Rollout der Freifunk Lippe Firmware 1.5.2 (basierend auf Gluon v2021.1.2)

WICHTIGES SICHERHEITSUPDATE: Diese Version behebt eine kritische Sicherheitslücke im Autoupdater von Gluon.

Aktualisierung:

– Der Linux-Kernel wurde auf Version 4.14.275 aktualisiert
– Der mac80211 Wireless-Treiber-Stack wurde auf eine Version aktualisiert, die auf Kernel 4.19.237 basiert
– Verschiedene kleinere Paketaktualisierungen

Hardware-Unterstützung hinzugefügt

ath79-generisch

JoyIT
JT-OR750i

ramips-mt76x8

Xiaomi

Mi Router 4A (100M-Edition)

Fehlerbehebung

– Fehlende Bandbreitenbegrenzungseinstellungen führten zu einem Absturz von respondd in v2021.1.
– Der Tunneldigger VPN-Anbieter wurde nicht beim Gluon VPN-Backend registriert, was zu fehlerhaften Tunneldigger-Konfigurationen führte.
– Das Deaktivieren von Funkschnittstellen in v2021.1 kann zu Nullzeiger-Dereferenzierungen im respondd Airtime-Modul führen, da der Survey in diesem Fall keine Daten zurückgibt.
– [SICHERHEIT] Autoupdater: Signaturüberprüfung korrigiert
Ein kürzlich entdecktes Problem (CVE-2022-24884) im ecdsautils-Paket ermöglicht die Fälschung kryptografischer Signaturen. Diese Schwachstelle kann ausgenutzt werden, um ein vom
Autoupdater akzeptiertes Manifest zu erstellen, ohne die privaten Schlüssel der Unterzeichner zu kennen. Durch das Abfangen der Verbindungen von Knoten zum Update-Server
ermöglicht ein solches Manifest die Verteilung bösartiger Firmware-Updates.
Dies ist eine kritische Schwachstelle. Alle Knoten mit Autoupdater müssen aktualisiert werden. Das Erfordern mehrerer Signaturen für ein Update mindert das Problem nicht.
Weitere Informationen zu dieser Schwachstelle finden Sie in der Sicherheitsempfehlung GHSA-qhcg-9ffp-78pw.
– [SICHERHEIT] Konfigurationsmodus: Cross-Site Request Forgery (CSRF) verhindern
Der Konfigurationsmodus hat den Origin-Header von POST-Anforderungen nicht validiert. Dies ermöglichte es beliebigen Websites, die Konfiguration (einschließlich SSH-Schlüssel) auf
einem Gluon-Knoten im Konfigurationsmodus zu ändern, der vom Browser eines Benutzers aus erreichbar war, indem POST-Anforderungen mit Formulardaten an 192.168.1.1 gesendet wurden.
Die Auswirkung dieses Problems wird als gering angesehen, da Knoten nur im Konfigurationsmodus anfällig sind.
– Konfigurationsmodus: Das gelegentlich hängende Laden der Seite nach dem Absenden des Konfigurationsassistenten wurde korrigiert, wodurch die Neustartmeldung und der VPN-Schlüssel
nicht angezeigt wurden
– Konfigurationsmodus (OSM): Dtandardmäßige OpenLayers-Quell-URL aktualisiert
Die OSM-Funktion des Konfigurationsmodus wurde unterbrochen, als die Standard-Quell-URL für OpenLayers verwendet wurde, da die alte URL nicht mehr verfügbar ist. Die
Standardeinstellung wurde auf eine URL aktualisiert, die verfügbar sein sollte.
– Konfigurationsmodus (OSM): Fehler bei der Verwendung von „-Zeichen im Attributionstext behoben
– respondd-module-airtime: Responsed-Absturz auf Geräten mit deaktivierten WLAN-Schnittstellen behoben
An der Fehlerbehandlung des Respondd-Module-Airtime-Pakets wurden mehrere Verbesserungen vorgenommen. Das Feld „PHY ID“ (eingeführt in Gluon 2021.1) wurde wieder entfernt.
– ipq40xx: Behebung schlechter WLAN-Leistung auf Plasma Cloud PA1200- und PA2200-Geräten
Behebt gelegentliche Build-Fehler im „perl“-Paket mit einer hohen Anzahl von Threads (-j32 oder höher)

Weitere Verbesserungen

An der Statusseite wurden mehrere Verbesserungen vorgenommen:

– Die Anzeige des WLAN-Kanals erfordert nicht mehr das Paket respondd-module-airtime
– Das Label „gateway nexthop“ verlinkt nun auf die Statusseite des nexthop-Knotens
– Das Timeout zum Abrufen von Informationen von Nachbarknoten wurde erhöht, wodurch die Anzeige des Namens von überlasteten, langsamen oder anderweitig schlecht erreichbaren Knoten
wahrscheinlicer erfolgreich ist

Das Rollout findet am Mittwoch, 11. Mai 2022 um 10.00 Uhr statt. Wir bitten darum, alle Freifunk Lippe Knoten zu diesem Zeitpunkt eingeschaltet zu lassen.

Vollständige Release Notes:

https://gluon.readthedocs.io/en/v2021.1.x/releases/v2021.1.2.html