Es wird ein lighttpd/1.4.31 verwendet. Der Quellcode stammt vom 31.05.2012, wurde aber am 15.01.2018 von eQ-3 neu kompiliert. Die aktuelle Version ist 1.4.49 vom 11.03.2018, zum Buildzeitpunkt war 1.4.48 vom 11.11.2017 verfügbar. Viele sicherheitsrelevante Patches wurden ausgelassen, welche könnt ihr für den lighthttpd-Webserver einsehen.
Um den eingesetzten Linux Kernel 3.4.11 ist die Liste der Sicherheitslückenauch nicht besser. Blöde, dass es gleich fertige Exploids dafür gibt.
Wer über die Weboberfläche SSL für das WebUI aktivieren möchte, aufgepasst:
- die eigenen Daten (hostname, mailadresse und Land) werden unverschlüsselt an http://www.homematic.com/sslcert/ssl.php übertragen. Hat mich einer zu diesen sensiblen daten gefragt? von DSGVO ganz zu schweigen.
- der private SSL Schlüssel, welcher NIE das System verlassen sollte, stammt aus dem Internet von http://www.homematic.com/sslcert/ssl.php (unverschlüssel übertragen!)
- das SSL Zertifikat ist selbstsigniert und stammt ebenfalls von http://www.homematic.com/sslcert/ssl.php
- zum signieren wird der sh1 Algorithmus von homematic verwendet, welcher von allen aktuellen Browsern als unsicher eingestuft wird.
- der eingesetzte Webserver verwendet immer die standard cipher-suit vom Lighttp aus 2012