In der offenen Hausautomationsplattform Home Assistant wurde eine kritische Schwachstelle (CVE-2023-27482) identifiziert, die es Ihnen ermöglicht, die Authentifizierung zu umgehen und vollen Zugriff auf die privilegierte Supervisor-API zu erhalten, über die Sie Einstellungen ändern, Software installieren/aktualisieren usw. können. Verwalten Sie Add-ons und Backups.
Das Problem betrifft Installationen, die die Supervisor-Komponente verwenden, und tritt seit den ersten Veröffentlichungen (seit 2017) auf. Die Schwachstelle ist beispielsweise in den Umgebungen „Home Assistant OS“ und „Home Assistant Supervised“ vorhanden, betrifft jedoch nicht den Home Assistant Container (Docker) und manuell erstellte Python-Umgebungen, die auf Home Assistant Core basieren.
Die Schwachstelle wurde in Home Assistant Supervisor Version 2023.01.1 behoben. Eine zusätzliche Problemumgehung ist in der Home Assistant-Version 2023.3.0 enthalten. Auf Systemen, auf denen es nicht möglich ist, das Update zur Blockierung der Schwachstelle zu installieren, können Sie den Zugriff auf den Netzwerkport des Home Assistant-Webdienstes von externen Netzwerken aus einschränken.
Die Methode zur Ausnutzung der Sicherheitslücke wurde noch nicht detailliert beschrieben (nach Angaben der Entwickler haben etwa ein Drittel der Benutzer das Update installiert und viele Systeme bleiben weiterhin anfällig). In der korrigierten Version wurden unter dem Deckmantel der Optimierung Änderungen an der Verarbeitung von Tokens und Proxy-Abfragen vorgenommen und Filter hinzugefügt, um die Ersetzung von SQL-Abfragen und das Einfügen des „ » и использования путей с «../» и «/./».
Source: opennet.ru