CCU2: aktuelle Firmware mit veralteten Komponenten & SSL

[Oki@Home]

Gestern habe ich die CCU2 mit SSL Zertifikaten versehen, war über die sehr eigenartige SSL-Key und Zertifikatsinstallation überrascht und habe mich daher mit dem eingebauten Webserver des WebUI beschäftigt. Die CCU2 Firmware ist aktuell (Version 2.31.25).

Es wird ein lighttpd/1.4.31 verwendet. Der Quellcode stammt vom 31.05.2012, wurde aber am 15.01.2018 von eQ-3 neu kompiliert. Die aktuelle Version ist 1.4.49 vom 11.03.2018, zum Buildzeitpunkt war 1.4.48 vom 11.11.2017 verfügbar. Viele sicherheitsrelevante Patches wurden ausgelassen, welche könnt ihr für den lighthttpd-Webserver einsehen.

Um den eingesetzten Linux Kernel 3.4.11 ist die Liste der Sicherheitslückenauch nicht besser. Blöde, dass es gleich fertige Exploids dafür gibt.

Wer über die Weboberfläche SSL für das WebUI aktivieren möchte, aufgepasst:

• die eigenen Daten (hostname, mailadresse und Land) werden unverschlüsselt an http://www.homematic.com/sslcert/ssl.php übertragen. Hat mich einer zu diesen sensiblen daten gefragt? von DSGVO ganz zu schweigen.
• der private SSL Schlüssel, welcher NIE das System verlassen sollte, stammt aus dem Internet von http://www.homematic.com/sslcert/ssl.php (unverschlüssel übertragen!)
• das SSL Zertifikat ist selbstsigniert und stammt ebenfalls von http://www.homematic.com/sslcert/ssl.php
• zum signieren wird der sh1 Algorithmus von homematic verwendet, welcher von allen aktuellen Browsern als unsicher eingestuft wird.
• der eingesetzte Webserver verwendet immer die standard cipher-suit vom Lighttp aus 2012

Es hat schon seinen Sinn, dass eQ-3 die Sicherheitswarnung nach dem Aktualisieren der CCU2 Firmware anzeigt.

[Gluehwurm]

Was ist zu tun ?

Gruß
Bruno

[Oki@Home]

Solange eQ-3 die software nicht aktualisiert, kann SSL auf der CCU2 nicht sinnvoll eingerichet werden.
Bis dahin sollten alle, die SSL über das WebUI aktiviert haben, schleunigst ihren privaten SSL-Key (von homematic.com) durch einen sauberen Schlüssel ersetzen. Wie das gemacht wird, kann ich am Wochenende einmal zusammenschreiben und hier posten.

ich bin mal gespannt, wie eQ-3 auf meine Supportanfrage hierzu reagiert.

[Xel66]

Solange eQ-3 die software nicht aktualisiert, kann SSL auf der CCU2 nicht sinnvoll eingerichet werden.

Wenn man nicht die Schlüsselerstellung durch die integrierte Funktion benutzt, kann man doch jeden anderweitig erstellten Schlüssel hochladen. Eine externe Schlüsselerstellung wie die von eQ-3 implementierte Funktion, bei der der private Key den Rechner verlässt, ist immer eine Kompromisslösung in puncto Sicherheit. Da die CCU unter keinen Umständen direkt ans Internet gehängt werden darf (Portforwarding etc.), hält sich die Gefährdung in engen Grenzen. Der Zustand ist unschön, aber eher nur gefühlt sicherheitsrelevant. Es sollte aber gefixt werden, da besteht kein Zweifel.

Gruß Xel66

[jmaus]

Bevor die Frage aufkommt: Alle die hier genannten Dinge sind bereits länger bekannt und eQ3 auch bewusst und es wird auch daran gearbeitet. In RaspberryMatic, sowie der kommenden CCU3 Firmware sind diese auch bereits behoben.