Vi ble gjort oppmerksom på et sikkerhetsproblem som påvirker installasjoner ved hjelp av Home Assistant Supervisor. En løsning for dette sikkerhetsproblemet har blitt rullet ut til alle berørte Home Assistant-brukere via Supervisor auto-oppdateringssystemet, og dette problemet er ikke lenger til stede.
Du kan bekrefte at du har mottatt oppdateringen på Home Assistant About-siden og bekrefte at du kjører Supervisor 2023.03.1 eller nyere. Hvis du ikke ser en Supervisor-versjon på Om-siden din, bruker du ikke en av de berørte installasjonstypene og har ikke vært sårbar.
Problemet er også løst i Home Assistant 2023.3.0. Denne versjonen ble utgitt 1. mars og har siden blitt installert av 33 % av brukerne våre.
Berørt versjon
Sikkerhetsproblemet påvirket installasjonstypene Home Assistant OS og Home Assistant Supervised. Dette inkluderer installasjoner som kjører på Home Assistant Blue og Home Assistant Yellow.
De to andre installasjonstypene, Home Assistant Container (Docker) og Home Assistant Core (eget Python-miljø), har ikke blitt påvirket.
Studiepoeng
Sikkerhetsproblemet ble funnet av Joseph Surin fra elttam. Tusen takk for at du gjorde oss oppmerksom på dette.
Om problemet
Supervisor er en applikasjon som er en del av Home Assistant OS og Home Assistant Supervised installasjoner og er ansvarlig for systemadministrasjon. Problemet tillot en angriper å omgå autentisering eksternt og samhandle direkte med Supervisor API. Dette gir en angriper tilgang til å installere Home Assistant-oppdateringer og administrere tillegg og sikkerhetskopier. Vår analyse viser at dette problemet har vært i hjemmeassistent siden introduksjonen av veilederen i 2017.
Vi har publisert sikkerhetsrådgivning CVE-2023-27482 på GitHub.
FAQ
Har denne sårbarheten blitt misbrukt?
Vi vet ikke. Vi har ikke hørt noen rapporter om at personer er blitt hacket.
Finnes det en løsning?
I tilfelle man ikke er i stand til å oppgradere Home Assistant Supervisor eller Home Assistant Core-applikasjonen på dette tidspunktet, anbefales det å ikke eksponere Home Assistant-instansen din for internett.
