Firmware-update: Apple AirPort Base Station & Time Capsule 7.7.3

Apple Airport Extreme Base Station logo (75 pix)Apple heeft nieuwe firmware vrijgegeven voor het AirPort Base Station en de Time Capsule. Het apparaat controleert zelf eens per week of er een update beschikbaar is en laat vervolgens het oranje lampje knipperen. Het installeren van de nieuwe firmware moet wel handmatig gebeuren. Om dit te doen moet de gebruiker AirPort Utility starten, op Update Firmware klikken en de aanwijzingen opvolgen. In deze uitgave wordt het Heartbleed-beveiligingsprobleem verholpen.

AirPort Base Station Firmware Update 7.7.3

Impact: An attacker in a privileged network position may obtain memory contents

Description: An out-of-bounds read issue existed in the OpenSSL library when handling TLS heartbeat extension packets. An attacker in a privileged network position could obtain information from process memory. This issue was addressed through additional bounds checking. Only AirPort Extreme and AirPort Time Capsule base stations with 802.11ac are affected, and only if they have Back to My Mac or Send Diagnostics enabled. Other AirPort base stations are not impacted by this issue.

Versienummer 7.7.3
Releasestatus Final
Website Apple
Download http://www.apple.com/support/airport/
Licentietype Freeware

Reacties (15)

15
15
5
2
1
10
Wijzig sortering
Het staat weliswaar in de "Description", maar het lijkt me nuttig om nog even expliciet te vermelden dat deze update alleen nodig is voor de meest recente modellen Airport Extreme en Time Capsule (het "toren" model, met 802.11ac), dus NIET voor het afgebeelde vorige model.

[Reactie gewijzigd door Herko_ter_Horst op 25 april 2014 15:11]

Goeie toevoeging! Bedankt.
Thanks! Ik was al aan het zoeken en zag gelukkig bij scrollen je post :)!
Klopt helemaal, bedankt voor je post! De oudere modellen, zoals op de afbeelding, blijven (althans bij mij) op v7.6.4 hangen... Ik vermoed dat Apple deze toestellen niet meer zal updaten(?) :)
Tuurlijk worden die nog wel geüpdatet.
Zeker in het geval van een ernstig lek.
Onlangs is zelfs nog een update uitgebracht voor de iPone 3GS!
Dus wij mogen nog genieten van het heartbleed lek :) gelukkig maar.
Ik gok dat de oudere modellen niet vatbaar zijn voor dit probleem omdat er een oudere versie van openssl gebruikt wordt.

Je kan natuurlijk altijd testen of een ip/hostname vatbaar is.
Nee hoor: "Other AirPort base stations are not impacted by this issue."
Vreemd dat alleen de nieuwste modellen volgens Apple getroffen zijn.

De oudere modellen hebben namelijk ook gewoon Back To My Mac etc. Lijkt me niet dat Heartbleed specifiek gerelateerd is aan de ac-wifi standaard.

Tot slot vreemd dat dit überhaupt een probleem blijkt te zijn. Na het uitkomen van de Heartbleed lek zei Apple juist dat OpenSSL niet wordt gebruikt in zijn diensten of producten. Was dat statement dus incorrect en zijn er mogelijk nog meer zaken waar wel OpenSSL in blijkt te zitten maar door Apple ook over het hoofd zijn gezien, zoals Apple TV etc?
Het Heartbleed-probleem zit alleen in een specifieke versie van de OpenSSL library (versie 1.0.1) die blijkbaar verder niet door Apple gebruikt wordt.

Apple heeft overigens dit gezegd: "Apple takes security very seriously. IOS and OS X never incorporated the vulnerable software and key Web-based services were not affected."

Apple heeft dus niks "over het hoofd gezien", er is simpelweg nooit iets gezegd over andere producten dan iOS en OS X (en Apple's eigen websites/servers). OS X heeft inderdaad wel een OpenSSL library aan boord, maar niet de kwetsbare versie. Bovendien is die sinds 2012 deprecated vanwege de overstap op een andere SSL library.

Dit wil overigens niet zeggen dat Mac en iOS gebruikers zomaar veilig zijn. Net als voor iedereen, geldt dat je nog steeds last kunt hebben van de Heartbleed bug als je contact legt met een server die nog wel de betreffende OpenSSL-versie aan boord heeft (of heeft gehad).
Bedankt voor de verduidelijking.

Betekent dit echter dat mensen met deze routers uit voorzorg toch hun Apple ID en alle andere wachtwoorden moeten vervangen (aangezien ze via die weg kwetsbaar waren ipv alleen via de serverkant)?
Vreemd dat alleen de nieuwste modellen volgens Apple getroffen zijn.
Niet zo heel vreemd. Het probleem zat/zit in een heel specifieke versie van OpenSSL, namelijk 1.0.1. Ik zat toevallig net naar mijn "oude" 4th generation Airport Extreme te kijken en die is blijven steken op firmware 7.6.x. Waarschijnlijk is OpenSSL 1.0.1 geintroduceerd in firmware 7.7.x.
Maar dat strookt niet met het bericht van Apple dat hun producten geen OpenSSL gebruiken. Is het dan misschien externe verbindingen (die wel OpenSSL hebben) die hiermee worden geweigerd vanaf deze patch?
Hun *diensten* gebruiken geen OpenSSL, volgens mij hebben ze nergens gezegd dat 't niet in producten zit. OSX wordt namelijk ook met OpenSSL geleverd (zij het de recentste 0.9.8-versie.)
Volgens mij zei Apple dat ze OpenSSL niet gebruikten in haar diensten, maar niet in haar producten.
Anyway, dat laatste is sowieso ontkracht door de Airport update, maar ook OSX heeft standaard OpenSSL mee (wat natuurlijk niet wil zeggen dat er applicaties ook daadwerkelijk gebruik van maken):
Bram@Orion:~$ uname -a
Darwin Orion.local 13.1.0 Darwin Kernel Version 13.1.0: Wed Apr 2 23:52:02 PDT 2014; root:xnu-2422.92.1~2/RELEASE_X86_64 x86_64
Bram@Orion:~$ sw_vers -productVersion
10.9.2
Bram@Orion:~$ openssl version
OpenSSL 0.9.8y 5 Feb 2013

[Reactie gewijzigd door Bram® op 25 april 2014 23:57]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee