Es war abzusehen, daß es sich um ein größeres Sicherheitsproblem handeln musste: Bereits Wochen vor der Veröffentlichung wurde ungewöhnlich deutlich dazu aufgerufen, für den 5.5. eine funktionierende Buildumgebung zur Hand zu haben. Der Fix wurde aus den öffentlichen Github Repos bis zum Release zurückgehalten um keinen Hinweis auf den Fehler zu gaben. Diese Vorgehensweise stellte sich dann zum Zeitpunkt der Veröffentlichung als angemessen heraus. Die Schwachstelle befand sich in der Komponente "ecdsautils", welche bei Gluon für das Codesigning verantwortlich ist. Mithilfe dieses Tools wird das Firmware Manifest signiert und am Freifunk Knoten überprüft, ob ein Firmware Update legit ist, also von den Firmware-Entwickler*innen korrekt signiert wurde. Durch den Fehler ist es nun möglich diesen Signaturcheck zu umgehen.
Für viele Freifunk Communities ist das ein besonders großes Problem. Zum einen werden Updates immer über http bezogen, das heisst es findet keine Authentisierung des Updateserver statt. Dazu kommt der Umstand, daß die Updateserver immer über das Layer2 Mesh erreicht werden. Das macht ARP (v4) bzw Neighbour Solicitation (v6) Spoofing sehr einfach, wodurch im Rahmen einer man-in-the-middle Attacke bösartige Updateserver mit einer präparierten Firmware in Freifunk Netzen plaziert werden können. Über diesen Angriffsvektor könnten also Freifunk Router übernommen werden und mit bösartiger Software versehen werden. Die Folgen sind gravierend, bis hin zum Zugriff auf das private Netz ist hier alles denkbar.
Wir haben 4 Stunden nach erscheinen der Firmware unsere stable und experimental Branch Firmware mit dem Fix ausgerollt. Durch die ausserordentlich hohe Autoupdatequote konnte das Netz zu 99% gepatched werden.
Die wenigen verbleibenden Knotenbetreiber möchten wir hier nochmal dazu aufrufen, ihre Firmware so schnell es geht auf Gluon v2021.1.2 zu aktualisieren.
Ach ja, der zur Verfügung gestellte Fix wurde netterweise noch backported, das heisst für die in der Dekommissionierung befindlichen 4/32 Geräte verfügbar gemacht. Es ist aber davon auszugehen, daß das nun wirklich der letzte Fix für dieser Geräteklasse war, wesswegen ihr diesen Newsbeitrag noch lesen solltet.