Nur Text | Text mit Bildern

FHEM Forum

FHEM => Frontends => FHEMWEB => Thema gestartet von: JoWiemann am 26 November 2023, 10:19:55

Titel: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: JoWiemann am 26 November 2023, 10:19:55
Hallo,

ich hatte nach FileLog_logWrapper gesucht und folgendes angezeigt bekommen:
https://nvd.nist.gov/vuln/detail/CVE-2020-19360

Ist das schon mal gecheckt worden?

Grüße Jörg


Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: rudolfkoenig am 26 November 2023, 10:44:15
ZitatIst das schon mal gecheckt worden?
Nein, ist mir neu.
Habs gefixt und eingecheckt.

Ich wuerde gerne wissen, warum solche Probleme nicht erst hier gemeldet werden.
Und wer das gemeldet hat.
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: rudolfkoenig am 26 November 2023, 10:51:36
Erklaerung: man konnte ueber diesen Weg den Inhalt einer beliebigem Datei auf dem FHEM-Rechner mit Rechten von FHEM auslesen.
Voraussetzung war, dass man in FHEM angemeldet ist.
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: JoWiemann am 26 November 2023, 12:30:37
Hallo Rudi,

danke.

Im CVE gemeldet hat ja Emre Övünç. Auf seiner Homepage gibt es keine direkte Beziehung zu Fhem.

Ich werde ihn mal anschreiben. Außer Du möchtest das übernehmen.

info[at]emreovunc[dot]com

Grüße Jörg
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: betateilchen am 26 November 2023, 12:43:03
Zitat von: rudolfkoenig am 26 November 2023, 10:44:15Ich wuerde gerne wissen, warum solche Probleme nicht erst hier gemeldet werden.

Weil nirgends steht, dass man das tun muss und weil es solche Schwachstellenregister genau dafür gibt, um solche Schwachstellen zu melden. Die Welt ist halt ein Stück weit größer als Hessen oder Deutschland.
Und die Meldung hat ja keine dramatischen Konsequenzen.

Zitat von: JoWiemann am 26 November 2023, 12:30:37Ich werde ihn mal anschreiben.

Was soll das bringen? Derjenige, der das gemeldet hat, hat ja grundsätzlich nichts falsch gemacht.
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: JoWiemann am 26 November 2023, 16:34:01
Zitat von: betateilchen am 26 November 2023, 12:43:03
Zitat von: rudolfkoenig
quote author=JoWiemann link=msg=1294699 date=1700998237]
Ich werde ihn mal anschreiben.

Was soll das bringen? Derjenige, der das gemeldet hat, hat ja grundsätzlich nichts falsch gemacht.


Darum geht es nicht. Mich würde interessieren wie er drauf gekommen ist.

Grüße Jörg
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: PatrickR am 26 November 2023, 17:02:55
Hi!

Zitat von: JoWiemann am 26 November 2023, 16:34:01Darum geht es nicht. Mich würde interessieren wie er drauf gekommen ist.
Würde mich auch interessieren. Aber selbstkritisch betrachtet kann man mit der Information auch nichts Sinnvolles anfangen. Don't shoot the messenger.

Die eigentlich interessante Frage hier ist eher, was passiert, wenn CVEs auftauchen, deren Ursprung in der beabsichtigten Offenheit von FHEM liegt, z. B.:
Code Auswählen
http://fhem.host:8000/fhem?cmd=%7Bqx%28cat%20%2Fetc%2Fpasswd%29%7D&fwcsrf=hallo
Die direkte, beabsichtigte Möglichkeit, beliebigen Code remote mit den Rechten des FHEM-Users auszuführen, wird den Score nach oben drücken.

Patrick
Titel: Aw: Fhem und CVE-2020-19360 - FileLog_logWrapper
Beitrag von: Nestor am 26 November 2023, 19:14:38
The exploit was already discussed in 2020. ;D
https://forum.fhem.de/index.php?topic=114004.msg1082719#msg1082719
Nur Text | Text mit Bildern