Gå til innhold
  • Bli medlem

NB! Sikkerhetsbug i Homeseer


mk1 black limited
 Del

Anbefalte innlegg

https://forums.homeseer.com/showthread.php?t=187549

 

There was an issue with being able to access the web interface if the username was blank, this has been fixed and is being tested. I am not sure if you are seeing this issue but if your system is exposed to the Internet I would update to the latest Beta here:

https://forums.homeseer.com/showthread.php?t=181241

Build 3.0.0.311 has the fix. I will complete the testing on this build this weekend and release it on Monday.

If someone is sure the command came in through MyHS, then I have to look elsewhere.

Lenke til kommentar
Del på andre sider

Et oppfølgings-spørsmål fra en som ikke har detaljkunnskap om nettverk:

Ut fra tråden som det linkes til så forstår jeg det slik at dette gjelder de som har åpnet porter ut på ruteren sin for å logge på eksternt? Så hvis jeg ikke har gjort dette (bruker bare MyHS) så er det ikke et problem? Eller har jeg misforstått?

Lenke til kommentar
Del på andre sider

Da jeg fra tidligere har litt erfaring med å finne svakheter i diverse systemer, så tenkte jeg at jeg skulle se om det var noe sånt i Homeseer som lå åpent tilgjenglig. Sier bare WOW.

 

Etter at jeg så denne posten her tok det meg under 5minutter og få frem disse:

 

U8CvsA3.png

 

cNK2AGY.png

 

4wAWH6z.jpg

 

5Wp6Ye4.png

 

+ veldig mange flere varianter. Utrolig at folk ikke har fått med seg sikkerheten rundt dette. (Jeg sensurerte personlig informasjon fra enkelte av bildene..)

 

Edit: Sendte epost til de jeg fant eposten til (via instillinger) for å varsle dem om svakhetene. håper de ser dem. :)

Endret av Merko
Lenke til kommentar
Del på andre sider

Et øyeblikk siden, DiderikFrom skrev:

selv om jeg har vurdert å oppgradere sikkerheten med nginx eller lignende

Jeg har brukt det en ukes tid nå og det ser ut til å fungere veldig bra i hvert fall.

Har i tillegg "countryblock" i brannmuren, slik at portforward bare er tilgjengelig for norske IPer. :) 

Lenke til kommentar
Del på andre sider

Lag drop regel i toppen der du refererer en adresseliste. Lag den i input chain på eht1 interface.

Lag adresselisten. Og legg in rangene som du finner på en eller annen webside som jeg ikke husker nå. I adresselister kan du legge inn ranger ved å bruke "-" og verdier kan separeres via komma.

 

Alt tatt fra hukommelse ettersom jeg er i polen med suuuper tregt nett. :-/

 

Legg forresten inn i forward chain også (uten å velge interface)for å være sikker. Husker ikke om den tar input chain før den nat-er.

  • Like 1
Lenke til kommentar
Del på andre sider

2 minutter siden, mk1 black limited skrev:

Som en ekstra sikkerhet har jeg lagt inn en regel i brannmuren som fyrer av en epost til meg når noen prøver å logge inn på HS utenfra. 

Greia her er jo at de ikke trenger å logge inn... :( 

 

Men hvordan satte du opp det? Jon00-script?

Lenke til kommentar
Del på andre sider

1 time siden, ZoRaC skrev:

Da har de sluppet 3.0.0.312 for alle plattformer:

https://board.homeseer.com/showthread.php?t=176440

Takk! Kjekkere å kjøre en release enn en beta. :) 

 

22 minutter siden, Evelen skrev:

Rart det ikke er oppdaget tidligere, skulle tro "tom innlogging" var noe svært mange prøvde seg på i forskjellig sammenheng.

Det er det, jeg har prøvd selv flere ganger. Så det må være noe mer enn det.

Lenke til kommentar
Del på andre sider

1 minutt siden, Norseman skrev:

På min HS3 installasjon har jeg aldri blitt spurt om passord. Vi snakker om web interfacet her? I så fall må det være noe galt med min installasjon.. 

Det er normalt å ikke bli spurt om passord når du er hjemme, dette er innstillinger under Tools -> Setup.

 

Men hvis du bruker port forwarding (istedenfor MuHS-tjenstene) for å få fatt i HS3 utenfor husets fire vegger, så er denne feilen mer kritisk.

Lenke til kommentar
Del på andre sider

1 minute ago, Moskus said:

Det er normalt å ikke bli spurt om passord når du er hjemme, dette er innstillinger under Tools -> Setup.

 

Men hvis du bruker port forwarding (istedenfor MuHS-tjenstene) for å få fatt i HS3 utenfor husets fire vegger, så er denne feilen mer kritisk.

 

Ah, der ser jeg det, takk!

Har kontroll på nettverket, så var ikke så bekymret for feilen i seg selv.

Lenke til kommentar
Del på andre sider

4 hours ago, ZoRaC said:

Da har de sluppet 3.0.0.312 for alle plattformer:

https://board.homeseer.com/showthread.php?t=176440

Har oppgradert i går kveld og alt ser stort sett ut til å fungere som før på mitt relativt enkle oppsett.

 

Bortsett fra at det kanskje kan være et problem med rfxcom.

Av mine 10-12 stk 433MhZ temperatursensorer har jeg nå 5 stk som har falt ut, de står med "communication failure". Det skjer av og til at en enkelt en faller ut i kortere perioder, men har ikke sett det så massivt som dette før. Og det ser ut til å ha startet i går kveld omtrent på den tiden jeg oppgarderte. Kan være tilfeldig, men det er jo litt rart...... :(

Lenke til kommentar
Del på andre sider

44 minutes ago, Moskus said:

Sjeldent det skjer, men kanskje IDen ikke har blitt lagret.

 

Tror kanskje ikke problemet ligger i devicene i HS. Jeg har en logging gående på alle tempertursensorene og ser at mange av dem ikke er helt "døde", det blir oppfanget signal fra noen av dem av og til, så de er "i live" i HS, men det er akkurat som om signalmottaket har blitt dramatisk mye dårligere.

Jeg kan bare ikke helt forstå at en oppgradering av selve HS skulle kunne påvirke rfxcom-modulens evne til å motta signaler. Trodde mye av signalprosesseringen her skjedde i hardware i rxfcom-modulen eller i alle fall i rfxcom-pluginen, ikke i selve HS.

 

Nå har forøvrig 3 sensorer til falt ut ser jeg.....

 

Lenke til kommentar
Del på andre sider

1 minutt siden, JxxxIxxx skrev:

Jeg kan bare ikke helt forstå at en oppgradering av selve HS skulle kunne påvirke rfxcom-modulens evne til å motta signaler.

Det skal den heller ikke kunne gjøre, så sannsynligvis det må være en annen grunn.

Jeg har ikke merket noe tilsvarende.

  • Like 1
Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

 Del

×
×
  • Opprett ny...