Seite 1 von 1
Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 10:14
von cmjay
Heute im Programm: cURL
https://www.heise.de/news/cURL-Infos-zu ... 26134.html
Das betrifft dann ja auch die CCU3 und Derivate.
(CCU2 hat wahrscheinlich Pech gehabt. eQ3 ist ja nicht AVM ...)
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 10:21
von MichaelN
Ich glaube die CCU ist noch das geringste Problem. Wenn die nicht per Portweiterleitung exponierten ist, dann sollte das Problem ja nur im internen Netz ausnutzbar sein. Und wer die CCU per Portweiterleitung ins Netz stellt hat eh andere Probleme...
Ich mach gleich mal ein aktuelles Backup vom PC...
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 10:28
von cmjay
Ich bin mir auch gerade nicht sicher, ob cURL in meiner CCU2 nativ oder via das CUXD Addon implementiert ist.
Ich glaube fast Letzteres. Das wäre dann wohl eine gute Nachricht ...
das Problem ja nur im internen Netz ausnutzbar sein.
Wieso? Du kannst doch auch via cURL auf externe Webdienste (z.B. Wetterdaten) zugreifen.
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 10:39
von MichaelN
OK, ich war so naiv zu glauben, nur weil ich den Kommunikationspartner bestimme bin ich sicher... Aber klar, wenn der kompromitiert oder nicht vertrauenswürdig ist.
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 17:11
von jmaus
Ich stehe Gewehr bei Fuß um für RaspberryMatic dann zeitnah die kommende 8.4.0 von curl zu integrieren, sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 17:18
von cmjay
jmaus hat geschrieben: ↑06.10.2023, 17:11
sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist
Ich hatte sowieso schon lange vor, mit meinem Produktivsystem auf RaspberryMatic zu wechseln. War bisher nur zu faul dazu ...
Re: Und täglich grüßt das Murmeltier
Verfasst: 06.10.2023, 20:53
von blackhole
Interessant, was ein Seitenhieb von Daniel Stenberg so alles auslöst.
Nicht nur in den Medien.
Buckle up.
Re: Und täglich grüßt das Murmeltier
Verfasst: 11.10.2023, 10:19
von jmaus
jmaus hat geschrieben: ↑06.10.2023, 17:11
Ich stehe Gewehr bei Fuß um für RaspberryMatic dann zeitnah die kommende 8.4.0 von curl zu integrieren, sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist
Inzwischen habe ich die heute freigegebene curl 8.4.0 Version in RaspberryMatic integriert, sodass mit dem nächsten nightly snapshot bzw. Release dann diese neue Version die mit ein paar Security Fixes einherkommt entsprechend dann dabei sein sollte.
Re: Und täglich grüßt das Murmeltier
Verfasst: 11.10.2023, 13:05
von MichaelN
Und wie ist dieser Bug nun einzuschätzen. SOCKS5 habe ich nie zuvor gehört. Wofür wird das genutzt?
Re: Und täglich grüßt das Murmeltier
Verfasst: 11.10.2023, 14:42
von jmaus
MichaelN hat geschrieben: ↑11.10.2023, 13:05
Und wie ist dieser Bug nun einzuschätzen. SOCKS5 habe ich nie zuvor gehört. Wofür wird das genutzt?
Sicherheit ist eben relativ :9 Ich würde sagen, dieser (SOCKS5 bezogene) und der andere Security Flaw sind zwar für sich gesehen in der Tat jeweils als "kritisch" und "niedrig" einzustufen. Aber bezogen auf die Nutzung innerhalb einer Homematic CCU und dem umstand das der SOCKS5 flaw nur zuschlägt wenn man 1. einen SOCKS5 Proxy einsetzt und 2. der Hostanme > 255 Zeichen lang sein muss, bin ich ziemlich beruhigt bis entspannt. Trotzdem natürlich schön das sich das curl projekt so intensiv um die sicherheit kümmert und damit die nächste RaspberryMatic Version wieder ein kleines stück sicherer geworden ist
