Nur Text | Text mit Bildern

FHEM Forum

FHEM => Anfängerfragen => Thema gestartet von: ojb am 17 Oktober 2014, 12:14:53

Titel: Poodle-Sicherheitslücke
Beitrag von: ojb am 17 Oktober 2014, 12:14:53
Hallo Leute,

es gibt schon wieder eine große Sicherheitslücke: Poodle
http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html

Ich habe eben meinen Apache Poodle-fest gemacht. So weit so gut.

Aber was ist mit FHEM. Kann hier auch der Poodle kommen?

Liebe Grüße
Oli
Titel: Antw:Poodle-Sicherheitslücke
Beitrag von: topfi am 17 Oktober 2014, 15:30:19
Ich habe beim Raspberry den Zugriff auf FHEM nach dem Wiki http://www.fhemwiki.de/wiki/Apache_Authentication_Proxy (http://www.fhemwiki.de/wiki/Apache_Authentication_Proxy) über einen Apache-Proxy gelöst. Der ist auch betroffen, man muss bei dieser Konfiguration wegen Poodle nun Folgendes machen:

Suche in der Datei
Code Auswählen
sudo nano /etc/apache2/mods-available/ssl.conf

die Zeile

Code Auswählen
SSLProtocol all -SSLv2

und ergänze diese zu

Code Auswählen
SSLProtocol all -SSLv2 -SSLv3

Diese Zeile ergänze man auch unter der Rubrik </VirtualHost> in der Datei

Code Auswählen
sudo nano /etc/apache2/sites-available/fhems

Danach noch den Apache neu starten.

Code Auswählen
sudo service apache2 restart

Das sollte alles gewesen sein.
Titel: Antw:Poodle-Sicherheitslücke
Beitrag von: ojb am 17 Oktober 2014, 20:55:43
@all:
Ich hab meinen FHEM-Server mal mit https://www.poodlescan.com/ getestet und FHEM wurde als 'vulnerable' eingestuft.
Schon mal nicht gut.

@topfi:
Danke für die Ausführungen. Eine Frage dazu:
Wie gehe ich mit weiteren FHEM-Web-Instanzen auf anderen Ports (z.B. 8085, 8086) um?

Danke und lieben Gruß
Oli
Titel: Antw:Poodle-Sicherheitslücke
Beitrag von: topfi am 17 Oktober 2014, 23:22:32
Nicht nach aussen forwarden. ssl nach draussen wird nur über Proxy freigegeben. Die Lösung aus dem Wiki ist schnell eingerichtet (jedenfalls auf dem Raspi) und hat weitere Vorteile:

* Access- und Error-Logs
* keine ssl-Fehler im Browser mehr (die kamen oft bei der FHEM-eigenen Lösung)
* sicherheitsrelevante Updates und bugfixes können unabhängig von FHEM auf Apache-Ebene eingespielt werden

Es gibt sicher auch eine einfache Lösung für die Standard- FHEM Freigaben. Irgendwo muss ja auch der FHEM- Webserver konfiguriert werden, aber ich weiß leider nicht, wo.
Titel: Antw:Poodle-Sicherheitslücke
Beitrag von: Olly am 22 Oktober 2014, 09:52:32


Zitat von: topfi am 17 Oktober 2014, 23:22:32
Es gibt sicher auch eine einfache Lösung für die Standard- FHEM Freigaben. Irgendwo muss ja auch der FHEM- Webserver konfiguriert werden, aber ich weiß leider nicht, wo.

Hi,

das würde mich jetzt doch mal interessieren, da ich meinen FHEM Poodle-fest machen möchte. Den Apache Proxy kann ich zur Zeit leider nicht nutzten.
Vielleicht kann Rudolf direkt ja was dazu sagen.
Falls es relevant ist, ich nutze Raspian Wheezy.

Gruß

     Olly
Nur Text | Text mit Bildern