Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

Je pense qu’il est temps de supprimer Wireless Tools “wireless_tools” 29 (obsolète depuis 2007-09-18) des Freebox Server.

Pour une question de sécurité et de consommation du processeur.

Il a été à ma connaissance remplacé par iw.
- https://wireless.wiki.kernel.org/en/users/documentation/iw/replace-iwconfig

- https://wiki.archlinux.org/index.php/Network_configuration/Wireless#iw_and_wireless_tools_comparison

Merci d’avance.

Liens supplémentaires :
- https://wireless.wiki.kernel.org/en/users/documentation/iw

- https://hewlettpackard.github.io/wireless-tools/Tools.html

A l’heure actuelle, il n’est toujours pas possible de désactiver le “freewifi_secure”.

Après tant d’années, pourriez-vous enfin ajouter l’option ?

Merci d’avance.

Après plusieurs signalements sur ce bugtracker, j’ai vérifié plusieurs Freebox Server.

Et il y a bien un souci, dans Minicom :
Écran tactile → Connexion → Etat

L’adresse IP affichée est : 10.x.x.x

Il serait logique de voir : l’adresse IPv6 et l’adresse IPv4 avec ses ports ou l’IPv4 full-stack.

Je suppose que l’adresse IPv4 “10.x.x.x” est celle du tunnel IPv4.

Merci de corriger ceci.

Problème historique sur ce bugtracker et qui n’est toujours pas résolu :

Completely unexpected exception: Address in mailbox given [CerBerE] does not comply with RFC 2822, 3.6.2.
This should never happend, please inform Flyspray Developers

Le problème est lié à :
Thierry S. (CerBerE) : https://dev.freebox.fr/bugs/user/9322

Bonjour l’équipe,

Suite à la sortie de la nouvelle Freebox, la Freebox Ultra le 30 janvier 2024.

Est-ce possible d’ajouter la Freebox Ultra dans ce bugtracker à 2 endroits :
- “Système d’exploitation” - le projet : “Freebox Server (Pop V8 / Delta V7 / Revolution V6 / Server Mini 4K)”

Une section “Répéteur Wifi V2” peut-être ?

Je vous remercie d’avance.

Il y a un problème de navigation IPv6, aucun DNS n’est transmis par le Server aux machines ayant juste l’IPv6 (pas d’IPv4).

Testé avec et sans le pare-feu IPv6 : même constat.

ping google.fr ne fonctionne pas
Par contre le ping vers l’adresse IPv6 fonctionne : ping 2a00:1450:4007:808::2003.

Note : Si l’IPv4 est actif, le ping va bien sur l’IPv4 de google.fr.

Solution temporaire : Modifier la carte réseau en ajoutant les DNS manuellement, par exemple ceux de Google :
- 2001:4860:4860::8888
- 2001:4860:4860::8844

Après le ping vers google.fr fonctionne correctement, nous pouvons surfer.

Par ailleurs, j’ai testé également l’ajout de ces même DNS dans “Forcer l’utilisateur de serveurs DNS IPv6 personnalisés”, ça ne fonctionne pas.

Pourriez-vous corriger ça rapidement ?

Merci par avance.

Ce ticket fait suite à la fermeture de celui-ci :
- https://dev.freebox.fr/bugs/task/31498#comment134763

Il est nécessaire d’informer les utilisateurs/clients ayant une Freebox.

Pourriez-vous ajouter (comme ce qui a été fait pour les équipements Android et la nécessité d’avoir DHCPv6 désactivé), par exemple :

Toutes les machines avec Microsoft Windows < 10.1703 ne fonctionnent pas sans DHCPv6 mais il est également possible de contourner ceci en ajoutant les DNS IPv6 manuellement sur votre carte réseau.

→ Puis vous ajouter les DNS IPv6 de Free.

Merci d’avance.

Lors du changement de l’adresse IPv4 du Freebox Server (Revolution, Mini 4K, Delta, One, Pop), le Server ne met pas à jour son serveur DNS :
- Freebox OS → Paramètres de la Freebox → Réseau local → Mode Réseau → Adresse IP du Freebox Server : XXX.XXX.XXX.XXX → OK

La valeur ici n’est pas changée :
- Freebox OS → Paramètres de la Freebox → Réseau local → DHCP → Serveur DNS “1”

Après tant d’année, il y a toujours un problème de sécurité et de confidentialité.

Il manque toujours la possibilité d’avoir tout le LAN uniquement dans un tunnel VPN (sans IP publique de l’abonnement).

Il est bien entendu possible d’exclure les Freebox Player de cette possibilité, étant donné que vous savez détecter les équipements connectés sur le réseau local des Freebox Server et qu’une partie des Freebox Player utilisent le VLAN100 par exemple.

Pourriez-vous mettre à jour CUPS → 2.3.1 (2019-12-13) afin d’avoir les améliorations, corrections et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps.

→ https://www.cvedetails.com/vulnerability-list/vendor_id-3886/Cups.html

→ https://www.cvedetails.com/vulnerability-list/vendor_id-49/product_id-14145/Apple-Cups.html

→ https://www.cups.org/

Afin de résoudre certains problèmes d’adressage/routage etc (IPv4/IPv6), de bridge et bien plus, je redemande la mise à jour de iproute2 4.2.0 (2015-08-31) mais cette fois en 5.4.0 (2019-11-25).

→ https://mirrors.edge.kernel.org/pub/linux/utils/net/iproute2/

→ https://git.kernel.org/pub/scm/network/iproute2/iproute2.git

Note importante: bridge-utils a été intégré dans iproute2, c’est pour cela que la dernière version 1.6 date de 2016.
Les Freebox ont seulement la 1.5 de 2011.

Déjà signalé dans le ticket indiquant que le site floss.free.fr n’est pas à jour avec la version des firmwares des Freebox
- https://dev.freebox.fr/bugs/task/22518 (j’avais aussi indiqué que le code n’était pas à jour non plus, failles de sécurité)

Dans un ticket qui a été clôturé sans raison:
- https://dev.freebox.fr/bugs/task/25765

Pourriez-vous enfin ajouter dans Freebox OS :
- un vrai pare-feu (Firewall) IPv4 qui est actuellement totalement absent
- un vrai pare-feu (Firewall) IPv6 qui est actuellement juste une case (activation et désactivation, aucun paramétrage)

C’est la base pour l’ensemble des Freebox Server.

OpenSSL 1.0.2 en fin de vie (EOL) au 31 décembre 2019, ne sera plus supporté comme la branche 1.1.0 depuis le 11 septembre 2019, etc.
La dernière version actuelle est la 1.0.2t (1.0.2q → 1.0.2r → 1.0.2s → 1.0.2t) mais suite à une nouvelle faille récente, il va avoir la 1.0.2u.

Au 8 décembre 2019, je redemande donc de mettre à jour openssl (les dernières versions stables) :
- 1.0.2q (2018-11-20) → 1.0.2t (2019-09-10) (en fin de vie à la fin de ce mois de décembre 2019 donc peu d'intérêt)
- 1.1.0l (2019-09-10) → déjà en fin de vie (depuis le 11 septembre 2019) donc peu d'intérêt
- 1.1.1d (2019-09-10)

Il va avoir rapidement :
- 1.0.2r (en fin de vie à la fin de ce mois donc peu d'intérêt)
- 1.1.1e

Il est préférable d’aller en 1.1.1 pour bénéficier du TLS 1.3.
Avant de partir sur le futur OpenSSL 3.0.0.

→ https://www.openssl.org/blog/blog/2019/11/07/3.0-update/

→ https://www.openssl.org/policies/releasestrat.html

→ https://www.openssl.org/news/vulnerabilities.html

→ https://www.cvedetails.com/vulnerability-list/vendor_id-217/product_id-383/Openssl-Openssl.html

→ https://www.openssl.org/

Déjà signalé dans le ticket indiquant que le site floss.free.fr n’est pas à jour avec la version des firmwares des Freebox
- https://dev.freebox.fr/bugs/task/22518 (j’avais aussi indiqué que le code n’était pas à jour non plus, failles de sécurité)

Dans un ticket qui a été clôturé sans raison:
- https://dev.freebox.fr/bugs/task/25773

Nouvelle faille:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14899

- https://seclists.org/oss-sec/2019/q4/122

- https://cyberveille-sante.gouv.fr/cyberveille/1534-detournement-des-sessions-tcp-dans-les-tunnels-vpn-2019-12-06

Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi sur d’autres technologies VPN.

