V pátek a v sobotu (22 a 23.1.2021) vyšly hned dvě poměrně zásadní upozornění na objevení bezpečnostního problému v HomeAssistantovi, konkrétně pak v části custom Integration HACS, Font Awesome a dalších.
Důležité je poznamenat, že toto bezpečnostní riziko nastává pouze pokud používáte custom integration HACS. V případě aktivních custom integration pak problém nastal pouze u některých integrací, kdy může být útočník schopen stáhnout jakýkoliv soubor bez nutnosti přihlášení.
Pro vyřešení tohoto problémů je potřeba:
- nainstalovat si aktualizaci Home Assistant Core minimálně ve verzi 2021.1.5 (v době vydání tohoto článku byla k dispozici už dokonce verze 2021.1.7), které zastaví útočníky k získání přístupu přes custom integration HACS
- nainstalovat si aktualizaci customer integration a nebo je odstranit
Seznam aktuálně nalezených problematických addonů:
- Home Assistant Community Store (HACS) – opraveno ve verzi 1.10.1
- Dwains Lovelace Dashboard – opraveno ve verzi 2.0.1
- Font Awesome – opraveno ve verzi 1.3.1
- BWAlarm (ak74 edition) – opraveno ve verzi 1.12.9
- Simple Icons – opraveno ve verzi 1.11.0
- Customer Updated – opraveno v poslední commitu
- Customer icons – zatím neopraveno
- Hass-album – zatím neopraveno
V případě pokud používáte vzdálený přístup do Home Assistanta pomocí Nabu Casa, pak ten bude do doby instalace aktualizace Home Assistant Core limitovaný a všichni uživatelé by měli být informování o situaci emailem.
Jak jde vidět občas můžou být addony třetích stran potencionálním bezpečnostním problémem, na což je člověk ostatně upozorňován už v případě instalace HACS. Na druhou stranu myšlenka šíršího repozitáře s různými doplňky smysl dává a na druhou stranu samotný Home Assistant momentálně nemá kapacity všechny doplňky prověřovat.
Originální zprávy najdete zde:
Add comment