Update zur Behebung einer potentiellen Schwachstelle im FTP Zugriff des Miniservers

Bei Loxone schützen wir nicht nur Haus und Gebäude sondern auch die Systeme unserer Kunden. Deshalb führen wir regelmäßig Security Audits durch.

Bei unserem letzten Audit am 24. Januar 2022 haben wir eine Sicherheitslücke im Zusammenhang mit dem FTP Zugang von Miniserver mit den Firmware Versionen 12.1.6.17, 12.1.7.16, 12.2.10.27 und 12.2.11.5 entdeckt.
Diese Sicherheitslücke kann in seltenen Szenarien in Installationen, in denen der FTP Zugang des Miniservers freigegeben ist, von Angreifern genutzt werden um Daten am Miniserver zu verändern.

Unser Team hat umgehend eine neue Version erstellt um diese Schwachstelle zu schließen. Die Firmware Version 12.2.12.1 steht Ihnen ab sofort zum Download bereit und wird bei allen Miniservern mit den Firmware Version 12.1.6.17, 12.1.7.16, 12.2.10.27 und 12.2.11.5 empfohlen.

Das Update wurde heute zusätzlich in der Loxone App freigeschaltet um ein komfortables Updaten durch den User zu ermöglichen. Die neue Version umfasst neben der Behebung der Sicherheitslücke keine weiteren Änderungen.

Es sind keine Fälle bekannt bei denen diese Schwachstelle durch einen Angreifer ausgenutzt wurde.
Wie üblich empfehlen wir alle Kundeninstallationen am aktuellen Stand zu halten. Das Update unterbindet das potentielle Angriffsszenario komplett und sorgt so für maximale Sicherheit.