Commit 370d830f authored by Paul's avatar Paul
Browse files

add security notice

parent 4891349e
Pipeline #5393 passed with stage
in 28 seconds
---
layout: post
title: Anfunken/-grillen 2022
date: 2022-05-10 10:00:00 +0200
published: false
---
Kritisches Sicherupdate
=======================
Moin liebe Freifunker:innen,
am 5.5.2022 wurde eine [kritische Sicherheitslücke](https://github.com/freifunk-gluon/gluon/security/advisories/GHSA-xqhj-fmc7-f8mv) in der Gluon Software veröffenlicht. Wir in Lübeck bauen auch auf Gluon auf und sind somit von der Sicherheitslücke betroffen.
Zunächst einmal die gute Nachricht: **Ein Update ist bereits veröffentlicht und auf nahezu allen Routern in Lübeck installiert.**
Wir möchten hier trotzdem kurz einigen wichtige Fragen beantworten:
**Muss ich etwas machen?**
Falls du dir sicher bist, dass der Autoupdater auf deinen Routern angeschaltet ist, nichts.
Falls du dir unsicher bist, suche auf [map.luebeck.freifunk.net](https://map.luebeck.freifunk.net/) unter _Knoten_ deinen Router und überprüfe, ob unter _Firmware_ mindestens `0.15.2` oder höher steht. **Falls das nicht der Fall ist, musst du deinen Router updaten (siehe nächste Frage)**
**Mein Router ist nicht auf dem neusten stand. Was nun?**
Du musst deinen Router per Hand updaten:
1. Lade dir auf (firmware.luebeck.freifunk.net/wizard)[https://firmware.luebeck.freifunk.net/wizard/] die Firmware für deinen Router herunter.
2. Starte deinen Router in den "Config-Modus":
1. Halte die Reset oder WPS Taste für 10 Sekunden gedrückt
2. Stecke deinen Rechner per Kabel an die LAN-Buchse des Routers (i.d.R. gelb markiert)
3. Öffne im Browser [192.168.1.1](http://192.168.1.1/)
3. Rechts oben "Advanced" öffnen
4. Unter "Upgrade Firmware" die neue Firmware hochladen
**Was ist durch ausnutzen der Sicherheitslücke möglich?**
Durch die Sicherheitslücke können Angreifer über die Autoupdater-Funktion bösartige Firmware auf einen Router einschleusen.
**Was ist genau betroffen?**
Das Problem liegt in dem Autoupdater. Der Autoupdater aktualisiert automatisch die Firmware eines Freifunk-Routers, wenn wir ein Update veröffentlichen. Das Feature ermöglicht zum einen das Betreiben eines Freifunk-Routers ohne technische Kenntnisse zu haben, zum anderen ermöglicht es, dass Router die an schwer zugänglichen Orten installiert sind akutell zu halten.
In der Regel sind die Updates Kryptographisch signiert, sodass nur jemand vom FreifunkLübeck-Projekt ein Update veröffentlichen kann. Die Kryptographische verifizierung funktioniert in bestimmten Fällen nicht und akzpetiert beliebiege Updates.
Supports Markdown
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment