Details der Firmware

[Torxgewinde]

Moin,
Die Firmware basiert wohl auf Linux 2.6.34 (warum so alt, dieser Kernel ist von 2010!). Korrekterweise ist in der ZIP Datei die GPL und ein Hinweis auf die Sourcen enthalten. Ich habe mal via Webseite angefragt, dass ich diese gerne hätte.

Die Möglichkeit auf der XT2 eigene Programme auszuführen ist fantastisch. Vor allem kann ich dann aufpassen, dass der Webserver nicht zum Sicherheits-Risiko wird und bin nicht immer nur auf die Updates von Lupus angewiesen sonder könnte mir im besten Fall selber ein Update kompilieren, wäre schon schön und auf Dauer eine sicherer Option

Mal ein Blick in die Firmwaredatei. Wie auch bei der Config-Datei ist es ein XML Header, diesmal aber mit zwei Angaben für Tarballs. Das eine sieht verdächtig nach dem Linux-Kernel aus, das andere ist das Userland als ext2 Filesystem formatiert:

$ head xt2_firmware_0.0.2.14L/XT2_lu-0.0.2.14L.bin
<?xml version="1.0" encoding="UTF-8"?>
<u>
<package>
<item offset="4096" size="3316192" md5="b71bcfb1e977d1fe02fd04db6d57f0b5" filename="/home/engin/sda2/ltib/rootfs/boot/uImage" />
<item offset="3320288" size="3602630" md5="6fcf0e4fd260c39da15ffcb891ce5c70" filename="/home/engin/sda2/ltib/rootfs/../rootfs.ext2.gz.uboot" />
</package>
</u>
'V��@uT��2������:��Linux-2.6.34��!���V����R
...

Der Kernel ist also echt schon was älter (2010, siehe http://thread.gmane.org/gmane.linux.kernel/986266), ich hoffe der hat keinen remote-exploitable-vulnerabilites. Wenn der Kernel aber schon so alt ist, dürfte das SSL vermutlich auch Heartbleed etc. noch haben, wäre zumindest nicht weiter verwunderlich. Ich habe als Reaktion erstmal wieder eingehende Verbindungen zur XT2 auf der Firewall gesperrt, alles andere wäre mir zu riskant - wundert mich nur warum man da nicht einen frischen Kernel reinkompiliert.

Ich denke jetzt ist erstmal abwarten angesagt, ob Lupus mir tatsächlich die Sourcen (und Buildskripte sowie Toolchain) zusendet. Die scheinen ja recht guten Support zu haben, sagt man.


Grüße!