Re: Gravierende Sicherheitslücke, neue Firmware

[David Lutz]

Hallo zusammen!

Also, die Firmware ist fertig und liegt auf dem Server bereit.
Falls auf der Firmwaredownload-Seite noch die 2017.1.2 angezeigt werden sollte, möchte ich euch bitten, die Seite mit Strg+Shift+R neu zu laden, damit nicht die alte aus dem Browsercache angezeigt wird.
Nach einem ersten Test bei mir zu Hause habe ich die Firmware signiert, somit sollten sich die Knoten auf dem Experimental-Updatezweig automatisch aktualisieren.
Wie bereits geschrieben handelt es sich bei dieser Firmware um eine gebugfixte Version 2017.1.

Für alle, die mit dem Versionsschema von Gluon nicht vertraut sind, hier eine kurze Erklärung zum Verständnis:
Es gibt den Master-Entwicklungsstand. Bei einem neuen Hauptrelease wird dieser übernommen und dann im laufenden Jahr durchnumeriert, wir sind bei 2017.1
Es gibt nun also einen Hauptrelease-Stand namens 2017.1.x
Die schlussendlichen Releases werden dann basierend auf dem Hauptrelease weiternumeriert, also 2017.1.1, 2017.1.2, 2017.1.3 usw
Die neue Firmware basiert auf dem 2017.1.x-Stand. Das bedeutet, es ist lediglich ein Service-Release ohne Änderungen am Grundsystem.
Man kann sich das also vorstellen wie z.B. bei Debian Linux, wo nach dem Release von Debian 8.0 „Jessie“ dann gefixte Releases kommen, so dass wir mittlerweile bei 8.9 sind, ohne dass sich viel am grundlegenden System geändert hat.
Windows-User: Stellt es euch z.B. wie bei Windows vor, mit Updates und Servicepacks.

Der Gluon 2016.2.x-Zweig ist nach einem letzten Release 2016.2.7 am 14.08. übrigens endgültig beerdigt worden und wird nicht mehr weiterentwickelt.

Ich persönlich würde die Firmware gleich nachdem sich alle experimental-Knoten aktualisiert haben als stable signieren, da dann eigentlich keine Überraschungen mehr zu erwarten sind.
Da aber Einwände kamen, respektiere ich diese natürlich und werde die neue Firmware noch etwas liegen lassen.

Wer seinen Knoten gleich aktualisieren möchte um die Sicherheitslücke zu beheben, kann dies also entweder manuell im Konfigurationsmodus oder per SSH tun, oder seinen Knoten auf den experimental-Updatezweig setzen.

