<div dir="ltr">Danke yanosz für die umfangreiche Analyse! <br><br>Die Firmware die unter <a href="http://images.ffkbu.de/">http://images.ffkbu.de/</a> publiziert ist, wird für alle drei KBU Hoods gegen Gluon 2016.2.x neu gebaut, darin wird die Schwachstelle (CVE-2016-10229) geschlossen sein [1]. Die Bonner- und Kölner-Firmware sind schon online, Umgebung folgt in wenigen Stunden.<br>Desweiteren enthält die Firmware auch Vorbereitungen für die Wahl, den Autoupdater[2] einschalten zu können. <br>Details dazu stehen je Hood in der site.conf[3] ab Zeile 150. Es gibt gute Argumente für und wider Autoupdater, die Wahl sollte jeder selbst treffen.<br><br>An dieser Stelle möchte ich nochmal darauf hinweisen, dass man KBU kompatible Firmware auch selber bauen lassen kann, indem man wenige Zeilen in einer Linux bash ausführt[4]. (Das geht sogar nativ unter Windows10 über die Ubuntu Bash die im Creators Update enthalten ist. #shitstormIncomming)<br>Grüße, Simon<br><div><br>[1] Bonn: <a href="https://jenkins.ffkbu.de/job/ffkbu-bonn/23/changes#detail0">https://jenkins.ffkbu.de/job/ffkbu-bonn/23/changes#detail0</a><br> Köln: <a href="https://jenkins.ffkbu.de/job/ffkbu-koeln/18/changes#detail0">https://jenkins.ffkbu.de/job/ffkbu-koeln/18/changes#detail0</a></div><div> Umgebung: <a href="https://jenkins.ffkbu.de/job/ffkbu-umgebung/18/changes#detail0">https://jenkins.ffkbu.de/job/ffkbu-umgebung/18/changes#detail0</a><br><br>[2] <a href="https://kbu.freifunk.net/wiki/index.php?title=Node_konfigurieren#Automatische_Firmware_Updates">https://kbu.freifunk.net/wiki/index.php?title=Node_konfigurieren#Automatische_Firmware_Updates</a><br><br>[3] Bonn: <a href="https://github.com/ff-kbu/site-ffkbu/blob/v2016.2/site.conf">https://github.com/ff-kbu/site-ffkbu/blob/v2016.2/site.conf</a><br> Köln: <a href="https://github.com/ff-kbu/site-ffkbuk/blob/v2016.2/site.conf">https://github.com/ff-kbu/site-ffkbuk/blob/v2016.2/site.conf</a></div><div> Umgebung: <a href="https://github.com/ff-kbu/site-ffkbuu/blob/v2016.2/site.conf">https://github.com/ff-kbu/site-ffkbuu/blob/v2016.2/site.conf</a></div><div><br></div><div>[4] <a href="https://kbu.freifunk.net/wiki/index.php?title=KBU_Gluon_Firmware#Gluon_selber_kompilieren">https://kbu.freifunk.net/wiki/index.php?title=KBU_Gluon_Firmware#Gluon_selber_kompilieren</a></div><div><br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Am 16. April 2017 um 16:37 schrieb yanosz <span dir="ltr"><<a href="mailto:freifunk@yanosz.net" target="_blank">freifunk@yanosz.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hallo folks,<br>
<br>
mit dem Android Bugfix-Release zum April 2017 wurde eine<br>
"Remote-Code-Execution" Schwachstelle (CVE-2016-10229) im Linux-Kernel<br>
geschlossen.<br>
<br>
Damit können Angreifer beliebigen Code auf betroffenen Systemen<br>
ausführen und sie vollständig übernehmen. Hierzu muss ein Angreifer ein<br>
UDP-Paket an einen Service senden, der die C-Flag "MSG_PEEK" verwendet.<br>
<br>
dnsmasq und fastd verwenden MSG_PEEK [1,2], so dass alle<br>
KBU-Freifunk-Firmwares prinzipiell betroffen sind. fastd ist nicht<br>
exploitbar, da der zugh. call nicht auf einem udp-Socket stattfindet.<br>
<br>
Der Bug ist in wohl folgenden Linux-Versionen geschlossen:<br>
v4.5-rc1 197c949e7798fbf28cfadc69d9ca0c<wbr>2abbf93191<br>
