Gravierende Sicherheitslücke, neue Firmware

Axel Beckert abe at deuxchevaux.org
Sa Okt 7 15:48:54 CEST 2017 

Hi David,

On Sat, Oct 07, 2017 at 03:07:10PM +0200, David Lutz via ff3l wrote:
> Also, die Firmware ist fertig und liegt auf dem Server bereit.

Merci. Indeed, der autoupdater findet was.

> Nach einem ersten Test bei mir zu Hause habe ich die Firmware
> signiert, somit sollten sich die Knoten auf dem
> Experimental-Updatezweig automatisch aktualisieren.

Bei mir auf freifunk-zh-kub-am-broetli (diaspora) leider nicht:

root at freifunk-zh-kub-am-broetli:~# /usr/sbin/autoupdater
Downloading 'http://upd.ff3l.net/stable/sysupgrade/stable.manifest'
Connecting to 5.9.143.55:80
Writing to stdout
-                    100% |*******************************| 66786   0:00:00 ETA
Download completed (66786 bytes)
Not enough valid signatures!
Downloading 'http://upd2.ff3l/stable/sysupgrade/stable.manifest'
[...]
Download completed (66786 bytes)
Not enough valid signatures!
No usable mirror found.
root at freifunk-zh-kub-am-broetli:~# /usr/sbin/autoupdater --fallback
Downloading 'http://upd3.ff3l/stable/sysupgrade/stable.manifest'
Connecting to fdc7:3c9d:b889:a272::8:80
Writing to stdout
-                    100% |*******************************| 66786   0:00:00 ETA
Download completed (66786 bytes)
Not enough valid signatures!
Downloading 'http://upd2.ff3l/stable/sysupgrade/stable.manifest'
[...]
Download completed (66786 bytes)
Not enough valid signatures!
No usable mirror found.

Auf meinem anderen Router (freifunk-lauchi-koe1, wtk + ipv6) tat's
dagegen (ca. 10 Minuten später) problemlos.

> Ich persönlich würde die Firmware gleich nachdem sich alle
> experimental-Knoten aktualisiert haben als stable signieren, da dann
> eigentlich keine Überraschungen mehr zu erwarten sind.

Oder liegt das daran?

> Wer seinen Knoten gleich aktualisieren möchte um die
> Sicherheitslücke zu beheben, kann dies also entweder manuell im
> Konfigurationsmodus oder per SSH tun, oder seinen Knoten auf den
> experimental-Updatezweig setzen.

Laut https://wiki.freifunk-3laendereck.net/Freifunk-Router:Firmware
gibt's noch "beta". Wäre das nicht passender hier?

> Ich möchte bei dieser Gelegenheit eh darum bitten, dass jeder, der
> einen Knoten in greifbarer Nähe hat, an den er jederzeit und
> problemlos herankommt, und bei dem es nicht überlebensnotwendig ist
> wenn eventuell mal Probleme auftreten, diesen auf den
> experimental-Zweig umstellt.

Auf freifunk-zh-kub-am-broetli gemacht. Tut!

Und nun tut auch das VPN meines Knotes in Zürich wieder sauber, yay!

Das hatte die letzten Wochen bei mir nicht mehr richtig getan, auch
nach Reboots nicht. (Hatte aber bisher nicht die Muße, das weiter zu
debuggen.)

Wobei mir auch für diesen Zweck "beta" sinnvoller scheint.

Andererseits finde ich auf dem FTP-Server nirgends ein "beta". Gibt's
das gar nimmer? Dann sollte man's evtl. aus dem Wiki rausstreichen.

Gibt's eigentlich auch eine Kombination aus ipv6 und experimental?
Oder ist ipv6 per se experimental?

> Uns wird immer vorgeworfen, wir würden die Firmware immer viel zu früh freigeben und zu wenig testen.

Ich würde jetzt eher den gegenteiligen Vorwurf machen. ;-)

Nee, im Ernst: Vielen Dank für Deine Arbeit gestern und (anscheined)
heute nacht! Ich weiss, wieviel Arbeit sowas sein kann.

		Gruss, Axel
-- 
/~\  Plain Text Ribbon Campaign                   | Axel Beckert
\ /  Say No to HTML in E-Mail and News            | abe at deuxchevaux.org  (Mail)
 X   See http://www.nonhtmlmail.org/campaign.html | abe at noone.org (Mail+Jabber)
/ \  I love long mails: http://email.is-not-s.ms/ | http://abe.noone.org/ (Web)

Mehr Informationen über die Mailingliste ff3l