Отключить принудительное обновление прошивки

[F2QYQ]

Сегодня многие пользователи обнаружили, что устройства внезапно и самовольно обновили свои прошивки, несмотря на то что автообновление отключено в настройках.

Так делают версии прошивок 4 , на прошивках версии 3 такого не было.

Общепринятой практикой является самостоятельное решение администратором об обновлении.
И если автообновление отключено, то оно отключено. С кинетиком такой общепринятый подход как оказалось сегодня уже не работает.

Меня, как администратора SMB(small/medium bussiness) конторы, такое положение не устраивает.

Прошу:
1) Либо отключить этот механизм принудительного обновления
2) Либо приостановить на 2 недели(14 дней). Данный период нужен для миграции на другое оборудование/firmware без подобных закладок

Изменено 14 ноября пользователем F2QYQ

[Master2009]

15 минут назад, MDP сказал:

Я считаю лично, что тема пошла по кругу...надо уже закрывать.

Точно нет, я ещё не всё лайки расставил. А то 10 в сутки явно мало для голосования, а так потом и не получится, потом тему закрыли.

Кстати вопрос: если бы уплаченные деньги за оборудование сейчас были бы ещё у клиентов и от поведения фирмы зависело бы, попадут ли они к ней, позволила бы себе фирма подобное поведение? Я может и мелкий клиент, всего несколько роутеров купил (4 шт.), но по тем же причинам и куда более крупные пользователи Small/Home Office  и SMB попали на перенастройку, а у них уже и 50, и 100 роутеров может быть. У меня хорошо ещё, что ничего не слетело из сеансов, сам перезагрузку до этого устроил.

Изменено 28 ноября пользователем Master2009
Исправил текст.

[Master2009]

2 минуты назад, Илья Хрупалов сказал:

На данном этапе никак, и всеми методами пытаемся донести, что исправим эту недоработку.

Хорошо. Очень на это надеемся.

[Илья Хрупалов]

11 минут назад, AndyU сказал:

телеметрия

Я не знаю, что вы имеете в виду под телеметрией. Служебный трафик (в том числе отдельных отключаемых компонентов) описан в базе знаний.

[Master2009]

По теме обновления: у меня после обновления, как выяснилось, startup-config и running-config на Keenetic Hopper довольно сильно отличаются, есть не сохраненные изменения "Режима безопасной настройки", сам их не делал, дождались меня в веб-интерфейсе.

Сверил файлы в diff, изменений достаточно много, что из них обязательного или можно спокойно отменить? Нет возможности заниматься сейчас анализом сети, а там три минуты на безопасный откат есть. Сеть и настройки мне старая версия конфига от 4.0.2 не поломает, если не дать их обновить?

Upd. В общем роутер меня терпеливо ждёт в веб-админке, при входе требует записать изменения в настройках, иначе через 3 минуты после входа в админку и ожидания идёт принудительная перезагрузка, при повторном заходе повторяется. Diff находит разницу в настройках, часть строк местами поменялась, какие-то настройки пропали, какие-то появились новые.

Заниматься этим, выяснять, что правильно, что безопасно, чтобы вновь получить свободу настраивать, как мне надо, сейчас совершенно нет времени, красота. Судя по молчанию, "спасение утопающих дело рук самих утопающих". Старая версия прошивки толком не находится, в файлопомойке ещё надо понять, какая версия прошивки была именно от моей версии роутера, чтобы не прошивать всё подряд, убивая флеш.

Проблемы на ровном месте, видимо, чтобы жизнь малиной не казалась. Всё то, за что мне нравился Keenetic, управляемость, безопасность, настраиваемость, успешно отправлено в помойку. За что, Keenetic?

Изменено 28 ноября пользователем Master2009
Дополнил сообщение.

