Açık ev otomasyon platformu Home Assistant'ta, kimlik doğrulamayı atlamanıza ve ayarları değiştirebileceğiniz, yazılımı kurabileceğiniz/güncelleyebileceğiniz ayrıcalıklı Süpervizör API'sine tam erişim elde etmenize olanak tanıyan kritik bir güvenlik açığı (CVE-2023-27482) belirlendi. eklentileri ve yedeklemeleri yönetin.
Sorun, Supervisor bileşenini kullanan kurulumları etkiliyor ve ilk sürümlerinden bu yana (2017'den beri) ortaya çıkıyor. Örneğin, güvenlik açığı Home Assistant İşletim Sistemi ve Home Assistant Denetimli ortamlarda mevcuttur, ancak Home Assistant Container'ı (Docker) ve Home Assistant Core'a dayalı olarak manuel olarak oluşturulan Python ortamlarını etkilemez.
Güvenlik açığı, Home Assistant Supervisor'ın 2023.01.1 sürümünde düzeltildi. Home Assistant 2023.3.0 sürümünde ek bir geçici çözüm bulunmaktadır. Güvenlik açığını engellemek için güncellemenin yüklenmesinin mümkün olmadığı sistemlerde, Home Assistant web hizmetinin ağ bağlantı noktasına harici ağlardan erişimi kısıtlayabilirsiniz.
Bu güvenlik açığından yararlanma yöntemi henüz ayrıntılı olarak açıklanmadı (geliştiricilere göre kullanıcıların yaklaşık 1/3'ü güncellemeyi yükledi ve birçok sistem hala savunmasız durumda). Düzeltilmiş sürümde, optimizasyon kisvesi altında, belirteçlerin ve proxy sorguların işlenmesinde değişiklikler yapıldı ve SQL sorgularının değiştirilmesini ve "" ifadesinin eklenmesini engellemek için filtreler eklendi. » и использования путей с «../» и «/./».
Kaynak: opennet.ru