RE: Test Adapter BMW/Mini v4.x.x

@steffe-s

Der Datenpunkt mit dem Ladestand ist der hier, wird aber leider nur sehr selten aktualisiert bei mir z.B. von 38% auf 47% und dann auf jetzt gerade 56% (lade mit 11kW):

bmw.0.WBXXXXXXXXXX.stream.vehicle.drivetrain.batteryManagement.header

(Der Datenpunkt mit dem Ladestand scheint aber auch noch vom Fahrzeugmodell abzuhängen, andere BMW-Modelle haben den SOC Datenpunkt wieder ganz woanders. - Und wenn die einen ganz anderen Datenpunkt haben, kann natürlich sein dass der sich auch anders verhält als bei meinem IX3)

@steffe-s

Der Datenpunkt mit dem Ladestand ist der hier, wird aber leider nur sehr selten aktualisiert bei mir z.B. von 38% auf 47% und dann auf jetzt gerade 56% (lade mit 11kW):

bmw.0.WBXXXXXXXXXX.stream.vehicle.drivetrain.batteryManagement.header

(Der Datenpunkt mit dem Ladestand scheint aber auch noch vom Fahrzeugmodell abzuhängen, andere BMW-Modelle haben den SOC Datenpunkt wieder ganz woanders. - Und wenn die einen ganz anderen Datenpunkt haben, kann natürlich sein dass der sich auch anders verhält als bei meinem IX3)

Ich hab den neuen 4.x Adapter nun auch seit gestern am Laufen, zusammen mit meinem BMW ix3 von 2024.

Grundsätzlich kommen alle Werte die ich brauche, jetzt über den neuen 4.0.5 Adapter, aber wirklich nachteilig das der SOC der Batterie wirklich nur alle 20 Minuten mal aktualisiert wird, während das Auto lädt. Genauso die "verbleibende Ladezeit" (remainingchargetime), auch nur alle 20 Minuten kommt. - Das ist echt bitter, von wegen MQTT Echtzeitdaten. - Ich hoffe da arbeitet BMW noch dran, so ist das aktuell nicht wirklich brauchbar im SmartHome.

Aber nicht missverstehen: Großen Respekt an den Adapter-Autor für die schnelle Reaktion !!!

Blöd auch, dass man nicht mehr direkt über diesen Adapter steuern kann. Aber kleiner Tipp: Teilweise kann man den "BMW Alexa-Skill" für die Steuerung missbrauchen. Man kann beispielsweise von iobroker die gesprochenen Kommandos in Textform an einen Alexa-Speaker übergeben, z.B. den Text "Sage BMW starte Klimatisierung" und dann kann iobroker immer noch die standheizung anschalten/ausschalten. - Man kann Alexa ja auch nach dem Ladestand fragen, beispielsweise "sage bmw wie ist der ladestand" und Alexa Antwortet dann mit dem Echtzeitwert, der über MQTT noch nicht da ist. - Ob man diese Antwort wohl weiterverarbeiten könnte

@homoran

Ja genau. Der Bezug zu iobroker ließ sich insofern klären, dass es keinen gibt

@homoran

Woanders her. - Gibt ja viele Wege wie Dateien/Pakete in einem Linux-System landen können, evtl. eben auch durch iobroker selbst.

In meinem Fall habe ich z.B. zwei unterschiedliche Raspberry Pis, beide haben ein topaktuelles Debian Bookworm als Betriebssystem. Der Raspberry mit iobroker-Installation meldet mir die certifi-Sicherheitslücke, der Raspberry auf dem nur FHEM läuft hat die Lücke (noch) nicht gemeldet. - Von daher habe ich natürlich im iobroker-Bereich mit Problematiken gerechnet.

