Freifunk Lübeck

Kritisches Sicherheitsupdate

May 10, 2022

Kritisches Sicherheitsupdate

Moin liebe Freifunker:innen,

am 5.5.2022 wurde eine kritische Sicherheitslücke in der Gluon Software veröffenlicht. Wir in Lübeck bauen auch auf Gluon auf und sind somit von der Sicherheitslücke betroffen.

Zunächst einmal die gute Nachricht: Ein Update ist bereits veröffentlicht und auf nahezu allen aktiven Routern in Lübeck installiert.

Wir möchten hier trotzdem kurz einigen wichtige Fragen beantworten:

Muss ich etwas machen?

Falls du dir sicher bist, dass der Autoupdater auf deinen Routern eingeschaltet ist, musst du nichts machen.

Falls du dir unsicher bist, suche auf map.luebeck.freifunk.net unter Knoten deinen Router und überprüfe, ob unter Firmware mindestens 0.15.2 oder höher steht. Falls das nicht der Fall ist, musst du deinen Router updaten (siehe nächste Frage)

Mein Router ist nicht auf dem neusten Stand. Was nun?

Du musst deinen Router per Hand updaten:

  1. Lade dir auf firmware.luebeck.freifunk.net/wizard die Firmware für deinen Router herunter.
  2. Starte deinen Router in den “Config-Modus”:
    1. Halte die Reset oder WPS Taste für 10 Sekunden gedrückt
    2. Stecke deinen Rechner per Kabel an die LAN-Buchse des Routers (i.d.R. gelb markiert)
    3. Öffne im Browser 192.168.1.1
  3. Rechts oben “Advanced” öffnen
  4. Unter “Upgrade Firmware” die neue Firmware hochladen

Falls du Fragen hast oder Unterstützung benötigst wende dich gerne an uns. (siehe Kontakt unten)

Was ist durch Ausnutzen der Sicherheitslücke möglich?

Durch die Sicherheitslücke können Angreifer über die Autoupdater-Funktion bösartige Firmware auf einen Router einschleusen.

Was ist genau betroffen?

Das Problem liegt in dem Autoupdater. Der Autoupdater aktualisiert automatisch die Firmware eines Freifunk-Routers, wenn wir ein Update veröffentlichen. Das Feature ermöglicht zum einen das Betreiben eines Freifunk-Routers ohne technische Kenntnisse zu haben, zum anderen ermöglicht es, dass Router an schwer zugänglichen Orten akutell zu halten.

In der Regel sind die Updates kryptographisch signiert, sodass nur jemand vom FreifunkLübeck-Projekt ein Update veröffentlichen kann. Die kryptographische Verifizierung funktioniert in bestimmten Fällen nicht und akzeptiert beliebiege Updates.