Unverschlüsseltes Update und fehlende Signaturüberprüfung im Updateprozess von homee Core (SYSS-2020-026/-027)

09.10.2020 – Advisories – SYSS-2020-026/-027

Zwei Security Advisories von IT Security Consultant Tobias Jäger

Beim Update des homee Brain Cube Core der homee GmbH per USB-Verbindung wird die Integrität des Updates nicht überprüft und es können manipulierte Firmware-Images auf das Gerät geladen werden.
Zudem können über die Homepage die Updates heruntergeladen werden. Diese enthalten die unverschlüsselten Firmware-Images, welche zum Beispiel einen SSH-Key enthalten.

Die Schwachstellen sind in der Version 2.29 behoben. Es wird ein Update auf homee Brain Cube Core 2.29 oder später empfohlen.

Detaillierte Informationen zu diesen gefundenen Schwachstellen finden Sie in unseren Security Advisories/You will find detailed information about these security issues in our Security Advisories:

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.