Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Ticket rassemblant toutes les mises à jour des composants qui sont utilisés dans les firmwares Freebox etc. par Iliad/Free/Freebox.

Ce ticket fait suite à la fermeture de mon ticket historique :
- https://dev.freebox.fr/bugs/task/22518

A ne pas mélanger avec un autre ticket qui lui traite des oublis ou manquements sur le site floss.freebox.fr :
- https://dev.freebox.fr/bugs/task/34521

Pourriez-vous mettre à jour ksmbd/ksmbd-tools ?

- https://github.com/cifsd-team/ksmbd/releases
- https://github.com/cifsd-team/ksmbd

- https://github.com/cifsd-team/ksmbd-tools/releases
- https://github.com/cifsd-team/ksmbd-tools

cc: @mmakassikis.

@mbizon: Est-ce possible de créer des PRs pour vos patches PPP ?
- https://github.com/ppp-project/ppp

Une description et un sign-off sont demandés.

Merci.

Rappel : Dernière version 2.5.0 (2023-04-04) :
- https://dev.freebox.fr/bugs/task/33690

What's new in ppp-2.5.0.
************************

The 2.5.0 release is a major release of pppd which contains breaking 
changes for third-party plugins, a complete revamp of the build-system
and that allows for flexibility of configuring features as needed.

In Summary:
* Support for PEAP authentication by Eivind Næss and Rustam Kovhaev
* Support for loading PKCS12 certificate envelopes 
* Adoption of GNU Autoconf / Automake build environment, by Eivind Næss
  and others.
* Support for pkgconfig tool has been added by Eivind Næss.
* Bunch of fixes and cleanup to PPPoE and IPv6 support by Pali Rohár.
* Major revision to PPPD's Plugin API by Eivind Næss.
  - Defines in which describes what features was included in pppd
  - Functions now prefixed with explicit ppp_* to indicate that
    pppd functions being called.
  - Header files were renamed to better align with their features,
    and now use proper include guards
  - A pppdconf.h file is supplied to allow third-party modules to use
    the same feature defines pppd was compiled with.
  - No extern declarations of internal variable names of pppd, 
    continued use of these extern variables are considered 
    unstable.
* Lots of internal fixes and cleanups for Radius and PPPoE by Jaco Kroon
* Dropped IPX support, as Linux has dropped support in version 5.15
  for this protocol.
* Many more fixes and cleanups.
* Pppd is no longer installed setuid-root.
* New pppd options:
  - ipv6cp-noremote, ipv6cp-nosend, ipv6cp-use-remotenumber,
    ipv6-up-script, ipv6-down-script
  - -v, show-options
  - usepeerwins, ipcp-no-address, ipcp-no-addresses, nosendip
* On Linux, any baud rate can be set on a serial port provided the
  kernel serial driver supports that.

Note that if you have built and installed previous versions of this
package and you want to continue having configuration and TDB files in
/etc/ppp, you will need to use the --sysconfdir option to ./configure.

What’s new in ppp-2.4.9.

* Support for new EAP (Extensible Authentication Protocol) methods:
- Support for EAP-TLS, from Jan Just Keijser and others
- Support for EAP-MSCHAPv2, from Eivind Næss, Thomas Omerzu, Tijs Van Buggenhout and others

* New pppd options:
- chap-timeout
- chapms-strip-domain
- replacedefaultroute
- noreplacedefaultroute
- ipv6cp-accept-remote
- lcp-echo-adaptive
- ip-up-script
- ip-down-script
- ca
- capath
- cert
- key
- crl-dir
- crl
- max-tls-version
- need-peer-eap

* Fixes for CVE-2020-8597 and CVE-2015-3310.

* libpcap is now required when compiling on Linux (previously, if libpcap was not present, pppd would be compiled without packet filtering support).

* The rp-pppoe plugin has been renamed to pppoe, to distinguish it from the upstream rp-pppoe code. Its options have changed names, but the old names are kept as aliases.

* The configure script now supports cross-compilation.

* Many bug fixes and cleanups.

Afin de résoudre certains problèmes de connexions, je redemande la mise à jour de ppp 2.4.8 → 2.4.9 (2021-01-04) | 2.5.0 (2023-04-04) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps

→ https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ppp

→ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4603
→ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8597
→ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3310

→ https://github.com/paulusmack/ppp
→ https://download.samba.org/pub/ppp/

What's new in ppp-2.5.0.
************************

The 2.5.0 release is a major release of pppd which contains breaking 
changes for third-party plugins, a complete revamp of the build-system
and that allows for flexibility of configuring features as needed.

In Summary:
* Support for PEAP authentication by Eivind Næss and Rustam Kovhaev
* Support for loading PKCS12 certificate envelopes 
* Adoption of GNU Autoconf / Automake build environment, by Eivind Næss
  and others.
* Support for pkgconfig tool has been added by Eivind Næss.
* Bunch of fixes and cleanup to PPPoE and IPv6 support by Pali Rohár.
* Major revision to PPPD's Plugin API by Eivind Næss.
  - Defines in which describes what features was included in pppd
  - Functions now prefixed with explicit ppp_* to indicate that
    pppd functions being called.
  - Header files were renamed to better align with their features,
    and now use proper include guards
  - A pppdconf.h file is supplied to allow third-party modules to use
    the same feature defines pppd was compiled with.
  - No extern declarations of internal variable names of pppd, 
    continued use of these extern variables are considered 
    unstable.
* Lots of internal fixes and cleanups for Radius and PPPoE by Jaco Kroon
* Dropped IPX support, as Linux has dropped support in version 5.15
  for this protocol.
* Many more fixes and cleanups.
* Pppd is no longer installed setuid-root.
* New pppd options:
  - ipv6cp-noremote, ipv6cp-nosend, ipv6cp-use-remotenumber,
    ipv6-up-script, ipv6-down-script
  - -v, show-options
  - usepeerwins, ipcp-no-address, ipcp-no-addresses, nosendip
* On Linux, any baud rate can be set on a serial port provided the
  kernel serial driver supports that.

Note that if you have built and installed previous versions of this
package and you want to continue having configuration and TDB files in
/etc/ppp, you will need to use the --sysconfdir option to ./configure.

What’s new in ppp-2.4.9.

* Support for new EAP (Extensible Authentication Protocol) methods:
- Support for EAP-TLS, from Jan Just Keijser and others
- Support for EAP-MSCHAPv2, from Eivind Næss, Thomas Omerzu, Tijs Van Buggenhout and others

* New pppd options:
- chap-timeout
- chapms-strip-domain
- replacedefaultroute
- noreplacedefaultroute
- ipv6cp-accept-remote
- lcp-echo-adaptive
- ip-up-script
- ip-down-script
- ca
- capath
- cert
- key
- crl-dir
- crl
- max-tls-version
- need-peer-eap

* Fixes for CVE-2020-8597 and CVE-2015-3310.

* libpcap is now required when compiling on Linux (previously, if libpcap was not present, pppd would be compiled without packet filtering support).

* The rp-pppoe plugin has been renamed to pppoe, to distinguish it from the upstream rp-pppoe code. Its options have changed names, but the old names are kept as aliases.

* The configure script now supports cross-compilation.

* Many bug fixes and cleanups.

Pour info, la nouvelle solution supporte toutes les versions du protocole CIFS/SMBv1/SMBv2/SMBv3 mais sans le support imprimante USB connectée sur le Server.

En activant SMBv2, cela active uniquement SMBv2 et SMBv3

Note : SMBv3 non précisé dans Freebox OS, je le rappelle.

@mmakassikis a uniquement autorisé SMBv2 et SMBv3.

C’est pour cela que je demande le choix du protocole dans Freebox OS.

