OpenSSL 1.1.1q vs. OpenSSL 1.1.1w

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

OpenSSL 1.1.1q vs. OpenSSL 1.1.1w

Beitrag von plumpsack »

Topic geändert:

OpenSSL 1.1.1q vs. OpenSSL 1.1.1w

OpenSSL 1.1.1w - Stand 10/2023


sysinfo unter ssh sagt mir
OpenSSL: OpenSSL 1.1.1q 5 Jul 2022
obwohl

OpenSSL 1.1.1t 7 Feb 2023 aktuell ist.


Leider finde ich für das Webinterface nicht den Befehl oder die Ausgabe für "sysinfo".

Kommt da noch ein Patch?

A) für das Webinterface für "sysinfo"
B) für OpenSSL 1.1.1t

?

Danke für die Infos vorab.
Zuletzt geändert von plumpsack am 15 Okt 2023, 19:04, insgesamt 1-mal geändert.
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von GrandDixence »

Offenbar ist LANCOM der Meinung, dass ihr Betriebssystem LCOS von den bekannten Sicherheitslücken nicht betroffen sind, welche zwischen OpenSSL-Version 1.1.1q und 1.1.1t (im Upstream) behoben wurden. Oder LANCOM hat keine Lust oder kein Geld diese Sicherheitslücken zu beheben. Für genauere Informationen muss man da schon bei LANCOM direkt nachfragen.

Gemäss der Webseite:
https://www.openssl.org/news/vulnerabilities-1.1.1.html
müsste das im Betriebssystem LCOS integrierte OpenSSL v1.1.1q von folgenden, bekannten Sicherheitslücken betroffen sein:

- CVE-2023-0286
- CVE-2023-0215
- CVE-2022-4450
- CVE-2022-4304

Übrigens: Linuxdistributionen wie DEBIAN sind bekanntlich beim Beheben von bekannten Sicherheitslücken in Softwarepaketen wie OpenSSL auch "schludrig" unterwegs. Nachprüfen kann man dies mit einem CVE-Tracker:

https://www.debian.org/security/cve-compatibility

https://security-tracker.debian.org/tra ... ge/openssl

https://forums.opensuse.org/t/kernel-do ... m/163794/4
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

GrandDixence hat geschrieben: 09 Feb 2023, 20:48 Für genauere Informationen muss man da schon bei LANCOM direkt nachfragen.
Ich habe soeben beim Support die Fixes für einige Router für LCOS > 10.42ru9 angefordert.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
plumpsack
Beiträge: 569
Registriert: 15 Feb 2018, 20:23

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von plumpsack »

GrandDixence hat geschrieben: 09 Feb 2023, 20:48 Offenbar ist LANCOM der Meinung, dass ihr Betriebssystem LCOS von den bekannten Sicherheitslücken nicht betroffen sind, welche zwischen OpenSSL-Version 1.1.1q und 1.1.1t (im Upstream) behoben wurden.
Dann sollte Lancom das auch public machen.

unter

https://www.lancom-systems.de/service-s ... shinweise/

steht nix.

Aber selbst das BSI schreibt unter

https://wid.cert-bund.de/portal/wid/start

(blöde Internetseite, man muss erst Cookies erlauben, dann wieder auf https://wid.cert-bund.de/portal/wid/start gehen)

unter "Aktuelle Sicherheitshinweise" - Lupe (Suchen) - openssl

Code: Alles auswählen

08.02.2023

    Ubuntu Linux

    SUSE Linux

    Open Source OpenSSL < 3.0.8

    Open Source OpenSSL < 1.1.1t

    Open Source OpenSSL < 1.0.2zg 
"Falls" die Router von Lancom nicht betroffen sind, dann wäre eine Mitteilung unter

https://www.lancom-systems.de/service-s ... shinweise/

sehr nett.
:M
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Die Linux und OpenWRT basierenden LX APs sind mit Sicherheit auch betroffen.

Die LCOS 10.42 Beta hat den Fix schon.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von GrandDixence »

Unter:
https://www.lancom-systems.de/service-s ... tshinweise
gibt es Informationen zu den kürzlich in zahlreichen LANCOM-Produkten geschlossenen OpenSSL-Sicherheitslücken.