Edit: Der FHEM-PI hat die Lücke aber scheinbar auch, macht ja auch Sinn, das ist nur noch nicht über Tenable Nessus gemeldet:

fhempi:~ $ apt policy python3-certifi
python3-certifi:
  Installiert:           2022.9.24-1
  Installationskandidat: 2022.9.24-1
  Versionstabelle:
 *** 2022.9.24-1 500
        500 http://deb.debian.org/debian bookworm/main arm64 Packages
        500 http://deb.debian.org/debian bookworm/main armhf Packages
        100 /var/lib/dpkg/status

@thomas-braun

Panisch ist hier keiner. Ich gehe besonnen an die Sache heran:
Nach Bekanntwerden der vermeintlich kritischen Lücke versucht man sich bestmöglich in die unbekannte Materie einzulesen. Habe mich eingearbeitet, durch das Github gelesen und dort stand ja mehr oder weniger: Wenn du genau dieses Problem/Sicherheitslücke hast dann mach mit pip ein Update und die Sache ist gelöst, denn der Maintainer con certifi hat sich schon drum gekümmert. - Ja, in diesem Fall war die Installation von pip unnötig, aber das konnte ich der Github Dokumentation zu certifi erstmal nicht entnehmen, stand da doch man kann die Lücke durch ein pip install certifi stopfen. - Als ich danach aber den Hinweis bekam, dass das ganze "externally-managed-environment" ist, war natürlich auch für mich klar, dass ich hiermit keinen Erfolg werden habe. Insofern, wenn das ganze "externally-managed-environment" ist, dann frage ich doch mal die Jungs im iobroker Forum, vielleicht ist das Problem dort ja schon bekannt. Hier habe ich nun die Hinweise auf Debian bekommen, damit ist die Sache für mich auch OK, habe ich doch jetzt die Gewissheit das ich hier nichts übersehen / fremdverursacht habe.

Kommentare zu Herumgebastel, Quark und Panik halte ich hingegen für unangebracht für einen professionellen Austausch.

@thomas-braun

Da mir Tenable im "normalen" SSH-Context die ganze Linux-Befehlshistorie mit tausenden Prüfbefehlen auf Schwachstellen voll haut,arbeite ich gerne im Root Context da ich dort dann meine eigene Befehlshistorie sehe. Das das von manchen Linux-Profis nicht gern gesehen wird, ist mir klar.

(PS: Stimmt, in dem Fall oben habe ich sogar im normalen User-Context gearbeitet. )

Zitat:
Ich wollte auch eigentlich nur deutlich machen, das jedes System offene 'Issues' hat. Die kannst du eh nicht alle angehen. Regelmäßige Systempflege sollte reichen. Um die konkrete Klassifizierung der Dinger kümmert sich im Fall von Debian halt das 'Debian Security Team'.

Ich selbst habe alle meine Serversysteme (viele Raspberrys, 2x ESXi Server, paar Windows-Server, NAS-Systeme) in der kostenlosen Lösung von Tenable Nessus. Ich patche die meisten Linux-Systeme daher mindestens einmal die Woche, da immer einige Schwachstellen vorhanden sind, wie du schon sagst. Pro System sind oft 50-80 Schwachstellen völlig normal. - Wenn eine Schwachstelle aber als "hochkritisch" eingestuft wird, wie in diesem Fall geschehen, stecke ich meist einige Energie rein das abzustellen. - Manchmal ist dies nicht möglich, im Fall jetzt hätte es ja sein können das dies mit einem bestimmten Befehl oder Deinstallation eines bestimmten iobroker Adapters gelöst gewesen wäre. - Dies ist aber nicht der Fall, von daher muss ich das einfach so hinnehmen. Was beruhigt, das die Schwachstellenbewertung "kritisch" hier ja eher unzutreffend zu sein scheint.

Demnach hat mein Raspberry mit iobroker derzeoit 92x harmlose Schwachstelllen, 5x medium Schwachstellen und eben diese 1x certifi die als kritisch eingestuft wird.

@thomas-braun

Hi, nein, das habe ich noch nicht gemacht.
Hier die Ergebnisse:

# npm audit report

@75lb/deep-merge  <=1.1.1
Severity: high
@75lb/deep-merge Prototype Pollution vulnerability - https://github.com/advisori                                                                                             es/GHSA-28mc-g557-92m7
fix available via `npm audit fix`
node_modules/@75lb/deep-merge

