In der Gluon-Software, die wir als Firmware für Freifunk-Router im Bremer Netz bis gestern verwendet haben, wurde eine kritische Sicherheitslücke entdeckt. Durch diese Lücke hätten Angreifer unter bestimmten Umständen aus der Ferne eine eigene Firmware auf die Freifunk-Knoten aufspielen können, und hätten die Geräte dadurch übernehmen können.
Wir haben deshalb gestern Morgen kurzfristig eine neue Version der Firmware veröffentlicht (Version 2019.1.3+bremen3) und gleich für alle Stable- und Testing-Geräte bereitgestellt. Die Firmware ist inzwischen auf den meisten Knoten aufgespielt worden, die automatische Updates aktiviert haben.
Die Lücke selbst ist in dem Auto-Updater (genauer: in dem Teil vom Auto-Updater, der neue Updates auf Korrektheit überprüft). Falls ihr automatische Updates deaktiviert habt, seid ihr deshalb erst einmal nicht von der Lücke betroffen. Ihr solltet dann aber trotzdem bald das Update von Hand einspielen.
Die Sicherheitslücke wird unter der Bezeichnung “CVE-2022-24884” geführt. Es gibt dazu auch eine offizielle Veröffentlichung, und einen Forenbeitrag mit weiteren Informationen für Interessierte.
Wir möchten uns an dieser Stelle ganz massiv bei den Gluon-Entwicklern bedanken, die seit Jahren fleißig die Firmware weiterentwickeln, und die auch in diesem Fall das Sicherheitsupdate schnell und professionell veröffentlicht haben.
Wenn ihr mehr zu diesem Update wissen wollt, dann kommt in den Chat, schreibt auf der Mailingliste, oder kommt zum Treffen!