Und täglich grüßt das Murmeltier

cmjay · Beitrag von **cmjay** » 06.10.2023, 10:14

Heute im Programm: cURL
https://www.heise.de/news/cURL-Infos-zu ... 26134.html
Das betrifft dann ja auch die CCU3 und Derivate.
(CCU2 hat wahrscheinlich Pech gehabt. eQ3 ist ja nicht AVM ...)

MichaelN · Beitrag von **MichaelN** » 06.10.2023, 10:21

Ich glaube die CCU ist noch das geringste Problem. Wenn die nicht per Portweiterleitung exponierten ist, dann sollte das Problem ja nur im internen Netz ausnutzbar sein. Und wer die CCU per Portweiterleitung ins Netz stellt hat eh andere Probleme...

Ich mach gleich mal ein aktuelles Backup vom PC...

cmjay · Beitrag von **cmjay** » 06.10.2023, 10:28

Ich bin mir auch gerade nicht sicher, ob cURL in meiner CCU2 nativ oder via das CUXD Addon implementiert ist.
Ich glaube fast Letzteres. Das wäre dann wohl eine gute Nachricht ...

das Problem ja nur im internen Netz ausnutzbar sein.

Wieso? Du kannst doch auch via cURL auf externe Webdienste (z.B. Wetterdaten) zugreifen.

MichaelN · Beitrag von **MichaelN** » 06.10.2023, 10:39

OK, ich war so naiv zu glauben, nur weil ich den Kommunikationspartner bestimme bin ich sicher... Aber klar, wenn der kompromitiert oder nicht vertrauenswürdig ist.

jmaus · Beitrag von **jmaus** » 06.10.2023, 17:11

Ich stehe Gewehr bei Fuß um für RaspberryMatic dann zeitnah die kommende 8.4.0 von curl zu integrieren, sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist

cmjay · Beitrag von **cmjay** » 06.10.2023, 17:18

jmaus hat geschrieben: ↑
06.10.2023, 17:11
sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist

Ich hatte sowieso schon lange vor, mit meinem Produktivsystem auf RaspberryMatic zu wechseln. War bisher nur zu faul dazu ...

blackhole · Beitrag von **blackhole** » 06.10.2023, 20:53

Interessant, was ein Seitenhieb von Daniel Stenberg so alles auslöst.
Nicht nur in den Medien.

Buckle up.

jmaus · Beitrag von **jmaus** » 11.10.2023, 10:19

jmaus hat geschrieben: ↑
06.10.2023, 17:11
Ich stehe Gewehr bei Fuß um für RaspberryMatic dann zeitnah die kommende 8.4.0 von curl zu integrieren, sodass mit der nächsten RaspberryMatic nightly bzw. dem nächsten stable Release dann alles wieder Safe ist

Inzwischen habe ich die heute freigegebene curl 8.4.0 Version in RaspberryMatic integriert, sodass mit dem nächsten nightly snapshot bzw. Release dann diese neue Version die mit ein paar Security Fixes einherkommt entsprechend dann dabei sein sollte.

MichaelN · Beitrag von **MichaelN** » 11.10.2023, 13:05

Und wie ist dieser Bug nun einzuschätzen. SOCKS5 habe ich nie zuvor gehört. Wofür wird das genutzt?

jmaus · Beitrag von **jmaus** » 11.10.2023, 14:42

MichaelN hat geschrieben: ↑
11.10.2023, 13:05
Und wie ist dieser Bug nun einzuschätzen. SOCKS5 habe ich nie zuvor gehört. Wofür wird das genutzt?

Sicherheit ist eben relativ :9 Ich würde sagen, dieser (SOCKS5 bezogene) und der andere Security Flaw sind zwar für sich gesehen in der Tat jeweils als "kritisch" und "niedrig" einzustufen. Aber bezogen auf die Nutzung innerhalb einer Homematic CCU und dem umstand das der SOCKS5 flaw nur zuschlägt wenn man 1. einen SOCKS5 Proxy einsetzt und 2. der Hostanme > 255 Zeichen lang sein muss, bin ich ziemlich beruhigt bis entspannt. Trotzdem natürlich schön das sich das curl projekt so intensiv um die sicherheit kümmert und damit die nächste RaspberryMatic Version wieder ein kleines stück sicherer geworden ist

HomeMatic-Forum / FHZ-Forum

Und täglich grüßt das Murmeltier

Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier

Re: Und täglich grüßt das Murmeltier