blog.vyoralek.cz

HomeAssistant – chyba zapezpečení HACS

Důležité upozornění o nalezené bezpečnostní chybě v zabezpečení pro HomeAssistant v případě použití HACS.

V pátek a v sobotu (22 a 23.1.2021) vyšly hned dvě poměrně zásadní upozornění na objevení bezpečnostního problému v HomeAssistantovi, konkrétně pak v části custom Integration HACS, Font Awesome a dalších.

Důležité je poznamenat, že toto bezpečnostní riziko nastává pouze pokud používáte custom integration HACS. V případě aktivních custom integration pak problém nastal pouze u některých integrací, kdy může být útočník schopen stáhnout jakýkoliv soubor bez nutnosti přihlášení.

Pro vyřešení tohoto problémů je potřeba:

  1. nainstalovat si aktualizaci Home Assistant Core minimálně ve verzi 2021.1.5 (v době vydání tohoto článku byla k dispozici už dokonce verze 2021.1.7), které zastaví útočníky k získání přístupu přes custom integration HACS
  2. nainstalovat si aktualizaci customer integration a nebo je odstranit

Seznam aktuálně nalezených problematických addonů:

V případě pokud používáte vzdálený přístup do Home Assistanta pomocí Nabu Casa, pak ten bude do doby instalace aktualizace Home Assistant Core limitovaný a všichni uživatelé by měli být informování o situaci emailem.

Jak jde vidět občas můžou být addony třetích stran potencionálním bezpečnostním problémem, na což je člověk ostatně upozorňován už v případě instalace HACS. Na druhou stranu myšlenka šíršího repozitáře s různými doplňky smysl dává a na druhou stranu samotný Home Assistant momentálně nemá kapacity všechny doplňky prověřovat.

Originální zprávy najdete zde:

Add comment

Leave a Reply

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..

Odebírejte blog emailem

Mějte ihned informaci o novém článku ze světa technologií.