axios  0.8.1 - 0.27.2 || 1.0.0 - 1.7.3
Severity: high
Axios Cross-Site Request Forgery Vulnerability - https://github.com/advisories/G                                                                                             HSA-wf5p-g6vw-rhxx
Axios Cross-Site Request Forgery Vulnerability - https://github.com/advisories/G                                                                                             HSA-wf5p-g6vw-rhxx
Server-Side Request Forgery in axios - https://github.com/advisories/GHSA-8hc4-v                                                                                             h64-cxmj
fix available via `npm audit fix --force`
Will install iobroker.unifi@0.6.3, which is a breaking change
node_modules/@alcalzone/pak/node_modules/axios
node_modules/axios
node_modules/iobroker.daswetter/node_modules/axios
node_modules/iobroker.javascript/node_modules/axios
node_modules/iobroker.parser/node_modules/axios
node_modules/iobroker.socketio/node_modules/axios
node_modules/iobroker.switchbot-hub/node_modules/axios
node_modules/iobroker.ws/node_modules/axios
node_modules/node-hue-api/node_modules/axios
node_modules/node-ical/node_modules/axios
node_modules/node-unifi/node_modules/axios
  @alcalzone/pak  0.3.0 - 0.10.0
  Depends on vulnerable versions of axios
  node_modules/@alcalzone/pak
    @iobroker/js-controller-adapter  *
    Depends on vulnerable versions of @alcalzone/pak
    Depends on vulnerable versions of @iobroker/db-objects-file
    Depends on vulnerable versions of @iobroker/db-objects-jsonl
    Depends on vulnerable versions of @iobroker/db-objects-redis
    Depends on vulnerable versions of @iobroker/db-states-file
    Depends on vulnerable versions of @iobroker/db-states-jsonl
    Depends on vulnerable versions of @iobroker/db-states-redis
    Depends on vulnerable versions of @iobroker/js-controller-common
    Depends on vulnerable versions of @iobroker/js-controller-common-db
    node_modules/@iobroker/js-controller-adapter
      iobroker.js-controller  >=4.0.0-alpha.1-20210830-d9828cd3
      Depends on vulnerable versions of @iobroker/db-objects-file
      Depends on vulnerable versions of @iobroker/db-objects-jsonl
      Depends on vulnerable versions of @iobroker/db-objects-redis
      Depends on vulnerable versions of @iobroker/db-states-file
      Depends on vulnerable versions of @iobroker/db-states-jsonl
      Depends on vulnerable versions of @iobroker/db-states-redis
      Depends on vulnerable versions of @iobroker/js-controller-adapter
      Depends on vulnerable versions of @iobroker/js-controller-cli
      Depends on vulnerable versions of @iobroker/js-controller-common
      Depends on vulnerable versions of @iobroker/js-controller-common-db
      node_modules/iobroker.js-controller
    @iobroker/js-controller-common-db  >=6.0.1-alpha.0-20240522-6037ce8ae
    Depends on vulnerable versions of @alcalzone/pak
    node_modules/@iobroker/js-controller-common-db
      @iobroker/db-base  >=6.0.1-alpha.0-20240522-6037ce8ae
      Depends on vulnerable versions of @iobroker/js-controller-common-db
      node_modules/@iobroker/db-base
        @iobroker/db-objects-file  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        Depends on vulnerable versions of @iobroker/db-objects-redis
        node_modules/@iobroker/db-objects-file
        @iobroker/db-objects-jsonl  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        Depends on vulnerable versions of @iobroker/db-objects-file
        Depends on vulnerable versions of @iobroker/db-objects-redis
        node_modules/@iobroker/db-objects-jsonl
        @iobroker/db-objects-redis  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        node_modules/@iobroker/db-objects-redis
        @iobroker/db-states-file  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        Depends on vulnerable versions of @iobroker/db-states-redis
        node_modules/@iobroker/db-states-file
        @iobroker/db-states-jsonl  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        Depends on vulnerable versions of @iobroker/db-states-file
        Depends on vulnerable versions of @iobroker/db-states-redis
        node_modules/@iobroker/db-states-jsonl
        @iobroker/db-states-redis  >=6.0.1-alpha.0-20240522-6037ce8ae
        Depends on vulnerable versions of @iobroker/db-base
        node_modules/@iobroker/db-states-redis
      @iobroker/js-controller-cli  >=6.0.1-alpha.0-20240522-6037ce8ae
      Depends on vulnerable versions of @iobroker/js-controller-common
      Depends on vulnerable versions of @iobroker/js-controller-common-db
      node_modules/@iobroker/js-controller-cli
      @iobroker/js-controller-common  >=6.0.1-alpha.0-20240522-6037ce8ae
      Depends on vulnerable versions of @iobroker/db-objects-file
      Depends on vulnerable versions of @iobroker/db-objects-jsonl
      Depends on vulnerable versions of @iobroker/db-objects-redis
      Depends on vulnerable versions of @iobroker/db-states-file
      Depends on vulnerable versions of @iobroker/db-states-jsonl
      Depends on vulnerable versions of @iobroker/db-states-redis
      Depends on vulnerable versions of @iobroker/js-controller-common-db
      node_modules/@iobroker/js-controller-common
  iobroker.switchbot-hub  *
  Depends on vulnerable versions of axios
  node_modules/iobroker.switchbot-hub
  iobroker.unifi  >=0.6.4
  Depends on vulnerable versions of axios
  Depends on vulnerable versions of node-unifi
  node_modules/iobroker.unifi
  node-hue-api  2.0.0-RC1 - 5.0.0-alpha.2
  Depends on vulnerable versions of axios
  node_modules/node-hue-api
    iobroker.hue  >=0.6.2
    Depends on vulnerable versions of node-hue-api
    node_modules/iobroker.hue
  node-ical  0.15.3 - 0.16.1
  Depends on vulnerable versions of axios
  node_modules/node-ical
    iobroker.jarvis  >=3.0.0
    Depends on vulnerable versions of ip
    Depends on vulnerable versions of node-ical
    Depends on vulnerable versions of semver
    node_modules/iobroker.jarvis
  node-unifi  >=2.3.0
  Depends on vulnerable versions of axios
  node_modules/node-unifi

braces  <3.0.3
Severity: high
Uncontrolled resource consumption in braces - https://github.com/advisories/GHSA                                                                                             -grv7-fg5c-xmjg
fix available via `npm audit fix`
node_modules/braces

debug  <=2.6.8 || 4.0.0 - 4.3.0
Severity: high
debug Inefficient Regular Expression Complexity vulnerability - https://github.c                                                                                             om/advisories/GHSA-9vvw-cc9w-f27h
Regular Expression Denial of Service in debug - https://github.com/advisories/GH                                                                                             SA-gxpj-cx7g-858c
Regular Expression Denial of Service in debug - https://github.com/advisories/GH                                                                                             SA-gxpj-cx7g-858c
Depends on vulnerable versions of ms
fix available via `npm audit fix --force`
Will install iobroker.tr-064@0.0.8, which is a breaking change
node_modules/engine.io-client/node_modules/debug
node_modules/iobroker.socketio/node_modules/debug
node_modules/iobroker.web/node_modules/debug
node_modules/mdns-discovery/node_modules/debug
node_modules/socket.io-client/node_modules/debug
node_modules/socket.io-parser/node_modules/debug
  engine.io  0.7.8 - 0.7.9 || 3.4.0 - 6.5.4
  Depends on vulnerable versions of debug
  Depends on vulnerable versions of ws
  Depends on vulnerable versions of ws
  node_modules/engine.io
  node_modules/iobroker.socketio/node_modules/engine.io
  node_modules/iobroker.web/node_modules/engine.io
    socket.io  2.2.0 - 3.0.4
    Depends on vulnerable versions of debug
    Depends on vulnerable versions of engine.io
    Depends on vulnerable versions of socket.io-parser
    node_modules/iobroker.socketio/node_modules/socket.io
    node_modules/iobroker.web/node_modules/socket.io
      iobroker.socketio  3.0.0 - 3.0.13 || 3.1.3 - 3.1.5 || 4.1.0 - 5.0.2 || 6.1                                                                                             .0 - 6.5.7 || >=6.6.0
      Depends on vulnerable versions of socket.io
      node_modules/iobroker.socketio
      node_modules/iobroker.web/node_modules/iobroker.socketio
        iobroker.web  4.2.1 - 4.3.0 || >=5.2.3
        Depends on vulnerable versions of iobroker.socketio
        node_modules/iobroker.web
  engine.io-client  <=3.1.1 || 3.5.0 - 3.5.3 || 4.0.0-alpha.0 - 5.2.0
  Depends on vulnerable versions of debug
  Depends on vulnerable versions of parsejson
  Depends on vulnerable versions of ws
  node_modules/engine.io-client
  node_modules/iobroker.web/node_modules/engine.io-client
    socket.io-client  1.0.0-pre - 2.1.1
    Depends on vulnerable versions of debug
    Depends on vulnerable versions of engine.io-client
    Depends on vulnerable versions of socket.io-parser
    node_modules/socket.io-client
      iobroker.cloud  <=2.4.6 || 2.8.0 - 3.0.2 || >=4.0.11
      Depends on vulnerable versions of socket.io-client
      node_modules/iobroker.cloud
  mdns-discovery  >=0.0.4
  Depends on vulnerable versions of debug
  Depends on vulnerable versions of dns-packet
  node_modules/mdns-discovery
    iobroker.discovery  *
    Depends on vulnerable versions of mdns-discovery
    Depends on vulnerable versions of node-ssdp
    node_modules/iobroker.discovery
    iobroker.tr-064  >=0.1.1
    Depends on vulnerable versions of mdns-discovery
    Depends on vulnerable versions of tr-O64
    Depends on vulnerable versions of xml2js
    node_modules/iobroker.tr-064
  socket.io-parser  <=3.3.3 || 3.4.0 - 4.0.2
  Depends on vulnerable versions of debug
  Depends on vulnerable versions of debug
  node_modules/iobroker.socketio/node_modules/socket.io-parser
  node_modules/iobroker.web/node_modules/socket.io-client/node_modules/socket.io                                                                                             -parser
  node_modules/iobroker.web/node_modules/socket.io-parser
  node_modules/socket.io-parser

