Hauptmenü

Poodle-Sicherheitslücke

Begonnen von ojb, 17 Oktober 2014, 12:14:53

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

ojb

17 Oktober 2014, 12:14:53
Hallo Leute,

es gibt schon wieder eine große Sicherheitslücke: Poodle
http://www.heise.de/security/meldung/Poodle-Experten-warnen-vor-Angriff-auf-Internet-Verschluesselung-2424122.html

Ich habe eben meinen Apache Poodle-fest gemacht. So weit so gut.

Aber was ist mit FHEM. Kann hier auch der Poodle kommen?

Liebe Grüße
Oli
FHEM unter Debian auf Asus EEBox: KNX (Wetterstation, Rollläden, Beleuchtung), Maple-CUN (Temperatur und Feuchte über 1-Wire, Intertechno-Funksteckdosen), PV-Anlage mit Plenticore und BYD, Viessmann Wärmepumpe, 1-Wire (Temperatur, Feuchte, Stromverbrauch), Husquarna-Automower, ...

topfi

#1
17 Oktober 2014, 15:30:19 Letzte Bearbeitung: 17 Oktober 2014, 15:32:28 von topfi
Ich habe beim Raspberry den Zugriff auf FHEM nach dem Wiki http://www.fhemwiki.de/wiki/Apache_Authentication_Proxy über einen Apache-Proxy gelöst. Der ist auch betroffen, man muss bei dieser Konfiguration wegen Poodle nun Folgendes machen:

Suche in der Datei
Code Auswählen
sudo nano /etc/apache2/mods-available/ssl.conf

die Zeile

Code Auswählen
SSLProtocol all -SSLv2

und ergänze diese zu

Code Auswählen
SSLProtocol all -SSLv2 -SSLv3

Diese Zeile ergänze man auch unter der Rubrik </VirtualHost> in der Datei

Code Auswählen
sudo nano /etc/apache2/sites-available/fhems

Danach noch den Apache neu starten.

Code Auswählen
sudo service apache2 restart

Das sollte alles gewesen sein.

ojb

#2
17 Oktober 2014, 20:55:43
@all:
Ich hab meinen FHEM-Server mal mit https://www.poodlescan.com/ getestet und FHEM wurde als 'vulnerable' eingestuft.
Schon mal nicht gut.

@topfi:
Danke für die Ausführungen. Eine Frage dazu:
Wie gehe ich mit weiteren FHEM-Web-Instanzen auf anderen Ports (z.B. 8085, 8086) um?

Danke und lieben Gruß
Oli
FHEM unter Debian auf Asus EEBox: KNX (Wetterstation, Rollläden, Beleuchtung), Maple-CUN (Temperatur und Feuchte über 1-Wire, Intertechno-Funksteckdosen), PV-Anlage mit Plenticore und BYD, Viessmann Wärmepumpe, 1-Wire (Temperatur, Feuchte, Stromverbrauch), Husquarna-Automower, ...

topfi

#3
17 Oktober 2014, 23:22:32
Nicht nach aussen forwarden. ssl nach draussen wird nur über Proxy freigegeben. Die Lösung aus dem Wiki ist schnell eingerichtet (jedenfalls auf dem Raspi) und hat weitere Vorteile:

* Access- und Error-Logs
* keine ssl-Fehler im Browser mehr (die kamen oft bei der FHEM-eigenen Lösung)
* sicherheitsrelevante Updates und bugfixes können unabhängig von FHEM auf Apache-Ebene eingespielt werden

Es gibt sicher auch eine einfache Lösung für die Standard- FHEM Freigaben. Irgendwo muss ja auch der FHEM- Webserver konfiguriert werden, aber ich weiß leider nicht, wo.

Olly

#4
22 Oktober 2014, 09:52:32


Zitat von: topfi am 17 Oktober 2014, 23:22:32
Es gibt sicher auch eine einfache Lösung für die Standard- FHEM Freigaben. Irgendwo muss ja auch der FHEM- Webserver konfiguriert werden, aber ich weiß leider nicht, wo.

Hi,

das würde mich jetzt doch mal interessieren, da ich meinen FHEM Poodle-fest machen möchte. Den Apache Proxy kann ich zur Zeit leider nicht nutzten.
Vielleicht kann Rudolf direkt ja was dazu sagen.
Falls es relevant ist, ich nutze Raspian Wheezy.

Gruß

     Olly
BananaPi 1GB;NetCSM 868MHz, miniCUL 433MHz, LaCrosseGateway, 2x SignalESP; FHEM 6.2
Drucken
Nach oben Seiten1
Benutzer-Aktionen