-Oberfläche. Vielen Dank an RedTeam GmbH für die Meldung.
• Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
• HTML-Injection-Möglichkeit bei der Verwendung der Funktion "Push Mail" behoben. Vielen Dank an D. Schliebner für die Meldung.

[1] FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490

Behoben mit

FRITZ!OS 6.30

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

31.01.2015

Sicherheitsverbesserungen FRITZ!OS 6.23

Beschreibung

Bei manuellem Laden einer präparierten Einstellungssicherungsdatei wird die Ausführung von Befehlen verhindert. Das Einspielen einer Einstellungssicherungsdatei erfordert die Kenntnis des Gerätekennworts.

Behoben mit

FRITZ!OS 6.23 (FRITZ!Box 7490, FRITZ!Box 7390), FRITZ!OS 6.20 (weitere Modelle)

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

15.12.2014

Sicherheitsverbesserungen FRITZ!OS 6.20

Beschreibung

Bei manuellem Einspielen einer präparierten Firmware-Datei kann die Signaturprüfung nicht mehr umgangen werden. Das Einspielen einer Firmware-Datei erfordert die Kenntnis des Gerätekennworts .

Behoben mit

FRITZ!OS 6.05 (FRITZ!Box 7270, FRITZ!Box 7270 V3, FRITZ!Box 7240), FRITZ!OS 6.20 (weitere Modelle)

Hinweis

Betroffen sind FRITZ!Box 6810 LTE ab FRITZ!OS 5.22, FRITZ!Box 6840 LTE ab FRITZ!OS 5.23 und andere Modelle ab FRITZ!OS 5.50

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.