በርቀት ጥቅም ላይ የዋለ ተጋላጭነት በቤት ረዳት መድረክ

ወሳኝ ተጋላጭነት (CVE-2023-27482) ክፍት በሆነው የቤት አውቶሜሽን መድረክ ላይ ተለይቷል Home ረዳት፣ ይህም ማረጋገጥን ለማለፍ እና ልዩ የሆነውን ተቆጣጣሪ ኤፒአይ ሙሉ መዳረሻ ለማግኘት የሚያስችልዎ ሲሆን ይህም ቅንብሮችን መቀየር፣ ሶፍትዌር መጫን/ማዘመን፣ ተጨማሪዎችን እና ምትኬዎችን ያቀናብሩ።

ችግሩ የተቆጣጣሪውን አካል በሚጠቀሙ ጭነቶች ላይ ተጽዕኖ ያሳድራል እና ከመጀመሪያዎቹ ልቀቶች (ከ2017 ጀምሮ) ታይቷል። ለምሳሌ፣ ተጋላጭነቱ በHome Assistant OS እና Home Assistant Supervised አካባቢ ውስጥ አለ፣ ነገር ግን በHome Assistant Container (Docker) እና በHome Assistant Core ላይ በመመስረት በእጅ የ Python አከባቢዎችን አይነካም።

ተጋላጭነቱ በHome Assistant Supervisor ስሪት 2023.01.1 ተስተካክሏል። በHome Assistant 2023.3.0 ልቀት ላይ ተጨማሪ መፍትሄ ተካትቷል። ተጋላጭነትን ለማገድ ዝመናውን መጫን በማይቻልባቸው ስርዓቶች ላይ የቤት ረዳት የድር አገልግሎትን ከውጭ አውታረመረቦች ወደ አውታረመረብ ወደብ መድረስን መገደብ ይችላሉ።

የተጋላጭነት መጠቀሚያ ዘዴው ገና በዝርዝር አልተገለጸም (እንደ ገንቢዎች ገለጻ, ወደ 1/3 የሚሆኑ ተጠቃሚዎች ዝመናውን የጫኑ እና ብዙ ስርዓቶች ለአደጋ የተጋለጡ ናቸው). በተስተካከለው እትም ፣ በማመቻቸት ሽፋን ፣ በቶከኖች እና በተዘዋዋሪ መጠይቆች ሂደት ላይ ለውጦች ተደርገዋል ፣ እና የ SQL መጠይቆችን ለመተካት እና የ" ማስገባትን ለማገድ ማጣሪያዎች ተጨምረዋል። » и использования путей с «../» и «/./».

ምንጭ: opennet.ru