Π£Π΄Π°Π»Ρ‘Π½Π½ΠΎ эксплуатируСмая ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ Π² ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ Home Assistant

Π’ ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΎΠΉ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΠ΅ домашнСй Π°Π²Ρ‚ΠΎΠΌΠ°Ρ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Home Assistant выявлСна критичСская ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ (CVE-2023-27482), ΠΏΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰Π°Ρ ΠΎΠ±ΠΎΠΉΡ‚ΠΈ Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ ΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ ΠΏΠΎΠ»Π½Ρ‹ΠΉ доступ ΠΊ ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½ΠΎΠΌΡƒ API Supervisor, Ρ‡Π΅Ρ€Π΅Π· ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ ΠΌΠΎΠΆΠ½ΠΎ ΠΌΠ΅Π½ΡΡ‚ΡŒ настройки, ΡƒΡΡ‚Π°Π½Π°Π²Π»ΠΈΠ²Π°Ρ‚ΡŒ/ΠΎΠ±Π½ΠΎΠ²Π»ΡΡ‚ΡŒ ПО, ΡƒΠΏΡ€Π°Π²Π»ΡΡ‚ΡŒ дополнСниями ΠΈ Ρ€Π΅Π·Π΅Ρ€Π²Π½Ρ‹ΠΌΠΈ копиями.

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ установки, Π² ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚ Supervisor ΠΈ появляСтся Π½Π° начиная с ΠΏΠ΅Ρ€Π²Ρ‹Ρ… Π΅Π³ΠΎ выпусков (с 2017 Π³ΠΎΠ΄Π°). НапримСр, ΡƒΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ присутствуСт Π² окруТСниях Home Assistant OS ΠΈ Home Assistant Supervised, Π½ΠΎ Π½Π΅ Π·Π°Ρ‚Ρ€Π°Π³ΠΈΠ²Π°Π΅Ρ‚ Home Assistant Container (Docker) ΠΈ Π²Ρ€ΡƒΡ‡Π½ΡƒΡŽ созданныС Python-окруТСния Π½Π° Π±Π°Π·Π΅ Home Assistant Core.

Π£ΡΠ·Π²ΠΈΠΌΠΎΡΡ‚ΡŒ устранСна Π² вСрсии Home Assistant Supervisor 2023.01.1. Π”ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎ ΠΎΠ±Ρ…ΠΎΠ΄Π½ΠΎΠΉ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π²ΠΊΠ»ΡŽΡ‡Ρ‘Π½ Π² состав выпуска Home Assistant 2023.3.0. На систСмах Π½Π° ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… Π½Π΅ удаётся ΡƒΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ для блокирования уязвимости ΠΌΠΎΠΆΠ½ΠΎ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ сСтСвому ΠΏΠΎΡ€Ρ‚Ρƒ web-сСрвиса Home Assistant ΠΈΠ· Π²Π½Π΅ΡˆΠ½ΠΈΡ… сСтСй.

ΠœΠ΅Ρ‚ΠΎΠ΄ эксплуатации уязвимости ΠΏΠΎΠΊΠ° Π½Π΅ дСтализируСтся (ΠΏΠΎ ΠΎΡ†Π΅Π½ΠΊΠ΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΎΠΊΠΎΠ»ΠΎ 1/3 ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ установили ΠΎΠ±Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΈ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ систСмы ΠΎΡΡ‚Π°ΡŽΡ‚ΡΡ уязвимы). Π’ исправлСнной вСрсии ΠΏΠΎΠ΄ Π²ΠΈΠ΄ΠΎΠΌ ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΈ внСсСны измСнСния Π² ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΡƒ Ρ‚ΠΎΠΊΠ΅Π½ΠΎΠ² ΠΈ проксируСмых запросов, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Ρ‹ для блокирования подстановки SQL-запросов, вставки Ρ‚Π΅Π³Π° «<script>» ΠΈ использования ΠΏΡƒΡ‚Π΅ΠΉ с «../» ΠΈ «/./».

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru