Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)

  • État Fermée
  • Pourcentage achevé
    100%
  • Type Anomalie
  • Catégorie Freebox OS
  • Assignée à Personne
  • Système d'exploitation Tous
  • Sévérité Critique
  • Priorité Très Basse
  • Basée sur la version 4.0.5
  • Due pour la version Non décidée
  • Échéance Non décidée
  • Votes 1
    • pmd (11/12/2019)
  • Privée
Concerne le projet: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Ouverte par Neustradamus_ - 08/12/2019
Dernière modification par Thibaut Freebox - 13/07/2020

FS#29358 - Faille VPN -> CVE-2019-14899: Inferring and hijacking VPN-tunneled TCP connections

Nouvelle faille:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-14899

- https://seclists.org/oss-sec/2019/q4/122

- https://cyberveille-sante.gouv.fr/cyberveille/1534-detournement-des-sessions-tcp-dans-les-tunnels-vpn-2019-12-06

Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi sur d’autres technologies VPN.

Pourriez-vous mettre à jour toute la partie VPN, une nouvelle faille vient de sortir : CVE-2019-14899 !
Bien sûr pas la seul à ce jour.

Actuellement il y a : OpenVPN 2.3.7 (2015-06-08) + strongSwan 5.3.5 (2015-11-26) + ipsec-tools 0.8.1 (2013-01-08, projet abandonné)...

Je le demande depuis des années.
- https://dev.freebox.fr/bugs/task/25817

- https://dev.freebox.fr/bugs/task/22563

- https://dev.freebox.fr/bugs/task/22144

- https://dev.freebox.fr/bugs/task/21826

- Rappel : ipsec-tools http://ipsec-tools.sourceforge.net/ : ipsec-tools has security issues, and you should not use it. Please switch to a secure alternative!

Déjà signalé dans le ticket indiquant que le site floss.free.fr n’est pas à jour avec la version des firmwares des Freebox
- https://dev.freebox.fr/bugs/task/22518 (j’avais aussi indiqué que le code n’était pas à jour non plus, failles de sécurité)

Fermée par  Thibaut Freebox
13.07.2020 14:42
Raison de la fermeture :  Evolution intégrée
Wozzeck a commenté le 08.12.2019 21:54

Vous aurez beau le demander 2 milliards de fois .... ils ne feront rien, ils n'écoutent pas, ne répondent pas

On sait que les box tournent toutes sous Linux (voir Android pour certains players Android étant désormais devenu bien pire que son parent Linux et sans doute
pire que Windows vu la popularité du système)

Ceux qui bidouillent un peu sérieusement Linux savent très bien que Linux n'est pas le système vendus par des fanatiques qui prétendent que ce système est vacciné contre toute risque passé, présent et futurs.

Comme tout système Linux et en réalité plus souvent son écosystème connait des failles de sécurité qui n'ont rien de bien graves dès lors que les mises à jour sont effectuées rapidement.

Il est absolument frappant de constater le silence ASSOURDISSANT de tous les opérateurs :

- Par rapport au nombre de failles découvertes, le nombre de mises à jour proposées par les opérateurs est incroyablement bas, et encore Free ce n'est pas le pire en la matière

- Aucun moyen d'alerte de mise à jour n'a été mis en place PAR AUCUN DES 4 GUGUS qui se payent notre tête depuis des années.
J'ai ouvert un fil ou je demande à Free de mettre en place un système d'alerte de présence de mises à jour à travers un voyant sur le Freebox avec la possiblité de choisir une stratégie de mise à jour : automatique et forcée, manuelle etc ... on ne peut oas exiger des gens d'aller tous consulter Universfreebox.

- Aberration.... un utilisateur peut très bien faire tourner sa Freebox un an voir plus sans jamais faire de mise à jour.
Qauand on parle de failles de sécurité... ben on doit rendre certaines mises à jour obligatoires en rendant obligatoire un reboot sous peine de coupure

Je pense qu'il faudra un jour que des utilisateurs se regroupent en association et mettent en procès nos 4 FAIs qui se paient notre tête.