Dank dem Auto Updater erfolgt die Installation solcher Sicherheitsupdates vollautomatisch zu nächtlicher Stunde auf meinen LANCOM-Produkten:
https://www.lancom-systems.de/docs/LCOS ... ation.html
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

GrandDixence hat geschrieben: 11 Mär 2023, 15:54 Unter:
https://www.lancom-systems.de/service-s ... tshinweise
gibt es Informationen zu den kürzlich in zahlreichen LANCOM-Produkten geschlossenen OpenSSL-Sicherheitslücken.
Nur der Vollständigkeit halber

07.02.2023: OpenSSL Security Advisory
09.02.2023: Start dieses Threads
28.02.2028: Sicherheitshinweise bei Lancom veröffentlicht
GrandDixence hat geschrieben: 11 Mär 2023, 15:54 Dank dem Auto Updater erfolgt die Installation solcher Sicherheitsupdates vollautomatisch zu nächtlicher Stunde auf meinen LANCOM-Produkten:
https://www.lancom-systems.de/docs/LCOS ... ation.html
Aufgrund der (bisher) immer unvollständigen ReleaseNotes (es wird mehr gefixt, als das was da steht und es ist auch nicht klar, mit welcher Version jeweils die Fehler erstmals auftraten) ist das automatische Update einerseits die Möglichkeit, schnell Fixes einzuspielen, andererseits kann man sich damit auch das mühsam aufgebaute und getestete Installation zerschießen.

Man weis meistens nicht, worauf man sich einlässt...

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von GrandDixence »

tstimper hat geschrieben: 11 Mär 2023, 16:12 Aufgrund der (bisher) immer unvollständigen ReleaseNotes (es wird mehr gefixt, als das was da steht und es ist auch nicht klar, mit welcher Version jeweils die Fehler erstmals auftraten) ist das automatische Update einerseits die Möglichkeit, schnell Fixes einzuspielen, andererseits kann man sich damit auch das mühsam aufgebaute und getestete Installation zerschießen.

Man weis meistens nicht, worauf man sich einlässt..
Diese Aussage gilt erfahrungsgemäss für alle unter:
https://www.lancom-systems.de/produkte/ ... ebersicht/
in der "Tabellarischen Übersicht" mit:

- Aktuelle Firmware-Version inklusive neuer Features => Aktuell: LCOS 10.72
- Softwarestand zur Unterstützung neuer Geräte. => Aktuell: LCOS 10.60

aufgeführten Versionszweige von LCOS. Jedoch (gemäss meiner Erfahrung) nicht für den "Stable-Zweig". Der aktuelle "Stable-Zweig" wird in dieser "Tabellarischen Übersicht" mit "Empfohlene Stable Release für den Projekteinsatz" aufgeführt. Aktuell: LCOS 10.50.

Wer mit LANCOM-Produkten keine Regressionen einfangen will, der setzt aktuell LCOS 10.50 oder LCOS 10.42 ein.
https://de.wikipedia.org/wiki/Regressionstest

Und die automatischen Firmwareupdates per "Auto Updater" konfiguriert man auf das Einspielen von nur aus Sicherheitsgründen erforderlichen Updates:
https://www.lancom-systems.de/docs/LCOS ... ation.html

LCOS-Menübaum > Setup > Automatisches-Firmware-Update > Versionsrichtlinie := nur-Sicherheitsupdates

Ein Zweigwechsel oder ein Einspielen eines aus Sicherheitsgründen nicht zwingend erforderlichen Firmware-Updates sollte vorgängig ausführlich in einer Testumgebung getestet werden, bevor man es (händisch) auf der Produktivumgebung einspielt. Händisch einzuspielende Firmware-Updates sollten ausschliesslich von der Webseite:
https://my.lancom-systems.de/downloads/
bezogen werden.

Update-Faule, wie ich, sind aktuell auf LCOS 10.42 SU10. Und kontrollieren regelmässig (alle 7 bis 60 Tage), ob der aktuell eingesetzte LCOS-Zweig noch von LANCOM mit Sicherheitsupdates versorgt wird.

