Page 1 of 1

Säkerhetshål i HC2

Posted: 05 Oct 2017, 07:08
by alexndr
För er som missat:
https://forum.fibaro.com/index.php?/top ... ic-system/

Verkar gälla HC2 och HCL?

Kontenta:
Öppna inte HC2 mot internet om du sitter på version < 4.140. Det finns ett säkerhetshål som gör att utomstående kan få root- access.

Re: Säkerhetshål i HC2

Posted: 05 Oct 2017, 21:46
by Fredrik85
Höll på att ändra några scener och fick sen bara ”snurrbollarna” och ”server unavailable 503”.
Har provat starta om HC2.
Har det något med det att göra tro eller håller fibaro på med någon ändring?

Re: Säkerhetshål i HC2

Posted: 06 Oct 2017, 09:18
by alexndr
Fredrik85 wrote:Höll på att ändra några scener och fick sen bara ”snurrbollarna” och ”server unavailable 503”.
Har provat starta om HC2.
Har det något med det att göra tro eller håller fibaro på med någon ändring?
Det är nog omöjligt att säga. Att Fibaro skulle hålla på med en ändring bör nog inte påverka dig så länge du inte ansluter via deras remote-tjänst.

Det krävs som sagt att man aktivt öppnar up sin HC2/HCL så att man kan nå den från internet. Säkerhetshålet verkade inte vara helt trivialt att hitta men nu när det är ute hur man gör så är det antagligen ännu större anledning att uppgradera till 4.140 där hålet är tätat.

Re: Säkerhetshål i HC2

Posted: 06 Oct 2017, 11:25
by Fredrik85
alexndr wrote:
Fredrik85 wrote:Höll på att ändra några scener och fick sen bara ”snurrbollarna” och ”server unavailable 503”.
Har provat starta om HC2.
Har det något med det att göra tro eller håller fibaro på med någon ändring?
Det är nog omöjligt att säga. Att Fibaro skulle hålla på med en ändring bör nog inte påverka dig så länge du inte ansluter via deras remote-tjänst.

Det krävs som sagt att man aktivt öppnar up sin HC2/HCL så att man kan nå den från internet. Säkerhetshålet verkade inte vara helt trivialt att hitta men nu när det är ute hur man gör så är det antagligen ännu större anledning att uppgradera till 4.140 där hålet är tätat.
Sorry läste lite fel, jag har ju FW 4.140.
Det lustiga va att när jag startat om HC2 så kom jag åt den via appen men när jag skulle logga in och fick 503 igen så kom jag inte åt den från appen längre :?
Så startade återigen om den och kommer nu åt den från appen, får kolla när jag kommer hem från jobbet om det funkar att logga in, va kanske något tillfälligt knas.

Re: Säkerhetshål i HC2

Posted: 09 Oct 2017, 21:15
by Towanda
Det lustiga va att när jag startat om HC2 så kom jag åt den via appen men när jag skulle logga in och fick 503 igen så kom jag inte åt den från appen längre :?
Så startade återigen om den och kommer nu åt den från appen, får kolla när jag kommer hem från jobbet om det funkar att logga in, va kanske något tillfälligt knas.
Har ungefär samma problem. Sedan jag uppgraderade till 4.140 är min HC2 otroligt seg, 5 gånger av 10 så får jag bara snurrbollar, 3 av de gånger jag kommer in får jag bara snurrbollarna när jag klickar vidare för att komma till scener eller någon annan "meny" eller så får jag inte fram kompletta sidan, 1-2 gånger fungerar det som vanligt om än systemet känns segt.

Från mobilappen känns systemet som vanligt.

Re: Säkerhetshål i HC2

Posted: 10 Oct 2017, 07:24
by alexndr
Testa att använda Chrome som webbläsare. Slå på "Developer tools" och klicka på fliken "network".
Då kan du se vad det är som tar lång tid att ladda ..

Re: Säkerhetshål i HC2

Posted: 12 Oct 2017, 20:44
by Towanda
Slog på developer tools men inget syntes trots bollarna snurrat i över 10 min, finns det något sett att exportera en log?

Hittade detta bland warnings and errors om det säger någon något:
jquery-1.7.2.min.js?version=1505114279028:4 [Deprecation] Synchronous XMLHttpRequest on the main thread is deprecated because of its detrimental effects to the end user's experience. For more help, check https://xhr.spec.whatwg.org/.
send @ jquery-1.7.2.min.js?version=1505114279028:4
ajax @ jquery-1.7.2.min.js?version=1505114279028:4
getTranslationJson @ translation.js?version=1505114279028:12
(anonymous) @ translation.js?version=1505114279028:37
require-2.1.6.min.js?version=1505114279028:8 Uncaught Error: Load timeout for modules: TemperatureZone,HumidityZone,EmptyPinNotificationMessage
http://requirejs.org/docs/errors.html#timeout
at B (require-2.1.6.min.js?version=1505114279028:8)
at E (require-2.1.6.min.js?version=1505114279028:13)
at require-2.1.6.min.js?version=1505114279028:14

Ibland när jag lyckats ta mig in ser det ut så här när allt äntligen laddats:
HC2-fel.JPG

Re: Säkerhetshål i HC2

Posted: 12 Oct 2017, 21:44
by alexndr
Såg du inget på Network- fliken. Det låter väldigt konstigt ..

Re: Säkerhetshål i HC2

Posted: 15 Oct 2017, 02:09
by Towanda
Jo, jag såg en massa. men när det "frös" syntes inget, Går det att exportera en log därifrån? hittade inget sätt att göra det.

Re: Säkerhetshål i HC2

Posted: 15 Oct 2017, 14:22
by alexndr
Skärmdump är nog bästa.
De anrop som står i "pending" hänger.
Man kan även kolla om man får något fel i konsollen .. Varningar skall inte vara något problem.