İnternet saldırganları, önceden kimlik doğrulaması yapmadan kötü amaçlı kod enjekte etmek ve yürütmek için HomeMativ ev otomasyon sunucusu ve RaspberryMatic'teki bir güvenlik açığından yararlanabilir. Akıllı ev yazılımının geçen hafta güncellenen sürümü güvenlik açığını kapatıyor.
Duyuru
Java tabanlı olanda birkaç sorun var HMIPServer.jargeliştirici, güvenlik danışma belgesinde şunu yazıyor (CVE-2024-24578, CVSS 10.0“Risk”eleştirmen“).HMIPServer'a şununla başlayan URL'ler aracılığıyla erişilebilir: /pages/jpages başlangıç. Sınıf FirmwareController Ancak oturum kimliğini kontrol etmez; bu, geçerli bir oturum olmasa bile erişimin mümkün olduğu anlamına gelir. Kod okumasına rağmen sid-Değerli ama artık kullanmayın.
RaspberryMatic: Bazı sorunlar kritik boşluklara yol açıyor
URL /pages/jpages/system/DeviceFirmware/addFirmware Bu, internetteki herkes tarafından daha fazla kontrole gerek kalmadan yapılabilir. Kimliği doğrulanmamış saldırganlar, sunucunun paketini açtığı kötü amaçlı .tgz arşivlerini buraya yükleyebilir. Bunun nedeni örneğin yetersiz filtrelemedir. ../-Yolda, varsayılan geçici dizinden çıkmanıza olanak tanıyan bir yol geçiş aralığı ekleyin. Sonuç olarak, dosya sistemindeki tüm dosyaların üzerine yazılabilir. Yazar, olasılığın örneğini veriyor… watchdog-Geçersiz kılmak için komut dosyası cron her beş dakikada bir aranır – ile root-Haklar.
Boşluklar RaspberryMatic'te 3.73.9.20240130 sürümüne kadar ve bu sürüm de dahil olmak üzere bulunur. Sürüm 3.75.6.20240316 veya üzeri, güvenlikle ilgili hataları düzeltir. Ev otomasyonunuz için RaspberryMatic kullanıyorsanız güncel sürümü hemen indirip kurmanızı öneririz. Bu, RaspberryMatic sunucusuna dışarıdan erişilemese bile hızlı bir şekilde yapılmalıdır; çünkü güvenlik açıkları, saldırganların başka yollarla izinsiz girseler bile yerel ağda kendilerini kurmalarına olanak tanır.
Güncellenen görseller RaspberryMatic sürüm sayfasından indirilebilir. Neredeyse tam iki yıl önce RaspberryMatic ciddi bir güvenlik açığı nedeniyle fark edilmişti. Bu durumda da saldırganlar savunmasız bir cihazın kontrolünü ele geçirmeyi başardılar.
Güncelleme
19 Mart 2024,
14.46
Saat
Hata, Homematic CCU3 donanım yazılımındaki bir güvenlik açığından kaynaklanmaktadır. Değişiklik günlüğünde bu nokta şu şekilde listeleniyor: “Diğer şeylerin yanı sıra, cihaz yazılımının yüklenmesiyle ilgili güvenlik açıkları kapatıldı (CVE-2024-24578).” CVE girişi şu anda yalnızca RaspberryMatic için geçerlidir. Ancak HomeMatic kullanıcılarının da cihazlarını mutlaka güncellemeleri gerekiyor. Sonuç olarak metne HomeMatic'e referanslar ekledik.
(Bilmiyorum)
Haberin Sonu
Duyuru
Java tabanlı olanda birkaç sorun var HMIPServer.jargeliştirici, güvenlik danışma belgesinde şunu yazıyor (CVE-2024-24578, CVSS 10.0“Risk”eleştirmen“).HMIPServer'a şununla başlayan URL'ler aracılığıyla erişilebilir: /pages/jpages başlangıç. Sınıf FirmwareController Ancak oturum kimliğini kontrol etmez; bu, geçerli bir oturum olmasa bile erişimin mümkün olduğu anlamına gelir. Kod okumasına rağmen sid-Değerli ama artık kullanmayın.
RaspberryMatic: Bazı sorunlar kritik boşluklara yol açıyor
URL /pages/jpages/system/DeviceFirmware/addFirmware Bu, internetteki herkes tarafından daha fazla kontrole gerek kalmadan yapılabilir. Kimliği doğrulanmamış saldırganlar, sunucunun paketini açtığı kötü amaçlı .tgz arşivlerini buraya yükleyebilir. Bunun nedeni örneğin yetersiz filtrelemedir. ../-Yolda, varsayılan geçici dizinden çıkmanıza olanak tanıyan bir yol geçiş aralığı ekleyin. Sonuç olarak, dosya sistemindeki tüm dosyaların üzerine yazılabilir. Yazar, olasılığın örneğini veriyor… watchdog-Geçersiz kılmak için komut dosyası cron her beş dakikada bir aranır – ile root-Haklar.
Boşluklar RaspberryMatic'te 3.73.9.20240130 sürümüne kadar ve bu sürüm de dahil olmak üzere bulunur. Sürüm 3.75.6.20240316 veya üzeri, güvenlikle ilgili hataları düzeltir. Ev otomasyonunuz için RaspberryMatic kullanıyorsanız güncel sürümü hemen indirip kurmanızı öneririz. Bu, RaspberryMatic sunucusuna dışarıdan erişilemese bile hızlı bir şekilde yapılmalıdır; çünkü güvenlik açıkları, saldırganların başka yollarla izinsiz girseler bile yerel ağda kendilerini kurmalarına olanak tanır.
Güncellenen görseller RaspberryMatic sürüm sayfasından indirilebilir. Neredeyse tam iki yıl önce RaspberryMatic ciddi bir güvenlik açığı nedeniyle fark edilmişti. Bu durumda da saldırganlar savunmasız bir cihazın kontrolünü ele geçirmeyi başardılar.
Güncelleme
19 Mart 2024,
14.46
Saat
Hata, Homematic CCU3 donanım yazılımındaki bir güvenlik açığından kaynaklanmaktadır. Değişiklik günlüğünde bu nokta şu şekilde listeleniyor: “Diğer şeylerin yanı sıra, cihaz yazılımının yüklenmesiyle ilgili güvenlik açıkları kapatıldı (CVE-2024-24578).” CVE girişi şu anda yalnızca RaspberryMatic için geçerlidir. Ancak HomeMatic kullanıcılarının da cihazlarını mutlaka güncellemeleri gerekiyor. Sonuç olarak metne HomeMatic'e referanslar ekledik.
(Bilmiyorum)
Haberin Sonu