Удалённо эксплуатируемая уязвимость в платформе Home Assistant
Автор
Сообщение
news_bot ®
Стаж: 7 лет 2 месяца
Сообщений: 27286
В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять настройки, устанавливать/обновлять ПО, управлять дополнениями и резервными копиями.
Проблема затрагивает установки, в которых используется компонент Supervisor и появляется на начиная с первых его выпусков (с 2017 года). Например, уязвимость присутствует в окружениях Home Assistant OS и Home Assistant Supervised, но не затрагивает Home Assistant Container (Docker) и вручную созданные Python-окружения на базе Home Assistant Core.
Уязвимость устранена в версии Home Assistant Supervisor 2023.01.1. Дополнительно обходной вариант защиты включён в состав выпуска Home Assistant 2023.3.0. На системах на которых не удаётся установить обновление для блокирования уязвимости можно ограничить доступ к сетевому порту web-сервиса Home Assistant из внешних сетей.
Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены
изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега "<script>" и использования путей с "../" и "/./".
===========
Источник:
OpenNet.RU
===========
Похожие новости:
Теги для поиска: #_homeassistant
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Апр 16:41
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 7 лет 2 месяца |
|
|
В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять настройки, устанавливать/обновлять ПО, управлять дополнениями и резервными копиями. Проблема затрагивает установки, в которых используется компонент Supervisor и появляется на начиная с первых его выпусков (с 2017 года). Например, уязвимость присутствует в окружениях Home Assistant OS и Home Assistant Supervised, но не затрагивает Home Assistant Container (Docker) и вручную созданные Python-окружения на базе Home Assistant Core. Уязвимость устранена в версии Home Assistant Supervisor 2023.01.1. Дополнительно обходной вариант защиты включён в состав выпуска Home Assistant 2023.3.0. На системах на которых не удаётся установить обновление для блокирования уязвимости можно ограничить доступ к сетевому порту web-сервиса Home Assistant из внешних сетей. Метод эксплуатации уязвимости пока не детализируется (по оценке разработчиков около 1/3 пользователей установили обновление и многие системы остаются уязвимы). В исправленной версии под видом оптимизации внесены изменения в обработку токенов и проксируемых запросов, а также добавлены фильтры для блокирования подстановки SQL-запросов, вставки тега "<script>" и использования путей с "../" и "/./". =========== Источник: OpenNet.RU =========== |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 30-Апр 16:41
Часовой пояс: UTC + 5