[abychkov]

Вывод какой можно сделать из темы, что в наше время, нельзя создать себе: прочный , тёплый, уютный, светлый мирок и зону комфорта с помощью любых гаджетов согревающих душу,  где только ты сам хозяин и истинный повелитель над устройством , всегда есть кто - то третий смотрящий  и иногда управляющий твоим любимым гаджетом

Пора смириться , какая там прошивка,  должно быть фиолетово, обнововляется  она принудительно или нет , а пользоваться гаджетом  - устройством , как инструментом для добрых дел  

 

[Master2009]

14 минут назад, abychkov сказал:

Пора смириться , какая там прошивка

Это можно, пока вас лично не коснется в формате "извините, мы удалили все ваши файлы, программы и настройки до кучи". Не совсем в тему, но похожая ситуация: шифрование файлов и диска на Android уже сделано так, что в случае чего свои файлы, программы, контакты и смс вы не вытащите и людей не спросили, согласны ли они, всё произошло молча, поэтому резервные копии ВСЕГО теперь строго обязательны и откатывать придется, пока смартфоны в однокнопочное устройство не превратили.

Мирок может и нет, а мир на всех причастных сделать вполне возможно. Альтернатив всё равно нет, лежать спокойно вам не дадут, даже тушку на корм пустят. Умереть всегда успеете.

[hoaxisr]

1 час назад, Илья Хрупалов сказал:

На данном этапе никак, и всеми методами пытаемся донести, что исправим эту недоработку.

Даже выложили пресс-релиз на эту тему и доносите информацию на сайте Кинетик ( keenetic.ru который, принадлежит ООО "Неткрейз")?

Вы уже, пожалуйста, четко мысли формулируйте. А то у вас в одном месте фигура речи, в другом немного противоречие ранее сказанному, в третьем просто ложь.

Как например, когда почему-то стало неудобно, что Неткрейз и Кинетик есть одно и тоже, вы стали прямо врать относительно этого, ссылаться на "коллег". И что некие "коллеги" приняли решение, потом придумали про то, что нельзя злоумышленника предупреждать (как будто удалено можно не дать роутеру обновится)

А то что Неткрейз отношение к Кинетик имеете прямое и вы об этом трубили из всех маркетинговых каналов (вот тут например https://keenetic.ru/ru/service-update или вот тут https://blog.netcraze.ru/netcraze-the-beginning/ или вот тут прямо пишете, что Неткрейз не просто "представляет", а производит Кинетик https://keenetic.ru/ru/legal) то это конечно просто "фигура речи". А уж тот факт, что инфраструктура ООО Неткрейз в ЕАЭС есть инфраструктура Кинетик вам уже не один человек тут показал.

Вы лично, сделали для восприятия бренда так много и большая часть этого в последнее время резко негативное. Можно уже просто выкатить постик, где скажете, да, мы все поняли, вот ваши резервные копии старых прошивок со всеми вашими компонентами (вы же их сделали, как рекомендуете нам при обновлениях?) и вот команда для блокировки такого поведения будет внедрена в таком-то патче. 

 

 

Изменено 28 ноября пользователем hoaxisr

[krass]

28 минут назад, abychkov сказал:

Вывод какой можно сделать из темы, что в наше время, нельзя создать себе: прочный , тёплый, уютный, светлый мирок и зону комфорта с помощью любых гаджетов согревающих душу,  где только ты сам хозяин и истинный повелитель над устройством , всегда есть кто - то третий смотрящий  и иногда управляющий твоим любимым гаджетом

Пора смириться , какая там прошивка,  должно быть фиолетово, обнововляется  она принудительно или нет , а пользоваться гаджетом  - устройством , как инструментом для добрых дел  

 

Очень с вами не согласен.
Роутеры под ОС: 

1) FRESHTOMATO

2) OPENWRT
3) ФОРКИ OPENWRT

Под телефоны есть спец софт для модификации и удаления системных файлов.
P.S. извиняюсь за лютый оффтоп.

Изменено 28 ноября пользователем krass

[keenet07]

1 минуту назад, hoaxisr сказал:

(как будто удалено можно не дать роутеру обновится)

Вообще-то можно. Это не проблема.

[Валерий-Т]

9 часов назад, KeyYerS сказал:

Чтобы понять суть написанного нужно взглянуть на проблему "глазами автора", а не отмахиваться как от мухи.

Поясню:   я в целом никак не против обновлений, понимаю что нужны, важны и всё такое.  Но в силу 32-летнего стажа с IT сферой следую "золотому правилу":  нужно дать приличное время устаканиться очередному обновлению, чтобы были выявлены и исправлены сопутствующие ошибки/недочёты.  А уж потом по финишу его на рабочее оборудование ставить и пользовать.  Заплатка-на-заплатку-на-заплатку-на-патч-на-обновление  -  это перебор!