In der eigenen LANCOM-Produkt-Updatestrategie müssen aus Sicherheitsgründen auch Firmware-Updates für die Mobilfunkkarten eingeplant werden. Siehe dazu:
fragen-zu-lancom-umts-lte-router-f33/17 ... ml#p100489

Diese Mobilfunkkarten sind in einigen Mobilfunk-fähigen LANCOM-Geräten integriert.

Jedes LANCOM-Produkt muss aus Sicherheitsgründen durch ein Nachfolgeprodukt ersetzt werden, wenn es das EoL-Datum (End of Life) erreicht hat.
https://www.lancom-systems.de/produkte/ ... management

https://www.lancom-systems.de/produkte/ ... management
Zuletzt geändert von GrandDixence am 02 Jun 2023, 13:10, insgesamt 6-mal geändert.
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

GrandDixence hat geschrieben: 11 Mär 2023, 16:27 Update-Faule wie ich sind aktuell auf LCOS 10.42 SU10.
Gutes Beispiel, wie gehst Du da mit dem Problem um, das die 10.42 SU10 eine kleinere Build Nummer als die vom Support und im Beta Bereich verfügbaren Versionen mit OpenSSL Fix hat?

Siehe feedback-lcos-release-update-betatest-f ... ml#p112852

Und alle, die vorsorglich die Betas mit OpenSSL Fix eingespielt haben nun offensichtlich mehrere Build Nummern zurückspringen müssen, ohne zu wissen, worauf sie sich einlassen?

Ich habe auch noch einige Router auf der 10.42, da hat selbst der Support höherer Build Nummern geliefert als die, die jetzt als SU10 released wurden.

Das muss doch mal langsam klar werden, das man so nicht mehr kommunizieren kann im Markt. Und dann ein hin und her bei den Build Nummern ohne Erklärung....


Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von GrandDixence »

wie gehst Du da mit dem Problem um, das die 10.42 SU10 eine kleinere Build Nummer als die vom Support und im Beta Bereich verfügbaren Versionen mit OpenSSL Fix hat?
Ganz einfach:

Ich installiere händisch nur Firmware-Versionen, die von LANCOM unter:
https://my.lancom-systems.de/downloads/
veröffentlicht und angeboten werden. Für die automatischen Firmware-Updates ist der Auto Updater zuständig.

Bis eine neue für den Produktiveinsatz freigegebene Firmwareversion die vollständige LANCOM-interne Qualitätssicherung durchlaufen hat, gibt es von der LANCOM-Entwicklungsabteilung sicher eine neuere (BETA-)Firmwareversion mit einer höheren Build-Nummer. Die neuere (BETA-)Firmwareversion hat natürlich nicht die vollständige LANCOM-interne Qualitätssicherung durchlaufen und ist nicht für den Produktiveinsatz (in der Produktivumgebung) vorgesehen!

Solche (BETA-)Firmwareversionen installiere ich prinzipiell nicht in der Produktivumgebung.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

Die OpenSSL Version wurde in der 10.72RU4 auf 1.1.1u gehoben. In den Release-Notes steht dazu nichts. Auch ist die Seite https://www.lancom-systems.de/service-s ... tshinweise leer zu diesem Thema. Ist nun alles <10.72RU4 anfällig für Angriffe oder nicht?
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von tstimper »

Dr.Einstein hat geschrieben: 01 Jul 2023, 21:17 Die OpenSSL Version wurde in der 10.72RU4 auf 1.1.1u gehoben. In den Release-Notes steht dazu nichts. Auch ist die Seite https://www.lancom-systems.de/service-s ... tshinweise leer zu diesem Thema. Ist nun alles <10.72RU4 anfällig für Angriffe oder nicht?
Ja, für Angriffe auf Fehler im OpenSSL < 1.1.1u

Schlimm ist auch das hier:
WLAN
→ UDP-Datenverkehr konnte auch ohne Anmeldung am Public Spot übertragen werden, sodass einige Applikationen mit ihren Servern im Internet kommunizieren konnten.
Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

Hab zu dem Thema noch 2..3 Fragen/Anmerkungen:

1) Gemäß https://www.openssl.org/blog/blog/2023/09/11/eol-111/ ist die von Lancom verwendete Version 1.1.1 EOL gegangen. Ich kann mir irgendwie nicht vorstellen, dass mit dem Hersteller ein Premiumvertrag abgeschlossen wurde. Ist das nicht ziemlich riskant, eine EOL Bibliothek zu verwenden, die von so vielen Elementen im LCOS verwendet wird?