Pourriez-vous mettre à jour toute la partie VPN, une nouvelle faille vient de sortir : CVE-2019-14899 !
Bien sûr pas la seul à ce jour.

Actuellement il y a : OpenVPN 2.3.7 (2015-06-08) + strongSwan 5.3.5 (2015-11-26) + ipsec-tools 0.8.1 (2013-01-08, projet abandonné)...

Je le demande depuis des années.
- https://dev.freebox.fr/bugs/task/25817

- https://dev.freebox.fr/bugs/task/22563

- https://dev.freebox.fr/bugs/task/22144

- https://dev.freebox.fr/bugs/task/21826

- Rappel : ipsec-tools http://ipsec-tools.sourceforge.net/ : ipsec-tools has security issues, and you should not use it. Please switch to a secure alternative!

Déjà signalé dans le ticket indiquant que le site floss.free.fr n’est pas à jour avec la version des firmwares des Freebox
- https://dev.freebox.fr/bugs/task/22518 (j’avais aussi indiqué que le code n’était pas à jour non plus, failles de sécurité)

Afin de résoudre certains problèmes de fichiers distants (AFP/AppleShare), je redemande la mise à jour de netatalk 3.1.8 → 3.1.12 (2018-12-20) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps

→ http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=netatalk

→ http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1160

→ http://netatalk.sourceforge.net/

→ https://dev.freebox.fr/bugs/task/25771

Déjà signalé dans https://dev.freebox.fr/bugs/task/22518 (avec d’autres demandes de maj + corrections de noms de softs/libs)

Afin de résoudre certains problèmes d’IPv6, je demande la mise à jour de radvd 1.8.5 (2012-01-26) → 1.15 (2014-07-21) → 2.18 (2019-02-26) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps

Bien sûr la dernière version est préférable

→ https://www.cvedetails.com/vulnerability-list/vendor_id-13131/product_id-27101/Litech-Router-Advertisement-Daemon.html

→ http://www.litech.org/radvd/

- https://github.com/reubenhwk/radvd

→ https://dev.freebox.fr/bugs/task/25775

Déjà signalé dans https://dev.freebox.fr/bugs/task/22518 (avec d’autres demandes de maj + corrections de noms de softs/libs)

Afin de résoudre certains problèmes de WiFi (corrections, améliorations), je demande la mise à jour de hostapd git-20171211 → 2.9 (2019-08-07) et ainsi corriger de failles de sécurité (vulnérabilités) nommées CVEs en même temps ?

→ https://www.cvedetails.com/vulnerability-list/vendor_id-12005/product_id-22495/W1.fi-Hostapd.html

→ http://w1.fi/hostapd/

→ http://w1.fi/cgit/hostap/

→ https://dev.freebox.fr/bugs/task/25755

Déjà signalé dans https://dev.freebox.fr/bugs/task/22518 (avec d’autres demandes de maj + corrections de noms de softs/libs)

Est-ce possible de mettre à jour LAVFilters ?
Cela n’a pas été fait depuis des années.
- https://github.com/Nevcairiel/LAVFilters

Pour les modèles suivants:
- Freebox Revolution (Server/Player)
- Freebox Mini 4K (Server/Player)
- Freebox One
- Freebox Delta/Devialet

Je me permets de faire un ticket car “Freebox Server V8 (Pop)” est manquante dans la section “Système d’exploitation” de ce projet “Freebox Server (Pop V8/ Delta V7 / Revolution V6 / Server Mini 4K)”.

Il manque toujours l’option de désactivation complète dans Freebox OS (précision : pas temporaire jusqu’au reboot) de la Femtocell (Freebox Revolution + Freebox Mini 4K).

Après tant d’années, pourriez-vous enfin l’ajouter dans Freebox OS ?

Pour la sécurité et la santé de toutes et à tous...

PS : Je ne vois pas le problème car dorénavant la Femtocell n’est plus incluse dans les autres générations de Freebox (V7/V8).

Suite à la mise à jour vers 4.2.0 des Freebox Revolution/Mini 4K/One/Delta, il est impossible d’aller depuis l’extérieur sur l’interface Freebox OS:
- http://IPv4fullstackPUBLIQUE:PORT/

- https://IPv4fullstackPUBLIQUE:PORT/

Avant la mise à jour, aucun problème.

PS : Impossible de tester en interne, étant à distance !