Согласен!
Добавлю и свои "пять копеек":
Работает - не трожь!
Тронул - разгребай!
Обновления - зло. Причины:
1) Расслабляет разработчиков.
2) Нарушает работу SW/HW.
3) Приносит новые дыры.
4) Позволяет разработчикам творить беспредел.

ИМХО:
Обновляю все крайне редко.
Только по весьма веским причинам.
Только после тщательного изучения последствий.

[krass]

Может лучше поможем кинетику и напишем способы?

Вариант как сделано у компании Микротик уже есть выше.
 

это может ускорить процесс.

[Master2009]

В 19.11.2025 в 22:43, leshin papa сказал:

Вместо admin другой пользователь, с паролем в 20-25 случайных символов. Блокировка от подбора пароля включена. Обычно я меняю пароль у admin с простого, на достаточно хороший, но иногда забываю. Да и как бы не особо важно это. В роутер с admin не попасть. Теперь, где я забыл сменить простой пароль у admin, потерял доступ к роутерам. Роутеры в 1500-2000 км от меня. Роутеров 300+ штук. Пользователи роутеров не особо компьютерно грамотные. Ноутов и компов может не быть.

Ужас, сочувствую вашей ситуации.

В 19.11.2025 в 23:19, leshin papa сказал:

"А техподдержка вообще странная. Если по телефону не смог помочь сотрудник, например, напрячься ему не хочется, то чтобы ему не поставили плохую оценку он попрощается, но звонок не завершит и так будет сидеть минут 10-15. Ждать пока я обломаюсь и сам положу трубку. Лишь бы 1 в качестве оценки не поставили. Раза три такое встречал точно."

Звонил очень редко и вроде раньше такого не попадалось. На такое надо запоминать говорившего, время звонка и писать уже email по случаю, чтобы удвоили оценку отдельно.

Изменено 28 ноября пользователем Master2009
Дополнил сообщение.

[keenet07]

10 минут назад, krass сказал:

Может лучше поможем кинетику и напишем способы?

Вариант как сделано у компании Микротик уже есть выше.
 

это может ускорить процесс.

Думаю, что там давно уже всё почитали, плюс своё что-то обдумали. И вероятно уже даже реализовали.

Я жду уже в ближайшее время что-то в новой прошивке. Вот только не известно что вперед выйдет, какая-нибудь 4.x или это только в 5.x появится. Я пятерку жду.

Изменено 28 ноября пользователем keenet07

[Mukcep]

Лично у меня обновилось с 3-й версии при выключенном автообновлении. Так что эта возможность есть во всех прошивках.
На моем устройстве это уже второй раз, когда обновление произошло без моего ведома при выключенном автообновлении. 
В прошлый раз поддержка все отрицала.
Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

[keenet07]

8 минут назад, Mukcep сказал:

Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

Если у вас конфиг старый сохранен, то всё у вас останется. Вы ведь полный сброс устройства делать не собираетесь. В общем-то даже если и нет, то и текущим конфигом в большой долей вероятности ничего не пострадает при откате.

Изменено 28 ноября пользователем keenet07

[Mukcep]

13 минут назад, keenet07 сказал:

Если у вас конфиг старый сохранен

А где его взять? Это вот лютый головняк на ровном месте.
Я думал, что это недоразумение было в прошлый раз. Никаких бэкапов не делал никогда.

Изменено 28 ноября пользователем Mukcep

[krass]

А есть случаи с keenos 2.11 и 2.16 ?
Есть пострадавшие?

Или под прицелом только  keenos 3.x и 4.x ?

Изменено 28 ноября пользователем krass

[keenet07]

50 минут назад, Mukcep сказал:

А где его взять? Это вот лютый головняк на ровном месте.
Я думал, что это недоразумение было в прошлый раз. Никаких бэкапов не делал никогда.

Если нет бэкапов, то значит нет. Но и переходить на старую прошивку смысла практически никакого. В доступе только базовые версии прошивок с неполным набором компонентов. Сейчас на новой у вас что-то не работает?

Изменено 28 ноября пользователем keenet07

[AndyU]

5 hours ago, keenet07 said:

Весь инструментал доступен на самом устройстве, просто подумайте и сделайте.

