AVM FRITZ!Box: neue Firmwares ohne Telnet

AVM FRITZ!Box 7490

Die ersten FRITZ!OS-Labor-Versionen mit Versionsnummer 6.25 haben es schon vor ca. einem Monat angedeutet: AVM wird die neuen Firmwares ohne Telnet-Zugang ausliefern. Die vor zwei Tagen neu veröffentlichte Firmware in Form von FRITZ!OS 6.30 hat diese Vermutung leider bestätigt. Auch diese Version kommt ohne Telnet daher. Ebenso düster sieht es bei der aktuellen Labor-Version für die FRITZ!Box 7490 aus. FRITZ!OS 6.35 verzichtet auch auf Telnet.

Ein wenig Hoffnung bleibt aber (vorerst) noch. PeterPawn, ein findiger User im IP-Phone-Forum, hat herausgefunden, dass der Telnet-Daemon weiterhin in der AVM-Busybox enthalten ist. Telnet wird aber nur ausgeführt, wenn die Datei „/usr/sbin/telnetd“ existiert und ein Symlink ist. Genau dieser Symlink wurde in den oben genannten Firmware-Versionen ab FRITZ!OS 6.25 jedoch entfernt. Dies ist unter anderem auch der Grund, warum auf den Kabel-Boxen (FRITZ!Box 6360 Cable und 6490 Cable) kein Telnet möglich ist.

Solange AVM sich auf das Entfernen des Symlinks beschränkt, kann der Telnet-Daemon wieder relativ simpel mit einem passenden Pseudo-Image ins Leben gerufen werden. Allerdings nur bis zum nächsten Reboot, aber besser als nichts. Selbst wenn AVM den Telnet-Daemon komplett entfernt, wäre eine Reaktivierung von Telnet mit der Pseudo-Image-Methode machbar. In diesem Fall müsste man allerdings die benötigten Binaries mitliefern, was etwas mehr Aufwand als die Erzeugung des Symlinks bedeutet. Machbar aber auf alle Fälle.

Eine Dauerlösung ist das aber mit Sicherheit nicht. Viel eher kann man die Methode als provisorische Lösung erachten, wie ein einfacher Erstzugriff auf die Box erfolgen kann. Spätestens dann sollte eine dauerhafte und sichere Lösung nachgerüstet werden, beispielsweise SSH via Dropbear oder OpenSSH. Alternativ kann man auch den Weg über Freetz wählen, was jedoch einen deutlich größeren Aufwand darstellt.

Werfen wir einen Blick in die Zukunft. Gegenüber Heise hat der AVM-Sprecher Urban Bastert erklärt, dass Telnet kein Leistungsmerkmal der FRITZ!Box war und ist. Außerdem soll die Entfernung vor allem der Sicherheit dienen. Bastler möchte man damit nicht verärgern. Er betonte auch, dass selbst erstellte Firmwares nach wie vor installiert werden können. Sofern sich AVM an diese Aussage hält, dient die Entfernung von Telnet in erster Linie einer besseren Sicherheit, was in meinen Augen völlig in Ordnung ist. Mal schauen was die Zukunft bringt und ob AVM dann weitere Überraschungen für uns bereit hält 😉

Tobi

Hallo, mein Name ist Tobias und ich habe diesen Blog im April 2009 ins Leben gerufen. Seitdem blogge ich hier über Software, Internet, Windows und andere Themen, die mich interessieren. SSDblog ist mein zweiter Blog, indem es rund um das Thema SSDs geht. Ich würde mich freuen, wenn ihr meinen Feed abonniert oder mir auf Twitter, Facebook, Google+ und Google+ (privat) folgt.

