Fhem und CVE-2020-19360 - FileLog_logWrapper

JoWiemann · 26 November 2023, 10:19:55

Hallo,

ich hatte nach FileLog_logWrapper gesucht und folgendes angezeigt bekommen:
https://nvd.nist.gov/vuln/detail/CVE-2020-19360

Ist das schon mal gecheckt worden?

Grüße Jörg

rudolfkoenig · 26 November 2023, 10:44:15

ZitatIst das schon mal gecheckt worden?

Nein, ist mir neu.
Habs gefixt und eingecheckt.

Ich wuerde gerne wissen, warum solche Probleme nicht erst hier gemeldet werden.
Und wer das gemeldet hat.

rudolfkoenig · 26 November 2023, 10:51:36

Erklaerung: man konnte ueber diesen Weg den Inhalt einer beliebigem Datei auf dem FHEM-Rechner mit Rechten von FHEM auslesen.
Voraussetzung war, dass man in FHEM angemeldet ist.

JoWiemann · 26 November 2023, 12:30:37

Hallo Rudi,

danke.

Im CVE gemeldet hat ja Emre Övünç. Auf seiner Homepage gibt es keine direkte Beziehung zu Fhem.

Ich werde ihn mal anschreiben. Außer Du möchtest das übernehmen.

info[at]emreovunc[dot]com

Grüße Jörg

betateilchen · 26 November 2023, 12:43:03

Zitat von: rudolfkoenig am 26 November 2023, 10:44:15Ich wuerde gerne wissen, warum solche Probleme nicht erst hier gemeldet werden.

Weil nirgends steht, dass man das tun muss und weil es solche Schwachstellenregister genau dafür gibt, um solche Schwachstellen zu melden. Die Welt ist halt ein Stück weit größer als Hessen oder Deutschland.
Und die Meldung hat ja keine dramatischen Konsequenzen.

Zitat von: JoWiemann am 26 November 2023, 12:30:37Ich werde ihn mal anschreiben.

Was soll das bringen? Derjenige, der das gemeldet hat, hat ja grundsätzlich nichts falsch gemacht.

JoWiemann · 26 November 2023, 16:34:01

Zitat von: betateilchen am 26 November 2023, 12:43:03
Zitat von: rudolfkoenig
quote author=JoWiemann link=msg=1294699 date=1700998237]
Ich werde ihn mal anschreiben.

Was soll das bringen? Derjenige, der das gemeldet hat, hat ja grundsätzlich nichts falsch gemacht.

Darum geht es nicht. Mich würde interessieren wie er drauf gekommen ist.

Grüße Jörg

PatrickR · 26 November 2023, 17:02:55

Hi!

Zitat von: JoWiemann am 26 November 2023, 16:34:01Darum geht es nicht. Mich würde interessieren wie er drauf gekommen ist.

Würde mich auch interessieren. Aber selbstkritisch betrachtet kann man mit der Information auch nichts Sinnvolles anfangen. Don't shoot the messenger.

Die eigentlich interessante Frage hier ist eher, was passiert, wenn CVEs auftauchen, deren Ursprung in der beabsichtigten Offenheit von FHEM liegt, z. B.:

Code Auswählen

http://fhem.host:8000/fhem?cmd=%7Bqx%28cat%20%2Fetc%2Fpasswd%29%7D&fwcsrf=hallo

Die direkte, beabsichtigte Möglichkeit, beliebigen Code remote mit den Rechten des FHEM-Users auszuführen, wird den Score nach oben drücken.

Patrick

Nestor · 26 November 2023, 19:14:38

The exploit was already discussed in 2020.

https://forum.fhem.de/index.php?topic=114004.msg1082719#msg1082719