OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

plumpsack · Beitrag von **plumpsack** » 09 Feb 2023, 19:15

sysinfo unter ssh sagt mir

OpenSSL: OpenSSL 1.1.1q 5 Jul 2022

obwohl

OpenSSL 1.1.1t 7 Feb 2023 aktuell ist.

Leider finde ich für das Webinterface nicht den Befehl oder die Ausgabe für "sysinfo".

Kommt da noch ein Patch?

A) für das Webinterface für "sysinfo"
B) für OpenSSL 1.1.1t

?

Danke für die Infos vorab.

GrandDixence · Beitrag von **GrandDixence** » 09 Feb 2023, 20:48

Offenbar ist LANCOM der Meinung, dass ihr Betriebssystem LCOS von den bekannten Sicherheitslücken nicht betroffen sind, welche zwischen OpenSSL-Version 1.1.1q und 1.1.1t (im Upstream) behoben wurden. Oder LANCOM hat keine Lust oder kein Geld diese Sicherheitslücken zu beheben. Für genauere Informationen muss man da schon bei LANCOM direkt nachfragen.

Gemäss der Webseite:
https://www.openssl.org/news/vulnerabilities-1.1.1.html
müsste das im Betriebssystem LCOS integrierte OpenSSL v1.1.1q von folgenden, bekannten Sicherheitslücken betroffen sein:

- CVE-2023-0286
- CVE-2023-0215
- CVE-2022-4450
- CVE-2022-4304

Übrigens: Linuxdistributionen wie DEBIAN sind bekanntlich beim Beheben von bekannten Sicherheitslücken in Softwarepaketen wie OpenSSL auch "schludrig" unterwegs. Nachprüfen kann man dies mit einem CVE-Tracker:

https://www.debian.org/security/cve-compatibility

https://security-tracker.debian.org/tra ... ge/openssl

https://forums.opensuse.org/t/kernel-do ... m/163794/4

tstimper · Beitrag von **tstimper** » 09 Feb 2023, 22:05

GrandDixence hat geschrieben: ↑09 Feb 2023, 20:48 Für genauere Informationen muss man da schon bei LANCOM direkt nachfragen.

Ich habe soeben beim Support die Fixes für einige Router für LCOS > 10.42ru9 angefordert.

Viele Grüße

ts

plumpsack · Beitrag von **plumpsack** » 11 Feb 2023, 22:18

GrandDixence hat geschrieben: ↑09 Feb 2023, 20:48 Offenbar ist LANCOM der Meinung, dass ihr Betriebssystem LCOS von den bekannten Sicherheitslücken nicht betroffen sind, welche zwischen OpenSSL-Version 1.1.1q und 1.1.1t (im Upstream) behoben wurden.

Dann sollte Lancom das auch public machen.

unter

https://www.lancom-systems.de/service-s ... shinweise/

steht nix.

Aber selbst das BSI schreibt unter

https://wid.cert-bund.de/portal/wid/start

(blöde Internetseite, man muss erst Cookies erlauben, dann wieder auf https://wid.cert-bund.de/portal/wid/start gehen)

unter "Aktuelle Sicherheitshinweise" - Lupe (Suchen) - openssl

Code: Alles auswählen

08.02.2023

    Ubuntu Linux

    SUSE Linux

    Open Source OpenSSL < 3.0.8

    Open Source OpenSSL < 1.1.1t

    Open Source OpenSSL < 1.0.2zg

"Falls" die Router von Lancom nicht betroffen sind, dann wäre eine Mitteilung unter

https://www.lancom-systems.de/service-s ... shinweise/

sehr nett.

tstimper · Beitrag von **tstimper** » 11 Feb 2023, 23:05

Die Linux und OpenWRT basierenden LX APs sind mit Sicherheit auch betroffen.

Die LCOS 10.42 Beta hat den Fix schon.

Viele Grüße

ts

GrandDixence · Beitrag von **GrandDixence** » 11 Mär 2023, 15:54

Unter:
https://www.lancom-systems.de/service-s ... tshinweise
gibt es Informationen zu den kürzlich in zahlreichen LANCOM-Produkten geschlossenen OpenSSL-Sicherheitslücken.

Dank dem Auto Updater erfolgt die Installation solcher Sicherheitsupdates vollautomatisch zu nächtlicher Stunde auf meinen LANCOM-Produkten:
https://www.lancom-systems.de/docs/LCOS ... ation.html

tstimper · Beitrag von **tstimper** » 11 Mär 2023, 16:12

GrandDixence hat geschrieben: ↑11 Mär 2023, 15:54 Unter:
https://www.lancom-systems.de/service-s ... tshinweise
gibt es Informationen zu den kürzlich in zahlreichen LANCOM-Produkten geschlossenen OpenSSL-Sicherheitslücken.

Nur der Vollständigkeit halber

07.02.2023: OpenSSL Security Advisory
09.02.2023: Start dieses Threads
28.02.2028: Sicherheitshinweise bei Lancom veröffentlicht

GrandDixence hat geschrieben: ↑11 Mär 2023, 15:54 Dank dem Auto Updater erfolgt die Installation solcher Sicherheitsupdates vollautomatisch zu nächtlicher Stunde auf meinen LANCOM-Produkten:
https://www.lancom-systems.de/docs/LCOS ... ation.html

Aufgrund der (bisher) immer unvollständigen ReleaseNotes (es wird mehr gefixt, als das was da steht und es ist auch nicht klar, mit welcher Version jeweils die Fehler erstmals auftraten) ist das automatische Update einerseits die Möglichkeit, schnell Fixes einzuspielen, andererseits kann man sich damit auch das mühsam aufgebaute und getestete Installation zerschießen.