v4.4.21 dfe2042d96065f044a794f684e9f79<wbr>76a4ca6e24<br>
v3.18.45 69335972b1c1c9bd7597fc6080b6eb<wbr>1bd3fbf774<br>
v3.10.103 98f57e42cab062608cf3dce2b8eecb<wbr>b2a0780ac4<br>
<br>
Damit:<br>
- *Debian Stable* basierte *Gateways / Supernodes* sind nicht betroffen<br>
[3], sofern sie aktuell sind.<br>
- *Firmware 1.4* verwendet *3.10.49* und ist damit *betroffen*<br>
- Die Files auf <a href="http://images.ffkbu.de" rel="noreferrer" target="_blank">images.ffkbu.de</a> verwenden 3.18.44 und sind damit *betroffen*<br>
- *Lede 17.01* verwendet kernel *4.4.50* ist ist damit nicht betroffen<br>
- *Gluon 2016.2.5* verwendet kernel *3.18.44* und ist damit *betroffen*<br>
- *Gluon 2016.2.x* hat seid 8h einen Patch, der die Lücke schließt. [4]<br>
- *VPN-Offloader / Supernodes / etc.* sind *betroffen* und *mglw.<br>
angreifbar* sofern sie OpenWRT, Gluon oder Lede verwende, IP-Adressen<br>
per DHCP vergeben und dazu dnsmasq benutzen<br>
<br>
Falls ihr UDP-Services wie dnsmasq (DHCP) betreibt wäre meine Empfehlung<br>
dass Ihr Eure Nodes offline nehmt und lede 17.01 oder Gluon 2016.2.x<br>
installiert.<br>
<br>
Gruß, yanosz<br>
<br>
<br>
[1] <a href="https://git.universe-factory.net/fastd/tree/src/async.c#n109" rel="noreferrer" target="_blank">https://git.universe-factory.<wbr>net/fastd/tree/src/async.c#<wbr>n109</a><br>
[2]<br>
<a href="http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=blob;f=contrib/lease-tools/dhcp_release.c;h=201fcd3acf2d03c51d7b01bc77ca91097cc67187;hb=HEAD#l118" rel="noreferrer" target="_blank">http://thekelleys.org.uk/<wbr>gitweb/?p=dnsmasq.git;a=blob;<wbr>f=contrib/lease-tools/dhcp_<wbr>release.c;h=<wbr>201fcd3acf2d03c51d7b01bc77ca91<wbr>097cc67187;hb=HEAD#l118</a><br>
<a href="http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=blob;f=src/dhcp-common.c;h=ecc752b435b740ba3380515fe0ccf2af13575fd8;hb=HEAD#l46" rel="noreferrer" target="_blank">http://thekelleys.org.uk/<wbr>gitweb/?p=dnsmasq.git;a=blob;<wbr>f=src/dhcp-common.c;h=<wbr>ecc752b435b740ba3380515fe0ccf2<wbr>af13575fd8;hb=HEAD#l46</a><br>
<a href="http://thekelleys.org.uk/gitweb/?p=dnsmasq.git;a=blob;f=src/netlink.c;h=be9701c64e004dca93f1e6c922c94443e21e4cb6;hb=HEAD#l102" rel="noreferrer" target="_blank">http://thekelleys.org.uk/<wbr>gitweb/?p=dnsmasq.git;a=blob;<wbr>f=src/netlink.c;h=<wbr>be9701c64e004dca93f1e6c922c944<wbr>43e21e4cb6;hb=HEAD#l102</a><br>
[3] <a href="https://security-tracker.debian.org/tracker/CVE-2016-10229" rel="noreferrer" target="_blank">https://security-tracker.<wbr>debian.org/tracker/CVE-2016-<wbr>10229</a><br>
[4] <a href="https://github.com/freifunk-gluon/gluon/pull/1097" rel="noreferrer" target="_blank">https://github.com/freifunk-<wbr>gluon/gluon/pull/1097</a><br>
<span class="HOEnZb"><font color="#888888">--<br>
For those of you without hope, we have rooms with color TV,<br>
cable and air conditioning<br>
--<br>
______________________________<wbr>_________________<br>
Freifunk-Bonn mailing list<br>
<a href="mailto:Freifunk-Bonn@lists.kbu.freifunk.net">Freifunk-Bonn@lists.kbu.<wbr>freifunk.net</a><br>
<a href="https://lists.kbu.freifunk.net/cgi-bin/mailman/listinfo/freifunk-bonn" rel="noreferrer" target="_blank">https://lists.kbu.freifunk.<wbr>net/cgi-bin/mailman/listinfo/<wbr>freifunk-bonn</a><br>
</font></span></blockquote></div><br></div>