Gluon-advisory: Passwordless SSH access when gluon-authorized-keys was used without gluon-setup-mode

Security advisory

Gluon mit eingebackenen ssh-keys und OHNE Setup/Configmode ist ohne passwort per ssh zugänglich
Betroffen sind die Gluon-Versionen 2015 bis 2018/2019/master “Heute”.

Es handelt sich aber vermutlich um ein eher seltens Szenario, da die meisten auch bei “eingebackenen ssh-keys” und selbst bei ‘skipconfigmode=yes’ den Configmode (das Websetup) trotzdem mit eingebaut haben werden.
Zumindest ist mir öffentlich keine Firrmware begegnet, bei der das augebaut worden wäre.

Trotzdem: Wenn ihr z.B. betroffene “interne” Firmwareversionen kennen sollte, dann ist dort Handlung angeraten.

Moin,

ich verstehe die Seite so, dass es nur ein Problem ist, wenn man den Configmodus gar nicht erst mit eingebaut hat. Wenn man ihn nur übersprungen hat, sollte es kein Problem geben, oder habe ich das falsch verstanden?

Grüße
Matthias

So habe ich es auch verstanden (und kann es über das make-file des setupmode-moduls nachvollziehen):

Wenn man den Configmode (Gluon-Setupmode) mit installiert hat über die site.mk, dann sind die Router NICHT betroffen, da darüber das notwendige Modul als dependency mitgekommen ist.
Betroffen sind nur Router bei denen man den (Web-Configmode) komplett herausgeworfen hat. (Also dort wo das Web-Setup auch NICHT “per lange Reset drücken” aufrufbar ist)

Es ist zwar ein exotisches Setup, ich möchte aber nicht beschwören, dass es insbesondere in “Expert-Communities” mit vielen älteren 4/32MB-Geräten nicht genutzt worden sein könnte für “managed deployments”.

2 Likes

according to Setting authorized_keys results in unauthorized access · Issue #1777 · freifunk-gluon/gluon · GitHub

To make sure that you’re not effected, SSH to your node and execute:

if [ -f /lib/gluon/upgrade/100-lock-password ]; then echo "You are not affected"; else echo "You are AFFECTED"; fi
1 Like