2) Die 10.72RU5 hat ein Update auf OpenSSL 1.1.1v bekommen. Sind Versionen <10.72RU5 von SSL Sicherheitslücken betroffen oder nicht? Weder in den Releasenotes noch unter Sicherheitshinweisen steht zu diesem Punkt etwas.

3) Zusätzlich wurde OpenSSL 1.1.1w veröffentlicht. Ist Lancom betroffen?

Gruß Dr.Einstein
Benutzeravatar
rotwang
Beiträge: 140
Registriert: 04 Jun 2021, 22:01

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von rotwang »

1) Gemäß https://www.openssl.org/blog/blog/2023/09/11/eol-111/ ist die von Lancom verwendete Version 1.1.1 EOL gegangen. Ich kann mir irgendwie nicht vorstellen, dass mit dem Hersteller ein Premiumvertrag abgeschlossen wurde. Ist das nicht ziemlich riskant, eine EOL Bibliothek zu verwenden, die von so vielen Elementen im LCOS verwendet wird?
Das Problem ist wohl, dass die nächste 'LTS-Version' der OpenSSL eine 3.0.x wäre und von 1.1.1 auf 3.0 haben sich diverse APIs massiv geändert, bzw. eine Reihe existierender APIs wurden 'deprecated' erklärt. Eine 3.0 ist kein 'Drop-In-Ersatz' für eine 1.1.1. LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.

So ein Enterprise-Support für OpenSSL kostet - wenn ich's richtig gesehen habe - 50K$ pro Jahr, der ist wahrscheinlich extra so prohibitiv hoch angesetzt, um den Support für die alten Versionen möglich schnell loszuwerden.

Mit dem Problem der geänderten OpenSSL-APIs kämpfen aber auch andere. Wenn mal mal in die Mailing-Listen schaut, dann findet man regelmäßig Nutzer, die die notwendigen Umbauten in ihren Projekten aufgeschoben haben, bis das Supportende kam und jetzt massiv am Rudern sind. Da tauchen gelegentlich auch noch Leute auf, die bisher eine OpenSSL 1.0.x eingesetzt haben und jetzt aufwachen.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: OpenSSL 1.1.1q vs. OpenSSL 1.1.1t

Beitrag von Dr.Einstein »

rotwang hat geschrieben: 15 Sep 2023, 11:38 LCOS 10.80 ff. auf OpenSSL 3.0 zu heben, waren einige Mannmonate Aufwand, inklusive kompletter QS. Das wird niemand für einen 'abgehangenen' Freigabestand machen wollen.
10.42 / 10.50 / 10.72 ebenfalls. Es gibt ja diverse Gerätetypen, die keine Majorrelease mehr erhalten, sondern ausschließlich Sicherheitsupdates. Das wäre doch eine Vollkatastrophe für Lancom, hier noch alle Versionen umbauen zu müssen? Außerdem wird das ja jemanden bereits vor Monaten aufgefallen sein, dass hier ein EOL erreicht wird. Mich wundert, dass sich selbst bei 10.80 scheinbar nichts in die Richtung getan hat. Selbst wenn man einen LTS-Individual-Vertrag geschlossen hat, so müsste doch spätestens die 10.80 auf OpenSSL 3.x.x umgestellt sein, um dann nicht wieder später auf die Umbauten in diversen LCOS Versionen zu stoßen...
rotwang hat geschrieben: 15 Sep 2023, 11:38 nächste 'LTS-Version' der OpenSSL eine 3.0.x wäre
Was auch nur 3 weitere Jahre sind. Aber gut, vielleicht hat Lancom ja wirklich Geld in die Hand genommen und erhält weiterhin Support. Steht immerhin nichts auf der Sicherheitsseite, also muss man wohl von ausgehen, dass alles im grünen Bereich ist.
Antworten