Я, кстати, беглым поиском в указанной вами теми, того, что еще нужно, не нашел. Или плохо искал, или потерли, как в документации. В прошивке (*.bin) тоже ничего не вижу. Но можно попробовать есть по кускам. Есть еще способ, опубликованный на github'е, но мне что-то стремно на рабочей железке экспериментировать. Или можно просто на траффик посмотреть штатными средствами роутера. 

[Валерий-Т]

Посмотрел:
https://support.keenetic.ru/ultra/kn-1810/ru/6463-latest-main-release.html
KeeneticOS 4.3.6.3
Датирована: 21/10/2025
В описании не слова про короткий пароль.
Есть только:
----==== Фрагмент начало: ====----
Исправления
Исправлена ошибка, из-за которой в приложении 
Сервер SMB неправильно копировались файлы
с именованными потоками. [SYS-1450]
----==== Фрагмент конец: ====----

Проблемы начались: 18/11/2025
https://forum.keenetic.ru/topic/25511-сломался-opkg-при-обновлении-на-новую-версию/
Основная причина: короткий пароль админа.
Хотя первоначально, этой причины небыло!
Обновление сработало игнорируя настройки 
запрещающие автоматическое обновление.

Хронология событий:
Повторно выходит обновление: 4.3.6.3, 
под предлогом защиты от коротких паролей.
После обновления: 4.3.6.3 пакет OPKG 
ломается даже при правильном пароле админа.

Напрашиваются выводы:
Keenetic - некто сделал предложение,
от которого ну невозможно отказаться.
Keenetic - "прогнулся" под это предложение,
и срочно выкатил "подкованную" прощшивку
с троянским конем: блокировка OPKG.

ИМХО, откат прошивки - это не решение.
Точнее, это временное решение. Причины:
установили обновление вопреки настройкам,
установят еще, и будут ставить постоянно.

ИМХО, надежные решения: 
1) Залить в роутер стороннюю прошивку.
2) Заменить роутер на комп и linux.
 

 

[Илья Хрупалов]

14 минут назад, Валерий-Т сказал:

В описании не слова про короткий пароль.

Вы же правильную ссылку выше приводите. Ну так прочтите всю страницу.

 

16 минут назад, Валерий-Т сказал:

Keenetic - "прогнулся" под это предложение,
и срочно выкатил "подкованную" прощшивку
с троянским конем: блокировка OPKG.

#$%^&*(*_*_&$ Надеюсь, другие объективные пользователи укажут вам на несостоятельность этой головокружительной гипотезы. 

[Joyn Silver]

Всем привет! Я тут немного шумел на форуме, возможно не по делу, но то что я писал, тоже важно. А теперь по делу. Заявленная критическая уязвимость CWE-521, ради которой нас тут всех принудительно обновили, предполагает что пользователь может создать любой пароль в интерфейсе и интерфейс это никак не контролирует (ну или слабо контролирует). Ок, да, так оно и было. Я мог свободно сделать логин и пароль admin/admin. Что мы теперь имеем по факту:
1. Всем принудительно обновили прошивку и исправили уязвимость CWE-521.
2. При простой проверке, оказалось что ничего не исправлено. Я как и раньше могу задать очень и очень слабый пароль.
Кому интересно, можете погуглить какие требования к паролям должны быть после исправления такой уязвимости.
В результате получаем, что принудительное обновление не решило ровным счетом ничего. Выводы все сами сделаете, и не надо на меня нападать, я уже заранее знаю что мне будут писать про то что с таким паролем не будет работать удаленный доступ (я не проверял, но это не долго проверить), и это не моя вина.  Записал тут скринкаст, как я меняю пароли на обновленном принудительно роутере. А вообще можете сами у себя проверить. Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все! И еще, у меня тут выходные нарисовались, так что продолжение следует...

[Валерий-Т]

2 часа назад, Mukcep сказал:

Лично у меня обновилось с 3-й версии при выключенном автообновлении. Так что эта возможность есть во всех прошивках.
На моем устройстве это уже второй раз, когда обновление произошло без моего ведома при выключенном автообновлении. 
В прошлый раз поддержка все отрицала.
Я правильно понимаю, что на предыдущую прошивку откатиться без потери настроек невозможно?

