Нээлттэй гэрийн автоматжуулалтын платформ Home Assistant-д чухал эмзэг байдал (CVE-2023-27482) тогтоогдсон бөгөөд энэ нь таныг баталгаажуулалтыг алгасаж, давуу эрхтэй Supervisor API-д бүрэн нэвтрэх боломжийг олгодог бөгөөд үүгээр дамжуулан тохиргоог өөрчлөх, програм хангамж суулгах/шинэчлэх, нэмэлт болон нөөцлөлтийг удирдах.
Асуудал нь Supervisor бүрэлдэхүүн хэсгийг ашигладаг суулгацуудад нөлөөлж, анхны хувилбаруудаасаа хойш (2017 оноос хойш) гарч ирсэн. Жишээлбэл, эмзэг байдал нь Home Assistant OS болон Home Assistant Supervised орчинд байдаг боловч Home Assistant Container (Docker) болон Home Assistant Core дээр суурилсан гараар үүсгэсэн Python орчинд нөлөөлөхгүй.
Энэ эмзэг байдлыг Home Assistant Supervisor-ийн 2023.01.1 хувилбар дээр зассан. Home Assistant 2023.3.0 хувилбарт нэмэлт шийдлийг оруулсан болно. Эмзэг байдлыг хаахын тулд шинэчлэлтийг суулгах боломжгүй системүүдэд та Home Assistant вэб үйлчилгээний сүлжээний порт руу гадаад сүлжээнээс нэвтрэх эрхийг хязгаарлаж болно.
Эмзэг байдлыг ашиглах аргыг хараахан нарийвчлан гаргаагүй байна (хөгжүүлэгчдийн үзэж байгаагаар хэрэглэгчдийн 1/3 орчим нь шинэчлэлтийг суулгасан бөгөөд олон систем эмзэг хэвээр байна). Засварласан хувилбарт оновчлолын нэрийн дор жетон болон прокси асуулгын боловсруулалтад өөрчлөлт оруулж, SQL асуулгыг орлуулах, "" оруулахыг хориглох шүүлтүүрийг нэмсэн. » и использования путей с «../» и «/./».
Эх сурвалж: opennet.ru