ip  *
Severity: high
ip SSRF improper categorization in isPublic - https://github.com/advisories/GHSA                                                                                             -2p57-rm9w-gvfp
fix available via `npm audit fix --force`
Will install iobroker.jarvis@3.1.3, which is a breaking change
node_modules/ip
  dns-packet  <=5.2.4
  Depends on vulnerable versions of ip
  node_modules/dns-packet
  node-ssdp  >=1.0.1
  Depends on vulnerable versions of ip
  node_modules/node-ssdp

lodash  <=4.17.20
Severity: critical
Regular Expression Denial of Service (ReDoS) in lodash - https://github.com/advi                                                                                             sories/GHSA-x5rq-j2xg-h7qm
Prototype Pollution in lodash - https://github.com/advisories/GHSA-4xc9-xhrj-v57                                                                                             4
Regular Expression Denial of Service (ReDoS) in lodash - https://github.com/advi                                                                                             sories/GHSA-29mw-wpgm-hmr9
Prototype Pollution in lodash - https://github.com/advisories/GHSA-p6mc-m468-83g                                                                                             w
Command Injection in lodash - https://github.com/advisories/GHSA-35jh-r3h4-6jhm
Prototype Pollution in lodash - https://github.com/advisories/GHSA-fvqr-27wr-82f                                                                                             m
Prototype Pollution in lodash - https://github.com/advisories/GHSA-jf85-cpcp-j69                                                                                             5
fix available via `npm audit fix --force`
Will install iobroker.modbus@0.3.11, which is a breaking change
node_modules/stampit/node_modules/lodash
  stampit  2.0.1 - 2.1.2
  Depends on vulnerable versions of lodash
  node_modules/stampit
    iobroker.modbus  >=0.4.5
    Depends on vulnerable versions of put
    Depends on vulnerable versions of stampit
    Depends on vulnerable versions of stampit-event-bus
    Depends on vulnerable versions of stampit-state-machine
    node_modules/iobroker.modbus
    stampit-event-bus  *
    Depends on vulnerable versions of stampit
    node_modules/stampit-event-bus
    stampit-state-machine  *
    Depends on vulnerable versions of stampit
    Depends on vulnerable versions of stampit-event-bus
    node_modules/stampit-state-machine

micromatch  <4.0.8
Severity: moderate
Regular Expression Denial of Service (ReDoS) in micromatch - https://github.com/                                                                                             advisories/GHSA-952p-6rrq-rcjv
fix available via `npm audit fix`
node_modules/micromatch

