Home Assistant açıq ev avtomatlaşdırma platformasında kritik zəiflik (CVE-2023-27482) müəyyən edilmişdir ki, bu da autentifikasiyadan yan keçməyə və imtiyazlı Supervisor API-yə tam giriş əldə etməyə imkan verir, onun vasitəsilə siz parametrləri dəyişdirə, proqram təminatı quraşdıra/yenilədə, əlavələri idarə edə bilərsiniz. -onlar və ehtiyat nüsxələr.
Problem Nəzarətçi komponentindən istifadə edən quraşdırmalara təsir edir və onun ilk buraxılışlarından bəri (2017-ci ildən) mövcuddur. Məsələn, boşluq Home Assistant ƏS-də və Home Assistant Nəzarət edilən mühitlərdə mövcuddur, lakin Home Assistant Container (Docker) və Home Assistant Core əsasında əl ilə yaradılmış Python mühitlərinə təsir göstərmir.
Boşluq Home Assistant Supervisor 2023.01.1 versiyasında aradan qaldırılıb. Əlavə təhlükəsizlik yan keçid seçimi Home Assistant 2023.3.0 buraxılışına daxil edilmişdir. Boşluğu bloklamaq üçün yeniləməni quraşdıra bilməyən sistemlərdə siz Home Assistant veb xidmətinin şəbəkə portuna xarici şəbəkələrdən girişi məhdudlaşdıra bilərsiniz.
Boşluqdan istifadə üsulu hələ də təfərrüatlı deyildir (tərtibatçıların fikrincə, istifadəçilərin təxminən 1/3 hissəsi yeniləməni quraşdırıb və bir çox sistemlər həssas olaraq qalır). Düzəliş edilmiş versiyada, optimallaşdırma adı altında, tokenlərin və etibarlı sorğuların emalına dəyişikliklər edildi və etiketi daxil edərək SQL sorğularının dəyişdirilməsini bloklamaq üçün filtrlər əlavə edildi. » и использования путей с «../» и «/./».
Mənbə: opennet.ru