Qu'attendent-ils ? La révélation d'une attaque gigantesque pour agir.... quand il sera trop tard.

Quels sont les opérateurs qui ont mis en place le double facteur d'authentification pour protéger et récupérer facilement (donc ça déchargerait le support) les comptes mails compromis, les comptes en ligne des opérateurs ?

OVH le fait. J'ai un petit nom de domaine que je paye quelques euros par an.... ben mon compte OVH propose une protection par double facteur d'authentifcation

Ca fait belle lurette que je n'utilise plus les emails de Free, ou des autres opérateurs agacé par ce laxisme qui me désole.
Mot de passe courts très courts là où sur un compte Gmail je peut assigner une chaine de 100 caractère aléatoires en guise de mot de passe.
Ajoutons à cela le double facteur d'authentification.... mes comptes Gmail sont quasi inattaquables, personnes ne m'a jamais usurpé un seul de ùes comptes en plus de 30 ans.

Si les serveurs Gmails sont attaqués et les mots de passe sont récupérés.... il n'y aucune chance que mon compte soit attaqué.
En effet, les mots de passes aujourdh'ui ne sont plus stockés en clairs, mais sous forme de hash.... avec un mot de passe de 100 caractères aléatoires... les hackeurs doivent attaquer en force brute pour un résultat qu'ils n'auront pas avant une cinquantaine d'année.... donc les hackeurs travaillent exclusivement en attaque oar dictionnaire et laissent tomber les comptes où ça prend trop de temps

Ca sert à ça d'avoir un mot de passe long.... mais ça nos opérateurs ne veulent pas le comprendre

Surprenant que certains grand médis geekeux devant l'éternel n''aient pas ouvert le débat sur la place publique.
Pourquoi l'écosystème Linux impose tant de mises à jour alors que nos opérateurs sont silencieux ?

Effet Tchernobyle ? Le nuage radio actif qui évite la France ?

Fanfwe a commenté le 09.12.2019 22:41

Rien ne dit que la vulnerabilité n'affecte le firmware de la Freebox. Peut-être que le reverse path filtering est activé en mode strict, auquel cas pas de souci. Avez vous testé que la box est effectivement vulnérable à cette CVE avant de créer le ticket ?

talvins a commenté le 12.12.2019 10:39

Me...Me... mettre à jour !!!?? Tu rigoles ou quoi ? :D La bonne blague ! Principe des freebox : sortir un truc buggé et incomplet et laisser 7 ans dans l'espoir les geeks.
Non, franchement, prends-toi un raspi ou un odroid et arrête de croire que Free va révolutionner quoique ce soit.
C'est dommage parce qu'ils doivent avoir une équipe qui a les idées (VM, 4G, NAS, VPN) et celle qui les réalise (CPU de merde pour les VM, 4G sans antenne ext., partie VPN lamentable...) + bonus, l'équipe économie qui enlève l'horloge parce que ça abime les leds (qu'on ne voit donc jamais tellement osef de voir l'heure en passant la main devant la FB, worst idea ever).
On revit littéralement quand on fait tourner un micro PC sous linux et on se rend compte que non seulement ça fait 1000 fois ce que fait une FB, mais en beaucoup mieux, efficace et avec la terrible difficulté de faire un - par exemple - apt update && apt upgrade.

un truc que vous ne savez peut etre pas sur les OS, mais il existe des patchs, et ceux de la freebox sont terrible, meme si ancienne version, ils sont patches comme les nouvelles releases

vous avez qu'a consulter les rc

Les RC ?

release candidate

Je ne comprends pas, le problème est que ce n'est pas du tout à jour dans les Freebox :
"Actuellement il y a : OpenVPN 2.3.7 (2015-06-08) + strongSwan 5.3.5 (2015-11-26) + ipsec-tools 0.8.1 (2013-01-08, projet abandonné)..."

Chargement...

Activer les raccourcis clavier

Liste des tâches

Détails de la tâche

Édition de la tâche