Ich möchte bei dieser Gelegenheit eh darum bitten, dass jeder, der einen Knoten in greifbarer Nähe hat, an den er jederzeit und problemlos herankommt, und bei dem es nicht überlebensnotwendig ist wenn eventuell mal Probleme auftreten, diesen auf den experimental-Zweig umstellt.
Uns wird immer vorgeworfen, wir würden die Firmware immer viel zu früh freigeben und zu wenig testen. Fakt ist: Ich teste überall wo es möglich ist. Und wenn bei den Testknoten keine Probleme auftreten, ist sie OK und kann freigegeben werden.
Dieses Jahr hatten wir mehrmals Probleme mit Firmware, bei der der Autoupdater buggy war. Zuerst hing der Autoupdater, so dass sich der Knoten gar nicht mehr aktualisiert hat wenn er eine gewisse Weile in Betrieb war. Das war mit Firmwareversion 2016.2.1-4 und wurde mit .5 behoben. Dann hatten wir mit der Umstellung auf LEDE das Problem mit x86-Hardware und der Partitionsgröße. Dies wurde in 2016.2.6 behoben, die ich vor dem Update auf 2017.1 für alle x86-Geräte dazwischengeschoben habe. Dann war das Problem in 2017.1.0 und 2017.1.1, dass beim Update als erstes alle Dienste gestoppt werden und das Mesh-Netz deaktiviert wird. Nun kam es vor, dass das sysupgrade fehlschlägt und abstürzt, dadurch aber die Dienste und die Verbindungen nicht wieder gestartet werden. Dadurch ist dann gut ein Drittel der Knoten beim Update gehangen, was sich aber durch einen einfachen Neustart beheben ließ. In unserer aktuellen stable 2017.1.2 ist dieses Problem bereits gepatcht, so dass es eigentlich zu keinen größeren Ausfällen kommen kann. In der ersten 2017.1 gab es einen Bug mit den Ubiquiti Picostations, der schnell mit 2017.1.1 behoben wurde. Da ich keine Picostation besitze, und auch niemand anderes eine Picostation auf experimental hatte, ist dieser Fehler trotz Abwartens niemand aufgefallen. Ein ähnliches Problem hatten wir mit dem Allnet ALL0315N in Säckingen auf dem Münsterplatz, der jedes mal beim Updateversuch abgeschmiert ist.  Konnte niemand testen, weil niemand anderes dieses sündhaft teure Gerät besitzt. Nicht mal die Gluon-Entwickler. Wurde mit 2017.1.2 behoben, seitdem hat dieser Knoten auch wieder die aktuelle Firmware drauf. Mit den ersten 2017.1-Releases kam ein Bug zum Vorschein, der ein Multicast-DDOS im Mesh ausgelöst hat. Ließ sich durch unsere Tests nicht herausfinden, weil das Problem erst ab einer gewissen Zahl Knoten im Mesh auftritt.
Man sieht also: Durch reines Abwarten ist nichts gewonnen. Firmware reift nicht wie alter Käse nur durch liegen lassen.
Bitte benutzt, wenn es euch möglich ist, den Experimentalzweig, gebt Feedback und helft mit den Software-Stand unseres Meshes aktuell zu halten. Freifunk lebt vom Engagement vieler, nicht nur einzelner.

Vielen Dank
David


> Am 06.10.2017 um 13:10 schrieb David Lutz via ff3l <ff3l at ff3l.net>:
> 
> Hallo liebe Mitfunkende!
> 
> Vor ein paar Tagen wurde eine gravierende Sicherheitslücke in dnsmasq
> gefunden, die es einem potentiellen Angreifer ermöglicht aus der Ferne
> Code auf den betroffenen Geräten auszuführen.
> 
> Leider sind auch alle unsere Firmwares bis einschließlich 2017.1.2
> betroffen.
> 
> Gestern wurde deswegen eine neue Version von Gluon veröffentlicht, die
> diese Sicherheitslücke stopft.
> 
> Die Release Notes findet ihr unter
> https://gluon.readthedocs.io/en/v2017.1.x/releases/v2017.1.3.html
> 
> Ich bin im Moment gerade dabei, neue Images zu bauen und werde diese so
> schnell wie möglich auf den Updateserver legen und auch sofort freigeben.
> 
> Desweiteren möchte ich jeden bitten, der an seinem Knoten die
> automatischen Updates deaktiviert hat, die Firmware von Hand auf die
> 2017.1.3 zu aktualisieren sobald sie fertig ist. Ich werde, wenn es so
> weit ist, noch einmal eine Mail an die Liste schreiben.
> 
> Nach einer (sehr) kurzen Übergangsphase werde ich dann auch das letzte
> Gateway mit der alten MTU abschalten, daher wird jegliche Firmware vor
> 2017.1.2 dann keine Verbindung mehr mit dem Netz erhalten.
> 
> Bitte aktualisiert eure Firmware, es ist in eurem eigenen Interesse.
> 
> Solltet ihr Hilfe benötigen oder Fragen haben, schreibt an die
> Mailingliste (ff3l at ff3l.net)
> 
> Liebe Grüße
> 
> David
> 
> 
>