[Freifunk-Bonn] Sicherheits-Update: Freifunk-Firmware v0.8 online
Jan Lühr
ff at stephan.homeunix.net
Mo Mai 21 23:41:11 CEST 2012
Hallo folks,
leider haben wir aktuell ein Problem mit Versionen < 0.8 der Firmware: Unter bestimmten Umständen können Nodes ohne Kennwort aus dem Internet heraus per shell (telnet) zugänglich sein.
Dieses Problem tritt immer dann auf, wenn ein Node
-> Direkt mit dem Internet verbunden ist (NICHT über ein privates LAN)
-> Kein eigenes Kennwort gesetzt wurde.
Ursache ist ein Tippfehler in der Firewall-Konfiguration, durch den diese Pakete nicht abgewiesen werden [1]. Ab Firmware-Version 0.8 [2] tritt das Problem nicht weiter auf.
Wir gehen nicht wirklich davon aus, dass jemand zur Zeit davon betroffen ist (die meisten von Euch verwenden sowieso ein privates Netz um den Freifunk-Router mit dem Internet zu verbinden), dennoch hat Daniel heute einen Router beobachtet bei dem genau dieses Problem auftrat.
Als Reaktion darauf werden wir das Freifunk-Netz in Intervallen von 5 Minuten auf betroffen Router scannen und dort ein zufälliges Kennwort setzen. Dieses Problem ist bereits in der Lübecker Firmware vorhanden (die wir als Basis verwenden) und wir haben die Freifunker dort bereits über das Problem informiert.
Unabhängig davon empfehlen wir Euch auf jeden Fall ein eigenes Kennwort für die Router zu setzen - dies ist mit Sicherheit der beste Weg.
Ich werde die alten releases in den nächsten Tagen aus dem files-Ordner löschen, damit sie nicht weiter verwendet werden. Im Problemfall sind sie jedoch nach wie vor via jenkins verfügbar.
Sorry für den Aufwand,
Alles Gute
Jan
[1] https://github.com/ff-kbu/lffenv/commit/8019a5497e3856ac437aeca1c1ecd1c1d5e484d3
[2] http://jenkins.kbu.freifunk.net/files/release/0.8/
Mehr Informationen über die Mailingliste Freifunk-Bonn