Seit heute steht ein dringendes Sicherheits-Update für die HomeMatic-Zentrale CCU2 in der Version 2.41.9 auf den Servern von eQ-3 zum Download bereit. In diesem Update wurden primär kritische Fehler behoben und sollte daher unverzüglich aufgespielt werden.
Changelog
Fehlerbehebungen
- Buffer Overflow im ReGa Web Server: Im ReGa Web Server gibt es eine Pufferüberlauf-/ Buffer Overflow Schwachstelle. Bei dieser können in einen Datenbereich (Array) mit fester Größe im Stack Daten beliebiger Länge geschrieben werden. Durch „bösartiges“ Schreiben von Daten ist es prinzipiell möglich, die Rücksprungadresse im Stack zu überschreiben und den Rücksprung in den Bereich der geschriebenen Daten zu lenken. Hierdurch könnte Schadcode ausgeführt werden. Aktuell ist jedoch kein Exploit bekannt, der dies für einen Angriff auf die CCU ausnutzt. Der Webserver-Prozess kann aber zum Absturz gebracht werden. Die Schwachstelle des Pufferüberlauf-/ Buffer Overflow wurde geschlossen. Damit kann hier kein Schadcode mehr eingeschleust werden.
- Schreiben beliebiger Daten: Unter bestimmten Umständen war das Schreiben beliebiger Daten möglich. Hier wurde ein Fehler in einem Script für die Administration behoben.
Bitte beachten:
Sicherheitshinweis – Port Forwarding NICHT benutzen!
eQ-3 schätzt Port Forwarding allgemein als Sicherheitslücke ein und warnt bereits seit 2015 vor dessen Nutzung mit der CCU. Sollten Sie Port Forwarding mit der CCU nutzen empfiehlt Ihnen eQ-3 dringend die Konfiguration zu ändern. Alternativen sind unter anderem:
- Nutzung einer VPN Lösung, z.B. in Verbindung mit einem DSL / Kabel-Router (wie beispielsweise Fritz!Fernzugriff von AVM)
- Nutzung einer Fernzugangs-Lösung zur CCU, z.B. Cloudmatic von Easy Smarthome
Falls Sie hierzu weitere Fragen haben, kontaktieren Sie uns hierfür unter support@eq-3.de
Risiko
Folgende Angriffsmöglichkeiten bestandenzuvor bei diesen Fehlern:
- Aus dem Internet: Wenn Port Forwarding eingerichtet war (siehe Warnung oben)
- Aus dem LAN: Wenn unsichere/ nicht vertrauenswürdige Systeme Zugang zum LAN haben
Weiterführende Seite:
CCU2 Firmware Version 2.41.9 herunterladen
Vielleicht auch interessant:
- CCU2 Firmware 2.59.7 veröffentlicht 06.07.2021
- CCU2 Firmware 2.57.5 veröffentlicht 26.04.2021
- CCU2 Firmware 2.57.4 veröffentlicht 11.03.2021
- CCU2 Firmware 2.55.10 veröffentlicht 26.01.2021
- CCU2 Firmware 2.55.5 veröffentlicht 16.12.2020
