Hi,
gestern wurde in der freifunk-gluon Firmware die Sicherheitsluecke "CVE-2022-24884: Improper Verification of ECDSA Signatures" [1,2] offengelegt. Ich habe mich bei Freifunk Vogtland um die Integration des Bugfixes gekuemmert und dann diese Nacht die Firmware auf den Geraeten ausgerollt.
Ich kann hier natuerlich nicht die momentan nicht erreichbaren Geraete updaten. Dies sollte dann zeitnah (am besten durch den Besitzer) bei der naechsten Inbetriebname erfolgen.
Auch wurden Geraete nicht angeruehrt, die den Auto-Updater deaktiviert haben. Die Besitzer dieser Knoten muessen sich hier selber um ausstehende Updates kuemmern. Momentan sind Updates auf folgende Knoten deaktiviert:
* PL-Bleich7-Sternenlabor-1 https://vogtland.freifunk.net/map/#!/4c1365000ca0
* PL-Bleich7-Sternenlabor-2 https://vogtland.freifunk.net/map/#!/4c1365000cb0
* PL-Dobenau2-Lutherkirche-Offloader https://vogtland.freifunk.net/map/#!/9c8e99f02d07 (keine Kontaktinformationen hinterlegt - vielleicht Linus?)
* PL-Kleist https://vogtland.freifunk.net/map/#!/ec086bb82652
* PL-tux https://vogtland.freifunk.net/map/#!/ac8674c7d100
* POE-Lieb14 https://vogtland.freifunk.net/map/#!/60e327e755be
* POE-Simmel https://vogtland.freifunk.net/map/#!/6872513c043d
* TR-Markt3 https://vogtland.freifunk.net/map/#!/f4f26d971dce (keine Kontaktinformationen hinterlegt)
Gruesse, Sven
[1] https://github.com/freifunk-gluon/ecdsautils/security/advisories/GHSA-qhcg-9... [2] https://github.com/freifunk-gluon/gluon/security/advisories/GHSA-xqhj-fmc7-f...
-
Sven Eckelmann