7 Antworten

  1. PeterPawn sagt:

    Ich muß mal noch meinen Senf dazugeben … die Pseudo-Image-Methode führt eben auch zu einem partiellen Shutdown der AVM-Dienste auf der FRITZ!Box (siehe /bin/prepare_fwupgrade), sie ist also nicht als „regulärer“ Telnet-Zugang geeignet. Man kann zwar einzelne Dienste mit passenden Start-Kommandos reanimieren, aber das ist keine 100%ige Lösung (z.B. soll die DECT-Telefonie nicht wieder funktionieren, muß man aber sicherlich auch erst noch einmal testen) und nach so einem Image-Upload ohne weitere Maßnahmen startet die Box auch innerhalb von 3 Minuten neu. Das muß also schon ein „spezielles“ Pseudo-Image sein, das diesen Neustart abfängt. Auch ist man dann praktisch in der Box gefangen (kein Internet, kein USB, keine Telefonie, usw.), solange man das nicht alles neu startet -> das ist eher ein Notbehelf, wenn man mal ein Kommando ausführen muß, als eine Möglichkeit, damit einen regulären Zugang zu erhalten. Dafür sollte man dann (wenn man nicht Deinen SSH-Vorschlag aufgreifen will), eher auf „ShellInABox“ zurückgreifen … ansonsten ist natürlich die offene Übertragung von Telnet-Sessions wirklich ein echtes Sicherheitsrisiko bei einem „Lauscher“ im eigenen LAN und auch ich begrüße die Abschaffung von Telnet ausdrücklich. Wenn AVM die Zusagen einhält, sind die „normalen Benutzer“ sicherer und für die „Bastler“ sind es eben ein paar (wenige) Handgriffe mehr – auch „unterhalb von Freetz“.

  2. Mirko sagt:

    Moin!

    Ich habe eine „spezielle“ FB 7360, deren FW für wilhelm.tel angepasst ist. Zum einen ist es die HWRevision: 183, HWSubRevision: 2, bootloaderVersion: 1.1475, firmware_info: 111.06.30, mit lediglich 16 MB. Zum anderen steht in der ar7.cfg dann auch noch active_provider = „Wilhelm.tel“. Letzteres mag u.a. dafür verantwortlich sein, dass mir keine Möglichkeit im WebUI gegeben ist eine eigene (Original-)FW einzuspielen.

    Kein Telnet, kein Pseudo-Image … keine Idee …

    Mit dem ruKernelTool kann ich nur „Info“ auslesen, daraus geht (scheinbar) zumindest meine tr069_passphrase in Klartext hervor.

    Mit dem FWEditor 0.7.2.1 kann ich meine gesamte Konfiguration auslesen, aber alle Passwörter sind (natürlich) verschlüsselt … da kein telnet auch kein allcfgconv …

    Nun habe ich schlichte Angst (wenn es überhaupt funktionieren würde) die per FBEditor ausgelesene Konfiguration im Bereich der ar7.cfg anzupassen, also „Wilhelm.tel“ zu löschen und wieder einzuspielen.

    Ich wusel mich seit Stunden durch alles, was ich zum Thema finden kann, aber bisher keine Erleuchtung.

    Tipps, Ideen oder Anmerkungen?

    Gibt es zum „allcfgconv-Ansatz“ keine lokale Lösung? Also das verschlüsselte Passwort lokal auf dem eigenen Rechner zu decrypten?

    Original-Beispiel (für mich unverfänglich):
    passwd = $$$$ABC2Q3UC46QLF3FDLHGNUPIA5LFZR3M6XAHSABXTVLE3JCHEMHQLKXCTZNGAVP1XCNTKGJGQUEGZ1KV5″;

    P.S.: Warum das Ganze? Weil ich meinen eigenen VoIP-Anbieter (parallel) einrichten möchte, deswegen! 😉

    • Tobi sagt:

      So wie ich das sehe musst du die Box erst einmal entbranden, sonst kommst du nicht weiter. Vielleicht hilft dir dieser Thread weiter. Ansonsten einfach in diesem Forum ein bisschen suchen oder einen neuen Thread eröffnen.

  3. Rudy Hoepp sagt:

    Hallo, ich habe eine Fritzbox 6490 Cable und Unitymedia. OS6.5
    Kann man dort die Telnetdatei einspielen? Ich moexhte Openvpn installieren. Danke. Rudy

  1. 17. Juli 2015

    […] […]

  2. 27. Juli 2015

    […] er wird nur nicht ausgeführt da ein Symlink entfernt wurde. Weitere Infos finden sich bei antary (auch den Kommentar von PeterPawn lesen, oder direkt den Post im IPPF) bzw. auch bei […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.