Commentaire ici : https://dev.freebox.fr/bugs/task/29444#comment151899

Exemples de cas : :)
- Cas 1 : SMBv1 
- Cas 2 : SMBv2 
- Cas 3 : SMBv3 
- Cas 4 : SMBv1 + SMBv2 
- Cas 5 : SMBv1 + SMBv2 + SMBv3 
- Cas 6 : SMBv1 + SMBv3 
- Cas 7 : SMBv2 + SMBv3 
- Cas 8 : Samba 3.0.37 avec SMBv1 pour le support imprimante USB connectée sur le Server

Cases 1 à 7 : Activation du nouveau code
Case 8 : Activation de l'ancien code Les deux ne peuvent pas être démarrés en même temps.

Actuellement nous sommes, si SMBv1 ne fonctionne pas, dans le cas 7.

Pourriez-vous ajouter “Blocage du protocole SMTP sortant” dans Freebox OS ?

Freebox Server :
- Revolution
- Mini 4K
- Delta
- One
- Pop
- Ultra

Ce réglage est absent.

Merci par avance.

Afin de résoudre certains problèmes de fichiers distants (AFP/AppleShare) sur certains Apple Mac, je demande la mise à jour de netatalk 3.1.12 (2018-12-20) → 4.2.2 (2025-04-27) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps.

- https://netatalk.sourceforge.io/
- https://github.com/Netatalk/netatalk/
- https://github.com/Netatalk/netatalk/releases
- https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=netatalk

Bonjour à toute l’équipe Freebox,

Je viens de me rendre compte que https://floss.freebox.fr/ n’est toujours pas à jour :/

Pourriez-vous faire une mise à jour ?

Car ceci est très réglementaire.

Je vous remercie d’avance.

Afin de résoudre certains problèmes d’adressage/routage etc (IPv4/IPv6), de bridge et bien plus, je demande la mise à jour de iproute2 ?

iproute2 6.14.0 (2025-03-24) :
- https://wiki.linuxfoundation.org/networking/iproute2
- https://mirrors.edge.kernel.org/pub/linux/utils/net/iproute2/
- https://git.kernel.org/pub/scm/network/iproute2/iproute2.git
- https://github.com/iproute2/iproute2
- https://github.com/iproute2/iproute2/tags

Afin de résoudre certains problèmes d’adressage/routage etc. (IPv4/IPv6), de bridge et bien plus, je redemande la mise à jour de iproute2, actuellement, dans Freebox OS 4.9.1 : 6.6.0 (2023-11-04).

- https://wiki.linuxfoundation.org/networking/iproute2
- https://mirrors.edge.kernel.org/pub/linux/utils/net/iproute2/
- https://git.kernel.org/pub/scm/network/iproute2/iproute2.git
- https://github.com/iproute2/iproute2
- https://github.com/iproute2/iproute2/tags

Note importante : bridge-utils a été intégré dans iproute2.

Les Freebox ont seulement la 1.5 de 2011 mais il existe une version 1.7.1 (2021-03-22) :
→ https://mirrors.edge.kernel.org/pub/linux/utils/net/bridge-utils/

Je pense qu’il est temps de supprimer bridge-utils 1.5 (pas à jour) des Freebox Server.

Les fonctions ont été intégrées dans iproute2.

Merci d’avance.

Type de box : Freebox Mini 4K Server

Pour commencer, lundi matin, aucun problème : appel émis fonctionnel.

Ce problème n’est pas lié au nouveau firmware 4.9.0, j’ai constaté le problème avec une ligne et un firmware très ancien (avant de faire faire la MAJ), la MAJ n’a pas résolu pas le problème.
- Téléphone (base) branché en filaire sur la box, réception OK, émission NOK, occupé
- Téléphone simple branché en filaire sur la box, réception OK, émission NOK, occupé

Tests croisés réalisés, sur une autre box de même type, câble téléphonique identique : aucun problème, appel émis fonctionnel.

