Chaidh so-leòntachd èiginneach (CVE-2023-27482) a chomharrachadh anns an àrd-ùrlar fèin-ghluasad dachaigh fosgailte Neach-taic Dachaigh, a leigeas leat faighinn seachad air dearbhadh agus làn chothrom fhaighinn air an API Neach-stiùiridh sochair, tron urrainn dhut roghainnean atharrachadh, bathar-bog a stàladh / ùrachadh, stiùirich tuilleadan agus cùl-taic.
Bidh an duilgheadas a’ toirt buaidh air ionadan a bhios a’ cleachdadh a’ phàirt Stiùiridh agus a tha air nochdadh bhon chiad fhoillseachadh (bho 2017). Mar eisimpleir, tha an so-leòntachd an làthair ann an àrainneachdan Neach-taic Dachaigh OS agus Neach-taic Dachaigh fo stiùir, ach chan eil e a’ toirt buaidh air Neach-taic Dachaigh (Docker) agus àrainneachdan Python a chaidh a chruthachadh le làimh stèidhichte air Home Assistant Core.
Tha an so-leòntachd stèidhichte ann an dreach Neach-stiùiridh Taic Dachaigh 2023.01.1. Tha dòigh-obrach a bharrachd air a ghabhail a-steach ann an sgaoileadh Neach-taic Dachaigh 2023.3.0. Air siostaman far nach eil e comasach an t-ùrachadh a chuir a-steach gus casg a chuir air so-leòntachd, faodaidh tu casg a chuir air ruigsinneachd gu port lìonra seirbheis lìn Neach-taic Dachaigh bho lìonraidhean taobh a-muigh.
Cha deach an dòigh air brath a ghabhail air so-leòntachd a mhìneachadh fhathast (a rèir an luchd-leasachaidh, tha timcheall air 1/3 de luchd-cleachdaidh air an ùrachadh a chuir a-steach agus tha mòran shiostaman fhathast so-leònte). Anns an dreach ceartaichte, fo stiùir optimization, chaidh atharrachaidhean a dhèanamh air làimhseachadh chomharran agus ceistean neach-ionaid, agus chaidh sìoltachain a chuir ris gus casg a chuir air cuir an àite cheistean SQL agus cuir a-steach am faidhle " » и использования путей с «../» и «/./».
Source: fosgailtenet.ru