Home Assistant ochiq uy avtomatlashtirish platformasida muhim zaiflik (CVE-2023-27482) aniqlandi, bu sizga autentifikatsiyani chetlab o'tish va imtiyozli Supervisor API-ga to'liq kirish imkonini beradi, bu orqali sozlamalarni o'zgartirish, dasturiy ta'minotni o'rnatish/yangilash, qo'shimchalar va zaxiralarni boshqarish.
Muammo Supervisor komponentidan foydalanadigan o'rnatishlarga ta'sir qiladi va uning birinchi nashrlaridan beri (2017 yildan beri) paydo bo'ldi. Masalan, zaiflik Home Assistant OS va Home Assistant nazorat qilinadigan muhitlarda mavjud, lekin Home Assistant Container (Docker) va Home Assistant Core asosida qo‘lda yaratilgan Python muhitlariga ta’sir qilmaydi.
Zaiflik Home Assistant Supervisor 2023.01.1 versiyasida tuzatilgan. Qo'shimcha vaqtinchalik yechim Home Assistant 2023.3.0 versiyasiga kiritilgan. Zaiflikni bloklash uchun yangilanishni o'rnatish imkoni bo'lmagan tizimlarda siz tashqi tarmoqlardan Home Assistant veb-xizmatining tarmoq portiga kirishni cheklashingiz mumkin.
Zaiflikdan foydalanish usuli hali batafsil bayon qilinmagan (ishlab chiquvchilarning fikriga ko'ra, foydalanuvchilarning taxminan 1/3 qismi yangilanishni o'rnatgan va ko'plab tizimlar zaifligicha qolmoqda). To'g'rilangan versiyada optimallashtirish niqobi ostida tokenlar va proksi-so'rovlarni qayta ishlashga o'zgartirishlar kiritildi va SQL so'rovlarini almashtirish, "" tegini qo'shish va yo'llardan foydalanishni blokirovka qilish uchun filtrlar qo'shildi. “../” va “/./”.
Manba: opennet.ru