La différence entre les deux, une ligne fibre (problème constaté ici), et une ligne VDSL (fonctionnelle, aucun problème constaté).

Précision : Les combinés et la base sont liés entre eux sans passer par la fonction DECT des Freebox Server.

Note: Il y a un ticket semblable avec des combinés connectés en DECT et une Freebox Revolution Server ici :
- https://dev.freebox.fr/bugs/task/40158

Afin de résoudre certains problèmes de Wi-Fi, je demande la mise à jour de iw 5.4 → du récent.

A l’heure actuelle :
- 5.9 (2020-10-02)
- voir même une version GIT plus récente

Source: https://git.kernel.org/pub/scm/linux/kernel/git/jberg/iw.git

Cela fait suite aux précédentes demandes non réalisées.

Merci d’avance.

La version de Linux IPv6 Router Advertisement Daemon (radvd) 2.19 est sortie (2020-09-23) :
- https://radvd.litech.org/
- https://github.com/radvd-project/radvd

Pourriez-vous mettre à jour libusb et libusb-compat afin de bénéficier d’une meilleure compatibilité avec les équipements USB ?

Il y a beaucoup de tickets parlant d’incompatibilité (disque dur par exemple).

Website : https://libusb.info/

Organisation GitHub : https://github.com/libusb

Sourcecodes :
- https://github.com/libusb/libusb
- https://github.com/libusb/libusb/tags
- https://github.com/libusb/libusb-compat-0.1
- https://github.com/libusb/libusb-compat-0.1/tags

Pourriez-vous mettre à jour CUPS vers 2.4.4 (2023-06-06) afin d’avoir les améliorations, corrections et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps.
- https://github.com/OpenPrinting/cups/releases
- https://github.com/OpenPrinting/cups/tags
- https://github.com/OpenPrinting/cups
- https://github.com/OpenPrinting

Le projet n’est plus géré par Apple depuis le départ de son fondateur.
La dernière version de CUPS gérée par Apple est la 2.3.3 (2020-04-24).

Pourriez-vous mettre à jour tcpdump 4.9.2 → 4.99.4 (stable) (2023-04-07)
- https://www.tcpdump.org/

Il y a des bugs résolus depuis la 4.9.2 (beaucoup de CVEs) :
→ https://www.tcpdump.org/tcpdump-changes.txt

→ https://www.cvedetails.com/vulnerability-list/vendor_id-6197/product_id-10494/version_id-230114/Tcpdump-Tcpdump-4.9.2.html

Au 24 août 2024,

Pourriez-vous mettre à jour → 3.3.1 (2024-06-04), 3.2.2 (2024-06-04), 3.1.6 (2024-06-04), 3.0.14 (2024-06-04) afin de corriger des bugs et failles (CVEs).

OpenSSL 1.1.1* n'est plus maintenu depuis le mois de septembre 2023.
- https://openssl-library.org/post/2023-03-28-1.1.1-eol/

Fin de vie suivante :
- 3.0.x sera corrigé jusqu'au 7 septembre 2026 (LTS)
- 3.1.x sera corrigé jusqu'au 14 mars 2025
- 3.2.x sera corrigé jusqu'au 23 novembre 2025
- 3.3.x sera corrigé jusqu'au 10 avril 2026

Liens :
- https://openssl-library.org/news/openssl-3.0-notes/index.html
- https://openssl-library.org/news/openssl-3.1-notes/index.html
- https://openssl-library.org/news/openssl-3.2-notes/index.html
- https://openssl-library.org/news/openssl-3.3-notes/index.html
- https://www.cvedetails.com/vulnerability-list/vendor_id-217/product_id-383/Openssl-Openssl.html
- https://www.openssl.org/

Bonjour l’équipe,

Est-ce possible de mettre à jour les sources ?
- https://floss.freebox.fr/

Actuellement, par exemple, nous sommes en Freebox OS 4.8.x.