ms  <2.0.0
Severity: moderate
Vercel ms Inefficient Regular Expression Complexity vulnerability - https://gith                                                                                             ub.com/advisories/GHSA-w9mr-4mfr-499f
fix available via `npm audit fix --force`
Will install iobroker.tr-064@0.0.8, which is a breaking change
node_modules/engine.io-client/node_modules/ms
node_modules/mdns-discovery/node_modules/ms
node_modules/socket.io-client/node_modules/ms
node_modules/socket.io-parser/node_modules/ms

parsejson  *
Severity: high
Regular Expression Denial of Service in parsejson - https://github.com/advisorie                                                                                             s/GHSA-q75g-2496-mxpp
fix available via `npm audit fix --force`
Will install iobroker.cloud@4.0.10, which is a breaking change
node_modules/parsejson

path-to-regexp  <=0.1.9 || 0.2.0 - 7.2.0
Severity: high
path-to-regexp outputs backtracking regular expressions - https://github.com/adv                                                                                             isories/GHSA-9wv6-86v2-598j
path-to-regexp outputs backtracking regular expressions - https://github.com/adv                                                                                             isories/GHSA-9wv6-86v2-598j
fix available via `npm audit fix --force`
Will install iobroker.simple-api@2.7.2, which is a breaking change
node_modules/nise/node_modules/path-to-regexp
node_modules/path-to-regexp
  express  4.0.0-rc1 - 4.19.2 || 5.0.0-alpha.1 - 5.0.0-beta.3
  Depends on vulnerable versions of path-to-regexp
  node_modules/express
  nise  *
  Depends on vulnerable versions of path-to-regexp
  node_modules/nise
    sinon  >=3.0.0
    Depends on vulnerable versions of nise
    node_modules/sinon
      @iobroker/testing  *
      Depends on vulnerable versions of sinon
      Depends on vulnerable versions of sinon-chai
      node_modules/@iobroker/testing
        iobroker.simple-api  >=2.8.0
        Depends on vulnerable versions of @iobroker/testing
        node_modules/iobroker.simple-api
      sinon-chai  >=3.0.0
      Depends on vulnerable versions of sinon
      node_modules/sinon-chai

put  *
Sensitive Data Exposure in put - https://github.com/advisories/GHSA-v6gv-fg46-h8                                                                                             9j
fix available via `npm audit fix --force`
Will install iobroker.modbus@0.3.11, which is a breaking change
node_modules/put

request  *
Severity: moderate
Server-Side Request Forgery in Request - https://github.com/advisories/GHSA-p8p7                                                                                             -x288-28g6
Depends on vulnerable versions of tough-cookie
fix available via `npm audit fix --force`
Will install iobroker.backitup@0.2.7, which is a breaking change
node_modules/request
  dropbox-v2-api  *
  Depends on vulnerable versions of request
  node_modules/dropbox-v2-api
    iobroker.backitup  >=0.3.0
    Depends on vulnerable versions of dropbox-v2-api
    node_modules/iobroker.backitup
  iobroker.javascript  *
  Depends on vulnerable versions of request
  node_modules/iobroker.javascript
  iobroker.vw-connect  *
  Depends on vulnerable versions of request
  node_modules/iobroker.vw-connect
  tr-O64  *
  Depends on vulnerable versions of request
  node_modules/tr-O64

semver  7.0.0 - 7.5.1
Severity: high
semver vulnerable to Regular Expression Denial of Service - https://github.com/a                                                                                             dvisories/GHSA-c2qf-rxjj-qqgw
fix available via `npm audit fix --force`
Will install iobroker.jarvis@3.1.3, which is a breaking change
node_modules/iobroker.jarvis/node_modules/semver


tough-cookie  <4.1.3
Severity: moderate
tough-cookie Prototype Pollution vulnerability - https://github.com/advisories/G                                                                                             HSA-72xf-g2v4-qvf3
fix available via `npm audit fix --force`
Will install iobroker.backitup@0.2.7, which is a breaking change
node_modules/tough-cookie

