Sicherheitsinfos zu Updates

Sicherheit im Internet und bei Geräten, die mit dem Internet in Verbindung stehen, ist eine kontinuierliche Aufgabe. Wir entwickeln unsere Produkte nach dem aktuellem Stand der Sicherheit und arbeiten laufend an weiteren Verbesserungen entsprechend aktueller Anforderungen. Beachten Sie bitte auch unsere aktuellen Sicherheitshinweise

Melden von Sicherheitsthemen

Haben Sie Anregungen, wie wir die Sicherheit unserer Produkte noch verbessern können? Dann schreiben Sie uns bitte an security@avm.de. Sollten Nachfragen entstehen, melden wir uns bei Ihnen unter der von Ihnen verwendeten E-Mail-Adresse, andernfalls bitten wir um Verständnis, dass keine individuelle Antwort erfolgt. Für eine sichere Kommunikation von sensiblen Informationen empfiehlt AVM, dass Sie Ihre E-Mail an security@avm.de mit dem PGP-Schlüssel von AVM verschlüsseln.

Falls Sie Unterstützung bei technischen Fragen zu Ihrem FRITZ!-Produkt benötigen, steht Ihnen unser Support zur Verfügung.

Hinweis: Der Schutz der Nutzer unserer Produkte hat oberste Priorität. Daher veröffentlicht AVM Informationen zur Behebung von Schwachstellen zu einem geeigneten Zeitpunkt, beispielsweise wenn Lösungen oder Updates zugänglich sind oder hinreichend verbreitet sind.

Sicherheitshinweise zu Updates

Veröffentlichungsdatum Update und Sicherheitsthema

10.12.2015

Sicherheitsverbesserungen FRITZ!OS 6.50

Die in FRITZ!OS 6.50 enthaltenen Verbesserungen zur Sicherheit werden zu einem späteren Zeitpunkt an dieser Stelle veröffentlicht.

13.07.2015

Sicherheitsverbesserungen FRITZ!OS 6.30

Beschreibung

  • Veraltetes RC4-Verschlüsselungsverfahren wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
  • Veraltetes SSLv3-Protokoll wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
  • Bei dem Versuch, eine präparierte Firmware-Datei manuell einzuspielen, wird die Ausführung von Befehlen verhindert. Das Einspielen einer Firmware-Datei erfordert eine vorherige Anmeldung auf der FRITZ!Box-Oberfläche. Vielen Dank an RedTeam GmbH für die Meldung.
  • Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
  • HTML-Injection-Möglichkeit bei der Verwendung der Funktion "Push Mail" behoben. Vielen Dank an D. Schliebner für die Meldung.

[1] FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490

Behoben mit

FRITZ!OS 6.30

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

31.01.2015

Sicherheitsverbesserungen FRITZ!OS 6.23

Beschreibung

Bei manuellem Laden einer präparierten Einstellungssicherungsdatei wird die Ausführung von Befehlen verhindert. Das Einspielen einer Einstellungssicherungsdatei erfordert die Kenntnis des Gerätekennworts.

Behoben mit

FRITZ!OS 6.23 (FRITZ!Box 7490, FRITZ!Box 7390), FRITZ!OS 6.20 (weitere Modelle)

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

15.12.2014

Sicherheitsverbesserungen FRITZ!OS 6.20

Beschreibung

Bei manuellem Einspielen einer präparierten Firmware-Datei kann die Signaturprüfung nicht mehr umgangen werden. Das Einspielen einer Firmware-Datei erfordert die Kenntnis des Gerätekennworts .

Behoben mit

FRITZ!OS 6.05 (FRITZ!Box 7270, FRITZ!Box 7270 V3, FRITZ!Box 7240), FRITZ!OS 6.20 (weitere Modelle)

Hinweis

Betroffen sind FRITZ!Box 6810 LTE ab FRITZ!OS 5.22, FRITZ!Box 6840 LTE ab FRITZ!OS 5.23 und andere Modelle ab FRITZ!OS 5.50

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.