Man weis meistens nicht, worauf man sich einlässt...

Viele Grüße

ts

GrandDixence · Beitrag von **GrandDixence** » 11 Mär 2023, 16:27

tstimper hat geschrieben: ↑11 Mär 2023, 16:12 Aufgrund der (bisher) immer unvollständigen ReleaseNotes (es wird mehr gefixt, als das was da steht und es ist auch nicht klar, mit welcher Version jeweils die Fehler erstmals auftraten) ist das automatische Update einerseits die Möglichkeit, schnell Fixes einzuspielen, andererseits kann man sich damit auch das mühsam aufgebaute und getestete Installation zerschießen.

Man weis meistens nicht, worauf man sich einlässt..

Diese Aussage gilt erfahrungsgemäss für alle unter:
https://www.lancom-systems.de/produkte/ ... ebersicht/
in der "Tabellarischen Übersicht" mit:

- Aktuelle Firmware-Version inklusive neuer Features => Aktuell: LCOS 10.72
- Softwarestand zur Unterstützung neuer Geräte. => Aktuell: LCOS 10.60

aufgeführten Versionszweige von LCOS. Jedoch (gemäss meiner Erfahrung) nicht für den "Stable-Zweig". Der aktuelle "Stable-Zweig" wird in dieser "Tabellarischen Übersicht" mit "Empfohlene Stable Release für den Projekteinsatz" aufgeführt. Aktuell: LCOS 10.50.

Wer mit LANCOM-Produkten keine Regressionen einfangen will, der setzt aktuell LCOS 10.50 oder LCOS 10.42 ein.
https://de.wikipedia.org/wiki/Regressionstest

Und die automatischen Firmwareupdates per "Auto Updater" konfiguriert man auf das Einspielen von nur aus Sicherheitsgründen erforderlichen Updates:
https://www.lancom-systems.de/docs/LCOS ... ation.html

LCOS-Menübaum > Setup > Automatisches-Firmware-Update > Versionsrichtlinie := nur-Sicherheitsupdates

Ein Zweigwechsel oder ein Einspielen eines aus Sicherheitsgründen nicht zwingend erforderlichen Firmware-Updates sollte vorgängig ausführlich in einer Testumgebung getestet werden, bevor man es (händisch) auf der Produktivumgebung einspielt. Händisch einzuspielende Firmware-Updates sollten ausschliesslich von der Webseite:
https://my.lancom-systems.de/downloads/
bezogen werden.

Update-Faule, wie ich, sind aktuell auf LCOS 10.42 SU10. Und kontrollieren regelmässig (alle 7 bis 60 Tage), ob der aktuell eingesetzte LCOS-Zweig noch von LANCOM mit Sicherheitsupdates versorgt wird.

In der eigenen LANCOM-Produkt-Updatestrategie müssen aus Sicherheitsgründen auch Firmware-Updates für die Mobilfunkkarten eingeplant werden. Siehe dazu:
fragen-zu-lancom-umts-lte-router-f33/17 ... ml#p100489

Diese Mobilfunkkarten sind in einigen Mobilfunk-fähigen LANCOM-Geräten integriert.

Jedes LANCOM-Produkt muss aus Sicherheitsgründen durch ein Nachfolgeprodukt ersetzt werden, wenn es das EoL-Datum (End of Life) erreicht hat.
https://www.lancom-systems.de/produkte/ ... management

https://www.lancom-systems.de/produkte/ ... management

tstimper · Beitrag von **tstimper** » 11 Mär 2023, 16:46

GrandDixence hat geschrieben: ↑11 Mär 2023, 16:27 Update-Faule wie ich sind aktuell auf LCOS 10.42 SU10.

Gutes Beispiel, wie gehst Du da mit dem Problem um, das die 10.42 SU10 eine kleinere Build Nummer als die vom Support und im Beta Bereich verfügbaren Versionen mit OpenSSL Fix hat?

Siehe feedback-lcos-release-update-betatest-f ... ml#p112852

Und alle, die vorsorglich die Betas mit OpenSSL Fix eingespielt haben nun offensichtlich mehrere Build Nummern zurückspringen müssen, ohne zu wissen, worauf sie sich einlassen?

Ich habe auch noch einige Router auf der 10.42, da hat selbst der Support höherer Build Nummern geliefert als die, die jetzt als SU10 released wurden.

Das muss doch mal langsam klar werden, das man so nicht mehr kommunizieren kann im Markt. Und dann ein hin und her bei den Build Nummern ohne Erklärung....

Viele Grüße

ts

GrandDixence · Beitrag von **GrandDixence** » 11 Mär 2023, 16:53

wie gehst Du da mit dem Problem um, das die 10.42 SU10 eine kleinere Build Nummer als die vom Support und im Beta Bereich verfügbaren Versionen mit OpenSSL Fix hat?

Ganz einfach:

Ich installiere händisch nur Firmware-Versionen, die von LANCOM unter:
https://my.lancom-systems.de/downloads/
veröffentlicht und angeboten werden. Für die automatischen Firmware-Updates ist der Auto Updater zuständig.

Bis eine neue für den Produktiveinsatz freigegebene Firmwareversion die vollständige LANCOM-interne Qualitätssicherung durchlaufen hat, gibt es von der LANCOM-Entwicklungsabteilung sicher eine neuere (BETA-)Firmwareversion mit einer höheren Build-Nummer. Die neuere (BETA-)Firmwareversion hat natürlich nicht die vollständige LANCOM-interne Qualitätssicherung durchlaufen und ist nicht für den Produktiveinsatz (in der Produktivumgebung) vorgesehen!

Solche (BETA-)Firmwareversionen installiere ich prinzipiell nicht in der Produktivumgebung.

LANCOM-Forum.de

OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t