ಓಪನ್ ಹೋಮ್ ಆಟೊಮೇಷನ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು (CVE-2023-27482) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ನಿಮಗೆ ದೃಢೀಕರಣವನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಮತ್ತು ವಿಶೇಷ ಮೇಲ್ವಿಚಾರಕ API ಗೆ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ, ಅದರ ಮೂಲಕ ನೀವು ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು, ಸಾಫ್ಟ್ವೇರ್ ಸ್ಥಾಪಿಸಬಹುದು/ಅಪ್ಡೇಟ್ ಮಾಡಬಹುದು, ಆಡ್-ಆನ್ಗಳು ಮತ್ತು ಬ್ಯಾಕಪ್ಗಳನ್ನು ನಿರ್ವಹಿಸಿ.
ಸಮಸ್ಯೆಯು ಮೇಲ್ವಿಚಾರಕ ಘಟಕವನ್ನು ಬಳಸುವ ಸ್ಥಾಪನೆಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಮತ್ತು ಅದರ ಮೊದಲ ಬಿಡುಗಡೆಗಳಿಂದ (2017 ರಿಂದ) ಕಾಣಿಸಿಕೊಂಡಿದೆ. ಉದಾಹರಣೆಗೆ, ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ ಓಎಸ್ ಮತ್ತು ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ ಮೇಲ್ವಿಚಾರಣೆಯ ಪರಿಸರದಲ್ಲಿ ದುರ್ಬಲತೆ ಇರುತ್ತದೆ, ಆದರೆ ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ ಕಂಟೈನರ್ (ಡಾಕರ್) ಮತ್ತು ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ ಕೋರ್ ಅನ್ನು ಆಧರಿಸಿ ಹಸ್ತಚಾಲಿತವಾಗಿ ರಚಿಸಲಾದ ಪೈಥಾನ್ ಪರಿಸರದ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ.
ಗೃಹ ಸಹಾಯಕ ಮೇಲ್ವಿಚಾರಕರ ಆವೃತ್ತಿ 2023.01.1 ರಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ. ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ 2023.3.0 ಬಿಡುಗಡೆಯಲ್ಲಿ ಹೆಚ್ಚುವರಿ ಪರಿಹಾರವನ್ನು ಸೇರಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಲು ಸಾಧ್ಯವಾಗದ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ, ಬಾಹ್ಯ ನೆಟ್ವರ್ಕ್ಗಳಿಂದ ಹೋಮ್ ಅಸಿಸ್ಟೆಂಟ್ ವೆಬ್ ಸೇವೆಯ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗೆ ನೀವು ಪ್ರವೇಶವನ್ನು ನಿರ್ಬಂಧಿಸಬಹುದು.
ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ವಿಧಾನವನ್ನು ಇನ್ನೂ ವಿವರಿಸಲಾಗಿಲ್ಲ (ಡೆವಲಪರ್ಗಳ ಪ್ರಕಾರ, ಸುಮಾರು 1/3 ಬಳಕೆದಾರರು ನವೀಕರಣವನ್ನು ಸ್ಥಾಪಿಸಿದ್ದಾರೆ ಮತ್ತು ಅನೇಕ ವ್ಯವಸ್ಥೆಗಳು ದುರ್ಬಲವಾಗಿರುತ್ತವೆ). ಸರಿಪಡಿಸಿದ ಆವೃತ್ತಿಯಲ್ಲಿ, ಆಪ್ಟಿಮೈಸೇಶನ್ ನೆಪದಲ್ಲಿ, ಟೋಕನ್ಗಳು ಮತ್ತು ಪ್ರಾಕ್ಸಿಡ್ ಪ್ರಶ್ನೆಗಳ ಪ್ರಕ್ರಿಯೆಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲಾಗಿದೆ ಮತ್ತು SQL ಪ್ರಶ್ನೆಗಳ ಪರ್ಯಾಯವನ್ನು ಮತ್ತು "ಅಳವಡಿಕೆಯನ್ನು ನಿರ್ಬಂಧಿಸಲು ಫಿಲ್ಟರ್ಗಳನ್ನು ಸೇರಿಸಲಾಗಿದೆ. » и использования путей с «../» и «/./».
ಮೂಲ: opennet.ru