ws  2.1.0 - 5.2.3 || 7.0.0 - 7.5.9 || 8.0.0 - 8.17.0
Severity: high
ws affected by a DoS when handling a request with many HTTP headers - https://gi                                                                                             thub.com/advisories/GHSA-3h5v-q93c-6h6q
ws affected by a DoS when handling a request with many HTTP headers - https://gi                                                                                             thub.com/advisories/GHSA-3h5v-q93c-6h6q
ws affected by a DoS when handling a request with many HTTP headers - https://gi                                                                                             thub.com/advisories/GHSA-3h5v-q93c-6h6q
fix available via `npm audit fix --force`
Will install iobroker.cloud@4.0.10, which is a breaking change
node_modules/engine.io/node_modules/ws
node_modules/iobroker.web/node_modules/ws
node_modules/socket.io-adapter/node_modules/ws
node_modules/websocket-stream/node_modules/ws
  socket.io-adapter  2.5.2 - 2.5.4
  Depends on vulnerable versions of ws
  node_modules/socket.io-adapter
  websocket-stream  4.0.0 - 5.1.2 || >=5.4.0
  Depends on vulnerable versions of ws
  node_modules/websocket-stream
    iobroker.mqtt  >=2.1.0
    Depends on vulnerable versions of websocket-stream
    node_modules/iobroker.mqtt

xml2js  <0.5.0
Severity: moderate
xml2js is vulnerable to prototype pollution - https://github.com/advisories/GHSA                                                                                             -776f-qx25-q3cc
fix available via `npm audit fix --force`
Will install iobroker.tr-064@0.0.8, which is a breaking change
node_modules/xml2js
  iobroker.onkyo  >=2.0.0
  Depends on vulnerable versions of xml2js
  node_modules/iobroker.onkyo

68 vulnerabilities (4 low, 28 moderate, 34 high, 2 critical)

To address issues that do not require attention, run:
  npm audit fix

To address all issues possible (including breaking changes), run:
  npm audit fix --force

Some issues need review, and may require choosing
a different dependency.

@thomas-braun said in "certifi"-Sicherheitslücke bei iobroker Raspberry Pi:

Debian-provided CA certificates

Mhhh, Debian gibt dort ja an die Mozilla Zertifikate zu nutzen, Mozilla wiederum hat eigentlich das GLOBALTRUST Zertifikat mittlerweile zurückgezogen, insofern erstaunlich das ich auf meinem aktuellen Raspberry Pi noch das fragwürdige/zurückgezogene Root-CA von GLOBALTRUST finde:

iobrokerpi:/usr/share/ca-certificates/mozilla $ ls GLOBAL*
GLOBALTRUST_2020.crt

Naja, ursprünglich wurde die Sicherheitslücke von Github selbst (scheinbar automatisiert) als hochkritische 7.5er CVE Lücke eingestuft, so auch von Tenable Nessus als hochkritisch eingestuft. - Je mehr man sich einliest scheint es aber tatsächlich alles halb so wild zu sein, trotz der 7.5er Einstufung mancher Dienste.

@thomas-braun

Die Ausgabe des Befehls bestätigt, dass noch die gefährdete Version von 2022 installiert ist, nicht die gepatchte Variante von Juli 2024.

iobrokerpi:~ $ apt policy python3-certifi
python3-certifi:
  Installed: 2022.9.24-1
  Candidate: 2022.9.24-1
  Version table:
 *** 2022.9.24-1 500
        500 http://deb.debian.org/debian bookworm/main arm64 Packages
        500 http://deb.debian.org/debian bookworm/main armhf Packages
        100 /var/lib/dpkg/status

Hallo zusammen, seit einigen Tagen meldet meine "Nessus Tenable"-Instanz bei meinem iobroker Raspberry Pi eine Sicherheitslücke im Zertifikatsstore von "certifi". - Ich habe natürlich als erstes beim Raspberry PiOs Bookworm mit apt-get update / upgrade auf die neueste Version hochgezogen. - Das blieb erfolglos, die Sciherheitslücke besteht weiterhin.

link text

Dann habe ich versucht "pip" nachzuinstallieren, um mit "pip install certifi" die neueste, bereinigte Version zu installieren. Da sagte mir pip aber, in meinem Fall kann es das nicht tun, weil es ein "externally-managed-environment" vorgefunden hat, also ein Python einer anderen Instanz (von iobroker nehme ich an). - In iobroker sind aber auch alle Updates drin.

iobroker v7.0.23
Node.js: v20.17.0
NPM: 10.8.2
JS-Controller: 6.0.11

Falls das betroffene "certifi"-Paket in einem meiner installierten Adapter steckt, kriege ich raus in welchem ?