Gravierende Sicherheitslücke, neue Firmware

Axel Beckert abe at deuxchevaux.org
Sa Okt 7 15:58:09 CEST 2017 

Hi nochmal,

On Sat, Oct 07, 2017 at 03:48:54PM +0200, Axel Beckert wrote:
> Auf meinem anderen Router (freifunk-lauchi-koe1, wtk + ipv6) tat's
> dagegen (ca. 10 Minuten später) problemlos.
[...]
> Auf freifunk-zh-kub-am-broetli gemacht. Tut!

Muss mich korrigieren: Beide haben zwar die neue Firmware
runtergeladen, eingespielt und rebootet vor 20-25 Minuten, aber sie
behaupten nach dem Reboot immer noch, die alte Firmware zu haben:

root at freifunk-lauchi-koe1:~# autoupdater 
Downloading 'http://upd3.dom2.ff3l/ipv6/sysupgrade/ipv6.manifest'
Connecting to fdc7:3c9d:b889:a272::8:80
Writing to stdout
-                    100% |*******************************| 68168   0:00:00 ETA
Download completed (68168 bytes)
New version available.
Stopping cron...
Stopping haveged...
Stopping micrond...
Stopping sysntpd...
Stopping gluon-radvd...
Stopping uhttpd...
Stopping sse-multiplexd...
Stopping gluon-respondd...
vm.drop_caches = 3
Downloading 'http://upd3.dom2.ff3l/ipv6/sysupgrade/gluon-ff3l-wtk-v2017.1.3+001-tp-link-tl-wr1043n-nd-v4-sysupgrade.bin'
Connecting to fdc7:3c9d:b889:a272::8:80
Writing to '/tmp/lua_aGeHGm'
/tmp/lua_aGeHGm      100% |*******************************|  3840k  0:00:00 ETA
Download completed (3932164 bytes)
Stopping network...

root at freifunk-zh-kub-am-broetli:~# autoupdater 
Downloading 'http://upd1.ff3l/experimental/sysupgrade/experimental.manifest'
Connecting to fdc7:3c9d:b889:a272::8:80
Writing to stdout
-                    100% |*******************************| 66792   0:00:00 ETA
Download completed (66792 bytes)
New version available.
Stopping cron...
Stopping haveged...
Stopping micrond...
Stopping sysntpd...
Stopping gluon-radvd...
Stopping uhttpd...
Stopping sse-multiplexd...
Stopping gluon-respondd...
vm.drop_caches = 3
Downloading 'http://upd1.ff3l/experimental/sysupgrade/gluon-ff3l-v2017.1.3+001-tp-link-tl-wr1043n-nd-v4-sysupgrade.bin'
Connecting to fdc7:3c9d:b889:a272::8:80
Writing to '/tmp/lua_kpGPaA'
/tmp/lua_kpGPaA      100% |*******************************|  3840k  0:00:00 ETA
Download completed (3932164 bytes)
Stopping network...

Und die heruntergeladene Version sieht auch gut aus, aber wenn ich
danach wieder einlogge, sehe ich auf beiden immer noch die alte
Version:

root at freifunk-lauchi-koe1:~# uptime
 20:40:43 up 13 min,  load average: 0.03, 0.12, 0.10
root at freifunk-lauchi-koe1:~# cat /lib/gluon/release
v2017.1.2+001

root at freifunk-zh-kub-am-broetli:~# uptime
 15:50:35 up 24 min,  load average: 0.16, 0.17, 0.11
root at freifunk-zh-kub-am-broetli:~# cat /lib/gluon/release
v2017.1.2+001

Oder ist das ein Bug in der neuen Firmware, dass die Angabe über die
Firmware-Version nicht stimmt?

		Gruss, Axel
-- 
/~\  Plain Text Ribbon Campaign                   | Axel Beckert
\ /  Say No to HTML in E-Mail and News            | abe at deuxchevaux.org  (Mail)
 X   See http://www.nonhtmlmail.org/campaign.html | abe at noone.org (Mail+Jabber)
/ \  I love long mails: http://email.is-not-s.ms/ | http://abe.noone.org/ (Web)

Mehr Informationen über die Mailingliste ff3l