Und täglich grüßt das Murmeltier
Moderator: Co-Administratoren
-
- Beiträge: 2411
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 254 Mal
- Danksagung erhalten: 359 Mal
Und täglich grüßt das Murmeltier
Heute im Programm: cURL
https://www.heise.de/news/cURL-Infos-zu ... 26134.html
Das betrifft dann ja auch die CCU3 und Derivate.
(CCU2 hat wahrscheinlich Pech gehabt. eQ3 ist ja nicht AVM ...)
https://www.heise.de/news/cURL-Infos-zu ... 26134.html
Das betrifft dann ja auch die CCU3 und Derivate.
(CCU2 hat wahrscheinlich Pech gehabt. eQ3 ist ja nicht AVM ...)
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
-
- Beiträge: 9764
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 707 Mal
- Danksagung erhalten: 1646 Mal
Re: Und täglich grüßt das Murmeltier
Ich glaube die CCU ist noch das geringste Problem. Wenn die nicht per Portweiterleitung exponierten ist, dann sollte das Problem ja nur im internen Netz ausnutzbar sein. Und wer die CCU per Portweiterleitung ins Netz stellt hat eh andere Probleme...
Ich mach gleich mal ein aktuelles Backup vom PC...
Ich mach gleich mal ein aktuelles Backup vom PC...
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
-
- Beiträge: 2411
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 254 Mal
- Danksagung erhalten: 359 Mal
Re: Und täglich grüßt das Murmeltier
Ich bin mir auch gerade nicht sicher, ob cURL in meiner CCU2 nativ oder via das CUXD Addon implementiert ist.
Ich glaube fast Letzteres. Das wäre dann wohl eine gute Nachricht ...
Ich glaube fast Letzteres. Das wäre dann wohl eine gute Nachricht ...
Wieso? Du kannst doch auch via cURL auf externe Webdienste (z.B. Wetterdaten) zugreifen.das Problem ja nur im internen Netz ausnutzbar sein.
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
-
- Beiträge: 9764
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 707 Mal
- Danksagung erhalten: 1646 Mal
Re: Und täglich grüßt das Murmeltier
OK, ich war so naiv zu glauben, nur weil ich den Kommunikationspartner bestimme bin ich sicher... Aber klar, wenn der kompromitiert oder nicht vertrauenswürdig ist.
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
- jmaus
- Beiträge: 9902
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 466 Mal
- Danksagung erhalten: 1892 Mal
- Kontaktdaten:
Re: Und täglich grüßt das Murmeltier
Ich stehe Gewehr bei Fuß um für RaspberryMatic dann zeitnah die kommende 8.4.0 von curl zu integrieren, sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 2411
- Registriert: 19.09.2012, 10:53
- System: CCU
- Wohnort: Jottweedee
- Hat sich bedankt: 254 Mal
- Danksagung erhalten: 359 Mal
Re: Und täglich grüßt das Murmeltier
Ich hatte sowieso schon lange vor, mit meinem Produktivsystem auf RaspberryMatic zu wechseln. War bisher nur zu faul dazu ...
Es kann leider nicht ganz ausgeschlossen werden, dass ich mich irre.
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
HmIP muss leider draussen bleiben. in Ausnahmefällen erlaubt
ACHTUNG! Per Portweiterleitung aus dem Internet erreichbare CCU-WebUI ist unsicher! AUCH MIT PASSWORTSCHUTZ! Daher: Portweiterleitung deaktivieren!
- blackhole
- Beiträge: 3732
- Registriert: 21.07.2015, 14:03
- System: CCU
- Hat sich bedankt: 185 Mal
- Danksagung erhalten: 587 Mal
Re: Und täglich grüßt das Murmeltier
Interessant, was ein Seitenhieb von Daniel Stenberg so alles auslöst.
Nicht nur in den Medien.
Buckle up.
Nicht nur in den Medien.
Buckle up.
- jmaus
- Beiträge: 9902
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 466 Mal
- Danksagung erhalten: 1892 Mal
- Kontaktdaten:
Re: Und täglich grüßt das Murmeltier
Inzwischen habe ich die heute freigegebene curl 8.4.0 Version in RaspberryMatic integriert, sodass mit dem nächsten nightly snapshot bzw. Release dann diese neue Version die mit ein paar Security Fixes einherkommt entsprechend dann dabei sein sollte.
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /
-
- Beiträge: 9764
- Registriert: 27.04.2020, 10:34
- System: CCU
- Hat sich bedankt: 707 Mal
- Danksagung erhalten: 1646 Mal
Re: Und täglich grüßt das Murmeltier
Und wie ist dieser Bug nun einzuschätzen. SOCKS5 habe ich nie zuvor gehört. Wofür wird das genutzt?
LG, Michael.
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
Wenn du eine App zur Bedienung brauchst, dann hast du kein Smarthome.
Wettervorhersage über AccuWeather oder OpenWeatherMap+++ Rollladensteuerung 2.0 +++ JSON-API-Ausgaben auswerten +++ undokumentierte Skript-Befehle und Debugging-Tipps +++
- jmaus
- Beiträge: 9902
- Registriert: 17.02.2015, 14:45
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Dresden
- Hat sich bedankt: 466 Mal
- Danksagung erhalten: 1892 Mal
- Kontaktdaten:
Re: Und täglich grüßt das Murmeltier
Sicherheit ist eben relativ :9 Ich würde sagen, dieser (SOCKS5 bezogene) und der andere Security Flaw sind zwar für sich gesehen in der Tat jeweils als "kritisch" und "niedrig" einzustufen. Aber bezogen auf die Nutzung innerhalb einer Homematic CCU und dem umstand das der SOCKS5 flaw nur zuschlägt wenn man 1. einen SOCKS5 Proxy einsetzt und 2. der Hostanme > 255 Zeichen lang sein muss, bin ich ziemlich beruhigt bis entspannt. Trotzdem natürlich schön das sich das curl projekt so intensiv um die sicherheit kümmert und damit die nächste RaspberryMatic Version wieder ein kleines stück sicherer geworden ist
RaspberryMatic 3.75.7.20240420 @ ProxmoxVE – ~200 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker + HomeAssistant – GitHub / Sponsors / PayPal /