Actuellement sur floss.freebox.fr :

Freebox ADSL / Alice ADSL 1.5.12
Freebox Optical v1 1.1.1
Freebox Optical v2 1.5.13
Freebox HD / Alice HD 1.6.10 1.6.11 1.6.12 1.6.13 1.6.14
Freebox Server 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.1.9 1.1.9.1 1.1.10 1.1.11 1.1.12 2.0.0 2.0.1 2.0.2 2.0.3 2.0.4 2.0.5 2.0.6 2.0.7 2.1.0 2.1.1 2.1.2 3.0.0 3.0.1 3.0.2 3.0.3 3.1.0 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.2.0 4.2.10 4.3.0
Freebox Server Delta 4.1.0 4.2.10 4.3.0
Freebox Server POP 4.2.10 4.3.0
Freebox Player Revolution 1.0.4.2 1.1.0 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.7.1 1.2.0 1.2.1 1.2.2 1.2.3 1.2.4 1.2.4.1 1.2.5 1.2.6 1.2.7 1.2.8 1.2.14 1.2.15 1.2.16 1.2.18 1.2.19 1.3.0 1.3.1 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11 1.3.15 1.3.17 1.3.21 1.3.29.1
Freebox Player Delta/One 1.0.2 1.0.6 1.0.7 1.0.8 1.0.14
Répéteur Wifi Freebox 1.5.13
Freebox Server Pro 1.4

Il manque également, une boîte e-mail afin de demander les sources de façon numérique, sans à devoir payer 5 euros et éviter l’envoi d’un support par voie postale au 21ème siècle.

Je vous remercie d’avance.

Bonsoir l'équipe,

Merci de transmettre au bon service, ce problème historique n'est toujours pas résolu, ça ne fonctionne pas en HTTPS, uniquement en HTTP et les données sont envoyées en clair !

Liens qui devraient fonctionner :
- https://ftpperso.free.fr/
- https://chez.com/
- https://www.chez.com/

Lien qui fonctionne mais les données (identifiant/mot de passe) sont envoyées en clair :
- http://ftpperso.free.fr/
- http://chez.com/
- http://www.chez.com/

Note : Je préconise la mise en place d'une redirection www.chez.com vers chez.com.

Il devient urgent de résoudre ce problème de sécurité rapidement…

Le problème est identique pour le FTP (port 21), les informations sont envoyées en clair car il n'y a pas de support de TLS.

Lié à cet ancien ticket :
- https://dev.freebox.fr/bugs/task/27660

Est-ce possible de corriger les failles de sécurité de bzip2?

bzip2 1.0.8 (2019-07-13) avec plusieurs corrections de failles
- https://www.sourceware.org/bzip2/
- https://sourceware.org/pub/bzip2/?C=M;O=D
- https://www.cvedetails.com/vulnerability-list/vendor_id-1198/product_id-2068/version_id-557742/Bzip-Bzip2-1.0.6.html

C’est officiel, Microsoft a libéré exFAT: https://cloudblogs.microsoft.com/opensource/2019/08/28/exfat-linux-kernel/

Bientôt un meilleur support dans les Freebox ?

exfatprogs source:
- https://github.com/exfatprogs/exfatprogs
- https://github.com/exfatprogs/exfatprogs/releases
- https://github.com/exfatprogs/exfatprogs/tags

Pourriez-vous mettre à jour OpenVPN en 2.6.6 (2023-08-14) et ainsi corriger la faille de sécurité actuellement présente dans la version actuellement utilisée : OpenVPN 2.5.3, version du 17 juin 2021, déjà plus de 2 ans et 2 mois ?

