2.4.2 - Gluon v2021.1.2 (Security)

hexa · 10. Mai 2022 um 19:39

Release-Notes 2.4.2

Mit diesem Update beheben wir eine Sicherheitslücke im Autoupdater, bei der die sogenannte Null-Signatur für alle Public-Keys gültig war.

Der Beta-Zweig wurde zu Testzwecken mit Nullsignaturen ausgestattet. Dies demonstriert exemplarisch den Fehlerfall

---
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

https://firmware.darmstadt.freifunk.net/images/2.4.2/sysupgrade/beta.manifest

Branch	Veröffentlicht	Signaturen
beta	05.05.2022, 18:15	Exemplarisch mit Nullsignaturen signiert 2/2
stable	05.05.2022, 18:56	@hexa, @blocktrron, @noxnox , @braack 4/3

Änderungen seit 2.4.1

Aktualisiert Gluon auf v2021.1.2
- Behebt eine Sicherheitslücke im Autoupdater bei der ungültige Signaturen fälschlicherweise akzeptiert wurden.
  - Improper verification of cryptographic signature in Gluon's autoupdater · Advisory · freifunk-gluon/gluon · GitHub
  - Improper Verification of ECDSA Signatures · Advisory · freifunk-gluon/ecdsautils · GitHub (CVE-2022-24884)
- Aktualisierte Software:
  - Kernel v4.14.275
  - mac80211 Stack 4.19.237

Site-Konfiguration

Änderungen seit 2.4.1: https://git.darmstadt.ccc.de/ffda/firmware/site/compare/v2.4.1...v2.4.2

Bekannte Probleme

keine

Sonstiges

Ein Update ist nur von der Firmware Version 1.4.0 (Gluon v2018.2) und später möglich. Bei älterer Firmware ist es nötig erst auf 2.2.1 zu updaten.