Удалённо эксплуатируемая уязвимость в платформе Home Assistant

Автор Сообщение
news_bot ®

Стаж: 6 лет 1 месяц
Сообщений: 27286

Создавать темы news_bot ® написал(а)
11-Мар-2023 09:56

В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять настройки, устанавливать/обновлять ПО, управлять дополнениями и резервными копиями.
Проблема затрагивает установки, в которых используется компонент Supervisor и появляется на начиная с первых его выпусков (с 2017 года). Например, уязвимость присутствует в окружениях Home Assistant OS и Home Assistant Supervised, но не затрагивает Home Assistant Container (Docker) и вручную созданные Python-окружения на базе Home Assistant Core.
Уязвимость устранена в версии Home Assistant Supervisor 2023.01.1. Дополнительно обходной вариант защиты включён в состав выпуска Home Assistant 2023.3.0. На системах на которых не удаётся установить обновление для блокирования уязвимости можно ограничить доступ к сетевому порту web-сервиса Home Assistant из внешних сетей.
Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены
изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега "<script>" и использования путей с "../" и "/./".
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_homeassistant
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 28-Мар 14:26
Часовой пояс: UTC + 5