Liens :
- https://www.cvedetails.com/vulnerability-list/vendor_id-3278/product_id-5768/version_id-1306242/Openvpn-Openvpn-2.5.3.html
- https://github.com/OpenVPN/openvpn
- https://github.com/OpenVPN/openvpn/tags
- http://openvpn.net/
- https://openvpn.net/community-downloads/

J’en profite : J’avais déjà demandé la mise à jour d’OpenVPN depuis des mois et des mois dans ce ticket : https://dev.freebox.fr/bugs/task/34522
- 2021-10-24
- 2022-11-01
- 2023-06-07
- aujourd’hui

Pour la sécurité de tous les clients ?

Bonjour l’équipe,

Est-ce possible d’ajouter les sources suite au lancement de la Freebox Ultra ?
- https://floss.freebox.fr/

Pourriez-vous également mettre à jour toutes les autres sources s’il vous plaît ?

Actuellement, par exemple, nous sommes à Freebox OS 4.7.8.

Actuellement sur floss.freebox.fr :

Freebox ADSL / Alice ADSL 1.5.12
Freebox Optical v1 1.1.1
Freebox Optical v2 1.5.13
Freebox HD / Alice HD 1.6.10 1.6.11 1.6.12 1.6.13 1.6.14
Freebox Server 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.8 1.1.9 1.1.9.1 1.1.10 1.1.11 1.1.12 2.0.0 2.0.1 2.0.2 2.0.3 2.0.4 2.0.5 2.0.6 2.0.7 2.1.0 2.1.1 2.1.2 3.0.0 3.0.1 3.0.2 3.0.3 3.1.0 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.2.0 4.2.10 4.3.0
Freebox Server Delta 4.1.0 4.2.10 4.3.0
Freebox Server POP 4.2.10 4.3.0
Freebox Player Revolution 1.0.4.2 1.1.0 1.1.1 1.1.2 1.1.3 1.1.4 1.1.5 1.1.6 1.1.7 1.1.7.1 1.2.0 1.2.1 1.2.2 1.2.3 1.2.4 1.2.4.1 1.2.5 1.2.6 1.2.7 1.2.8 1.2.14 1.2.15 1.2.16 1.2.18 1.2.19 1.3.0 1.3.1 1.3.3 1.3.4 1.3.5 1.3.6 1.3.7 1.3.8 1.3.9 1.3.10 1.3.11 1.3.15 1.3.17 1.3.21 1.3.29.1
Freebox Player Delta/One 1.0.2 1.0.6 1.0.7 1.0.8 1.0.14
Répéteur Wifi Freebox 1.5.13
Freebox Server Pro 1.4

Il manque également, une boîte e-mail afin de demander les sources de façon numérique, sans à devoir payer 5 euros et éviter l’envoi d’un support par voie postale au 21ème siècle.

Je vous remercie d’avance.

Il manque la possibilité d’avoir un SSID uniquement dans un tunnel VPN (sans réseau local / sans IP publique de l’abonnement).

Bien sûr plusieurs SSID, avec chacun dans un tunnel VPN différent aussi.

Deux SSID peuvent être dans le même tunnel VPN par la même occasion.

Précision, cela n’est pas le Wi-Fi invité car le Wi-Fi invité est en lien avec l’IP publique de l’abonnement.

Par ailleurs, cela peut fonctionner également avec ou sans une borne Wi-Fi Free.

PS : Il est bien entendu possible d’exclure les Freebox Player de cette possibilité.

Lorsque l’on fait une redirection de ports vers une machine qui a une IPv4 automatique via le serveur DHCP de la Freebox, puis que l’on ajoute un bail IPv4 statique à cette même machine, puis que l’on fasse le reboot de la machine ou la désactivation puis réactivation de la carte réseau (pour prise en compte), la redirection de port ne fonctionne pas.

Il faut supprimer la redirection de ports que nous venons de créer puis la refaire pour qu’elle fonctionne.

Par contre, je n’ai pas refait le test avec un nouveau changement du bail IPv4 statique de la dite machine.