Sicherheitsinfos zu Updates

Sicherheit im Internet und bei Geräten, die mit dem Internet in Verbindung stehen, ist eine kontinuierliche Aufgabe. Daher entwickeln wir nicht nur unsere Produkte nach aktuellem Stand der Sicherheit, sondern arbeiten laufend an der Weiterentwicklung der Sicherheit entsprechend der aktuellen Anforderungen. Beachten Sie bitte auch unsere aktuellen Sicherheitshinweise

Melden von Sicherheitsthemen

Haben Sie Anregungen, wie wir die Sicherheit unserer Produkte noch verbessern können? Dann schreiben Sie uns bitte an security@avm.de. Sollten Nachfragen entstehen, melden wir uns bei Ihnen unter der von Ihnen verwendeten E-Mail-Adresse, andernfalls bitten wir um Verständnis, dass keine individuelle Antwort erfolgt. Für eine sichere Kommunikation von sensiblen Informationen empfiehlt AVM, dass Sie Ihre E-Mail an security@avm.de mit dem PGP-Schlüssel von AVM verschlüsseln.

Falls Sie Unterstützung bei technischen Fragen benötigen, steht Ihnen unser Support zur Verfügung.

Hinweis: Der Schutz der Nutzer unserer Produkte hat oberste Priorität. Daher veröffentlicht AVM Informationen zur Behebung von Schwachstellen zu einem geeigneten Zeitpunkt, beispielsweise wenn Lösungen oder Updates zugänglich sind oder hinreichend verbreitet sind.

Sicherheitshinweise zu Updates

Veröffentlichungsdatum Update und Sicherheitsthema

27.08.2015

Sicherheitsverbesserungen FRITZ!OS 6.30

Beschreibung

  • Veraltetes RC4-Verschlüsselungsverfahren wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
  • Veraltetes SSLv3-Protokoll wird für TLS-Verbindungen (z. B. https, ftps) nicht mehr unterstützt
  • Bei dem Versuch, eine präparierte Firmware-Datei manuell einzuspielen, wird die Ausführung von Befehlen verhindert. Das Einspielen einer Firmware-Datei erfordert eine vorherige Anmeldung auf der FRITZ!Box-Oberfläche. Vielen Dank an RedTeam GmbH für die Meldung.
  • Command-Injection-Möglichkeit aus dem LAN bzw. über CSRF behoben. Betrifft in [1] genannte Produkte. Vielen Dank an RedTeam GmbH für die Meldung.
  • HTML-Injection-Möglichkeit bei der Verwendung der Funktion "Push Mail" behoben. Vielen Dank an D. Schliebner für die Meldung.

[1] FRITZ!Box 3272/7272, 3370/3390/3490, 7312/7412, 7320/7330 (SL), 736x (SL) und 7490

Behoben mit

FRITZ!OS 6.30, ebenfalls behoben mit FRITZ!OS 6.23 (Edition Sunrise)

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.

21.01.2015

Sicherheitsverbesserungen FRITZ!OS 6.20

Beschreibung

  • Bei manuellem Einspielen einer präparierten Firmware-Datei kann die Signaturprüfung nicht mehr umgangen werden. Das Einspielen einer Firmware-Datei erfordert die Kenntnis des Gerätekennworts.
  • Bei manuellem Laden einer präparierten Einstellungssicherungsdatei wird die Ausführung von Befehlen verhindert. Das Einspielen einer Einstellungssicherungsdatei erfordert die Kenntnis des Gerätekennworts.

 

Behoben mit

FRITZ!OS 6.20

Lösung

Bitte installieren Sie die aktuelle FRITZ!OS-Version auf Ihrer FRITZ!Box.