Sicherheitsupdates für den Autoupdater

Wir haben seit einiger Zeit kein allgemeines Update für die Aachner Freifunk Software veröffentlicht, da wir an einer größeren Umstellung arbeiten findet jedoch im Hintergrund einiges an Arbeiten statt.

Bei korrekter Funktion, ist es in Aachen erforderlich, dass vier unterschiedliche, persönliche Signaturen die Unbedenklichkeit einer neuen Version unserer Software bestätigen, damit diese von Geräten mit der Stable Software akzeptiert wird. Nun wurde jedoch von den Entwicklern der Freifunk Software eine schwerwiegende Lücke des Autoupdaters entdeckt. Der Entdeckte Fehler CVE-2022-21449 erlaubt es ganz ohne gültige Signaturen Updates zu verteilen.

Auf den bundesweiten Kommunikationskanälen der Freifunk Entwickler wurde einige Tage im Voraus angekündigt, dass es am 05.05.2022 ein Patch für eine kritische Lücke veröffentlicht wird, dadurch konnten wir und andere Comminites schnell reagieren und direkt am selben Tag mit dem Verteilen von Updates beginnen.

Die Aachener Versionen 2019.1.3-1-stable 2019.1.3-1-beta 2019.1.3-1~exp20220505 und neuer enthalten den Patch und sind mittlerweile an alle Knoten die ein Autoupdate erhalten können verteilt.