Seit heute steht ein dringendes Sicherheits-Update für die HomeMatic-Zentrale CCU2 in der Version 2.41.9 auf den Servern von eQ-3 zum Download bereit. In diesem Update wurden primär kritische Fehler behoben und sollte daher unverzüglich aufgespielt werden.
Changelog
Fehlerbehebungen
- Buffer Overflow im ReGa Web Server: Im ReGa Web Server gibt es eine Pufferüberlauf-/ Buffer Overflow Schwachstelle. Bei dieser können in einen Datenbereich (Array) mit fester Größe im Stack Daten beliebiger Länge geschrieben werden. Durch „bösartiges“ Schreiben von Daten ist es prinzipiell möglich, die Rücksprungadresse im Stack zu überschreiben und den Rücksprung in den Bereich der geschriebenen Daten zu lenken. Hierdurch könnte Schadcode ausgeführt werden. Aktuell ist jedoch kein Exploit bekannt, der dies für einen Angriff auf die CCU ausnutzt. Der Webserver-Prozess kann aber zum Absturz gebracht werden. Die Schwachstelle des Pufferüberlauf-/ Buffer Overflow wurde geschlossen. Damit kann hier kein Schadcode mehr eingeschleust werden.
- Schreiben beliebiger Daten: Unter bestimmten Umständen war das Schreiben beliebiger Daten möglich. Hier wurde ein Fehler in einem Script für die Administration behoben.