Jump to content
  • Sign Up
Støtt hjemmeautomasjon.no!

NB! Sikkerhetsbug i Homeseer


Recommended Posts

https://forums.homeseer.com/showthread.php?t=187549

 

There was an issue with being able to access the web interface if the username was blank, this has been fixed and is being tested. I am not sure if you are seeing this issue but if your system is exposed to the Internet I would update to the latest Beta here:

https://forums.homeseer.com/showthread.php?t=181241

Build 3.0.0.311 has the fix. I will complete the testing on this build this weekend and release it on Monday.

If someone is sure the command came in through MyHS, then I have to look elsewhere.

Link to comment
Share on other sites

Et oppfølgings-spørsmål fra en som ikke har detaljkunnskap om nettverk:

Ut fra tråden som det linkes til så forstår jeg det slik at dette gjelder de som har åpnet porter ut på ruteren sin for å logge på eksternt? Så hvis jeg ikke har gjort dette (bruker bare MyHS) så er det ikke et problem? Eller har jeg misforstått?

Link to comment
Share on other sites

Da jeg fra tidligere har litt erfaring med å finne svakheter i diverse systemer, så tenkte jeg at jeg skulle se om det var noe sånt i Homeseer som lå åpent tilgjenglig. Sier bare WOW.

 

Etter at jeg så denne posten her tok det meg under 5minutter og få frem disse:

 

U8CvsA3.png

 

cNK2AGY.png

 

4wAWH6z.jpg

 

5Wp6Ye4.png

 

+ veldig mange flere varianter. Utrolig at folk ikke har fått med seg sikkerheten rundt dette. (Jeg sensurerte personlig informasjon fra enkelte av bildene..)

 

Edit: Sendte epost til de jeg fant eposten til (via instillinger) for å varsle dem om svakhetene. håper de ser dem. :)

Edited by Merko
Link to comment
Share on other sites

Et øyeblikk siden, DiderikFrom skrev:

selv om jeg har vurdert å oppgradere sikkerheten med nginx eller lignende

Jeg har brukt det en ukes tid nå og det ser ut til å fungere veldig bra i hvert fall.

Har i tillegg "countryblock" i brannmuren, slik at portforward bare er tilgjengelig for norske IPer. :) 

Link to comment
Share on other sites

Lag drop regel i toppen der du refererer en adresseliste. Lag den i input chain på eht1 interface.

Lag adresselisten. Og legg in rangene som du finner på en eller annen webside som jeg ikke husker nå. I adresselister kan du legge inn ranger ved å bruke "-" og verdier kan separeres via komma.

 

Alt tatt fra hukommelse ettersom jeg er i polen med suuuper tregt nett. :-/

 

Legg forresten inn i forward chain også (uten å velge interface)for å være sikker. Husker ikke om den tar input chain før den nat-er.

  • Like 1
Link to comment
Share on other sites

2 minutter siden, mk1 black limited skrev:

Som en ekstra sikkerhet har jeg lagt inn en regel i brannmuren som fyrer av en epost til meg når noen prøver å logge inn på HS utenfra. 

Greia her er jo at de ikke trenger å logge inn... :( 

 

Men hvordan satte du opp det? Jon00-script?

Link to comment
Share on other sites

1 time siden, ZoRaC skrev:

Da har de sluppet 3.0.0.312 for alle plattformer:

https://board.homeseer.com/showthread.php?t=176440

Takk! Kjekkere å kjøre en release enn en beta. :) 

 

22 minutter siden, Evelen skrev:

Rart det ikke er oppdaget tidligere, skulle tro "tom innlogging" var noe svært mange prøvde seg på i forskjellig sammenheng.

Det er det, jeg har prøvd selv flere ganger. Så det må være noe mer enn det.

Link to comment
Share on other sites

1 minutt siden, Norseman skrev:

På min HS3 installasjon har jeg aldri blitt spurt om passord. Vi snakker om web interfacet her? I så fall må det være noe galt med min installasjon.. 

Det er normalt å ikke bli spurt om passord når du er hjemme, dette er innstillinger under Tools -> Setup.

 

Men hvis du bruker port forwarding (istedenfor MuHS-tjenstene) for å få fatt i HS3 utenfor husets fire vegger, så er denne feilen mer kritisk.

Link to comment
Share on other sites

1 minute ago, Moskus said:

Det er normalt å ikke bli spurt om passord når du er hjemme, dette er innstillinger under Tools -> Setup.

 

Men hvis du bruker port forwarding (istedenfor MuHS-tjenstene) for å få fatt i HS3 utenfor husets fire vegger, så er denne feilen mer kritisk.

 

Ah, der ser jeg det, takk!

Har kontroll på nettverket, så var ikke så bekymret for feilen i seg selv.

Link to comment
Share on other sites

4 hours ago, ZoRaC said:

Da har de sluppet 3.0.0.312 for alle plattformer:

https://board.homeseer.com/showthread.php?t=176440

Har oppgradert i går kveld og alt ser stort sett ut til å fungere som før på mitt relativt enkle oppsett.

 

Bortsett fra at det kanskje kan være et problem med rfxcom.

Av mine 10-12 stk 433MhZ temperatursensorer har jeg nå 5 stk som har falt ut, de står med "communication failure". Det skjer av og til at en enkelt en faller ut i kortere perioder, men har ikke sett det så massivt som dette før. Og det ser ut til å ha startet i går kveld omtrent på den tiden jeg oppgarderte. Kan være tilfeldig, men det er jo litt rart...... :(

Link to comment
Share on other sites

44 minutes ago, Moskus said:

Sjeldent det skjer, men kanskje IDen ikke har blitt lagret.

 

Tror kanskje ikke problemet ligger i devicene i HS. Jeg har en logging gående på alle tempertursensorene og ser at mange av dem ikke er helt "døde", det blir oppfanget signal fra noen av dem av og til, så de er "i live" i HS, men det er akkurat som om signalmottaket har blitt dramatisk mye dårligere.

Jeg kan bare ikke helt forstå at en oppgradering av selve HS skulle kunne påvirke rfxcom-modulens evne til å motta signaler. Trodde mye av signalprosesseringen her skjedde i hardware i rxfcom-modulen eller i alle fall i rfxcom-pluginen, ikke i selve HS.

 

Nå har forøvrig 3 sensorer til falt ut ser jeg.....

 

Link to comment
Share on other sites

1 minutt siden, JxxxIxxx skrev:

Jeg kan bare ikke helt forstå at en oppgradering av selve HS skulle kunne påvirke rfxcom-modulens evne til å motta signaler.

Det skal den heller ikke kunne gjøre, så sannsynligvis det må være en annen grunn.

Jeg har ikke merket noe tilsvarende.

  • Like 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.