Можно! Все настройки сохраняются.
Я откатился на: 4.0.4
 

[Denis P]

14 минут назад, Joyn Silver сказал:

Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все!

Тоесть вот вообще никакой разницы с предыдущей возможностью поставить паролем одну букву или цифру, да? 

Продолжайте наблюдение (с)

Изменено 28 ноября пользователем Denis P

[krass]

Только что, Denis P сказал:

Тоесть вот вообще никакой разницы с предыдущей возможностью поставить паролем одну букву или цифру, да? 

Ого! Как было всё запущено! Мне бы и в голову не пришло сделать такой пароль. Тем более при удаленном доступе...

[Валерий-Т]

12 минут назад, Joyn Silver сказал:

Всем привет! Я тут немного шумел на форуме, возможно не по делу, но то что я писал, тоже важно. А теперь по делу. Заявленная критическая уязвимость CWE-521, ради которой нас тут всех принудительно обновили, предполагает что пользователь может создать любой пароль в интерфейсе и интерфейс это никак не контролирует (ну или слабо контролирует). Ок, да, так оно и было. Я мог свободно сделать логин и пароль admin/admin. Что мы теперь имеем по факту:
1. Всем принудительно обновили прошивку и исправили уязвимость CWE-521.
2. При простой проверке, оказалось что ничего не исправлено. Я как и раньше могу задать очень и очень слабый пароль.
Кому интересно, можете погуглить какие требования к паролям должны быть после исправления такой уязвимости.
В результате получаем, что принудительное обновление не решило ровным счетом ничего. Выводы все сами сделаете, и не надо на меня нападать, я уже заранее знаю что мне будут писать про то что с таким паролем не будет работать удаленный доступ (я не проверял, но это не долго проверить), и это не моя вина.  Записал тут скринкаст, как я меняю пароли на обновленном принудительно роутере. А вообще можете сами у себя проверить. Пароль теперь по факту должен содержать 9 символов, из них 1 буква и одна цифра обязательно, на этом все! И еще, у меня тут выходные нарисовались, так что продолжение следует...

То что Вы показали - это только подтверждает:
FW 4.3.6.3 - не имеет никакого отношения к безопасности.
Цель здесь совсем другая.
Учитывая:
1. "Переобувание" (первоначально, и сейчас, в описании исправлений
FW 4.3.6.3 - ни слова про короткий и небезопасный пароль) Keenetic 
2. Слом OPKG.
Цель - очень похожа на "устаревание" серверов Гугля.
 

[Илья Хрупалов]

17 минут назад, Joyn Silver сказал:

не решило ровным счетом ничего

Вы забываете простую вещь: если устройство вдруг уже было захвачено в ботнет, доступ снаружи закроется автоматически. Даже несмотря на то, что используемый словарь скомпрометированных паролей не содержит те варианты, что вы попробовали, представьте, как теперь злоумышленнику вернуть контроль над этим роутером (продолжает ведь работать и антибрутфорс, и порядочный пользователь с большой вероятностью поставит не такой вариант, как вы привели).

[svoron]

4 минуты назад, Валерий-Т сказал:

2. Слом OPKG.

Справедливости ради, OPKG на тех устройствах, на которых использовался - не отвалился. Надеюсь, и не отвалится

[Denis P]

7 минут назад, Валерий-Т сказал:

1. "Переобувание" (первоначально, и сейчас, в описании исправлений
FW 4.3.6.3 - ни слова про короткий и небезопасный пароль) Keenetic 

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

[Joyn Silver]

1 минуту назад, Denis P сказал:

правда?

https://support.keenetic.ru/ultra/kn-1811/ru/24965-latest-main-release.html#:~:text=Публичный доступ к веб-конфигуратору теперь блокируется на устройствах со слабыми паролями администратора%2C что снижает риск несанкционированного доступа. [NDM-4097]

Ну возможно и правда, я же сразу оговорку сделал, что не проверял. Но есть пару выходных. А факт заключается в том что вы не исправили уязвимость, никак. Хотите пришлю меры по исправлению, там не много, всего несколько обязательных пунктов. Но не сегодня к сожалению, поздно, спать пойду. На будущее - это только начало, дальше будет хуже. Я проходил такое, все совершают ошибки, главное их вовремя признать.