Ce blog ressemble beaucoup à la divulgation de sécurité d'hier. Cependant, C'est une nouvelle révélation, ce qui affecte un problème similaire. Nous voulons nous assurer que les informations sont complètes.
Ceci est une divulgation sur les vulnérabilités de sécurité trouvées dans Intégrations tierces personnalisées. Home Assistant ne crée ni ne maintient d'intégrations personnalisées. Les utilisateurs les installent à leurs propres risques. Nous souhaitons vous en informer car les vulnérabilités trouvées affectent la sécurité de votre instance Home Assistant.
Si vous n'utilisez pas d'intégrations personnalisées, votre Home Assistant n'est pas vulnérable. Si vous utilisez des intégrations personnalisées, votre instance pourrait être vulnérable si vous utilisez l'une des intégrations concernées.
TL; DR:
- Plusieurs intégrations personnalisées ont été trouvées, permettant à un attaquant de voler n'importe quel fichier sans se connecter. Les correctifs précédemment mis en œuvre n'étaient pas suffisants.
- Mettez à jour Home Assistant dès que possible. Noyau de l'assistant à domicile 2021.1.5 Ajout d'une atténuation pour éviter que le problème ne se produise.
- Mettez à jour les intégrations personnalisées vers une version fixe ou supprimez-les de votre installation.
- Si vous avez utilisé l'une des intégrations personnalisées avec une vulnérabilité connue, nous vous recommandons de mettre à jour vos informations d'identification.
Dans la matinée du samedi 23 janvier 2021, le chercheur en sécurité Nathan Brady a signalé une faille de sécurité dans le projet Home Assistant. Fourni plus d'informations sur la mise en œuvre des correctifs apportés à la vulnérabilité de sécurité précédente. Nous avons appris que toutes les intégrations personnalisées qui implémentent des correctifs de sécurité ne suffisent pas à contourner le problème.
Nous avons vérifié tous les correctifs apportés aux intégrations personnalisées jugées vulnérables dans la divulgation de sécurité précédente. L’essentiel est que certaines intégrations personnalisées sont toujours vulnérables à une attaque par traversée de répertoire sans s’authentifier auprès de Home Assistant. Permet à un attaquant d'accéder à n'importe quel fichier sans avoir à se connecter. Cet accès inclut toutes les informations d'identification que vous avez pu stocker pour permettre à Home Assistant d'accéder à d'autres services.
Nous avons signalé ces problèmes de manière responsable aux auteurs de ces intégrations personnalisées et avons travaillé avec eux pour corriger leurs intégrations.
Ce qui suit a été trouvé :
Assurez-vous également de lire la déclaration de sécurité ci-dessus. Même si vous n'êtes peut-être pas affecté par cette vulnérabilité de sécurité spécifique, vous pouvez être affecté par la vulnérabilité trouvée ci-dessus.
En plus de travailler avec les auteurs de l'intégration personnalisée, les actions suivantes ont été prises pour aider à protéger les utilisateurs :
- Home Assistant a lancé Home Assistant Core 2021.1.5 avec une protection supplémentaire pour arrêter les attaques par traversée de répertoire avant qu'elles n'atteignent le code vulnérable. Cela empêche l’abus de toutes les vulnérabilités trouvées.
- Cette divulgation de sécurité est largement partagée et liée aux annonces sur le site Web et les forums de Home Assistant.
- Home Assistant Supervisor avertira l'utilisateur lorsqu'une installation potentiellement non sécurisée utilisant des intégrations personnalisées est détectée.
- Les applications Android et iOS sont mises à jour pour informer l'utilisateur si son instance Home Assistant est potentiellement non sécurisée.
- Nabu Casa a mis à jour sa fonctionnalité pour limiter l'accès à distance via Home Assistant Cloud et bloquer les instances exécutant une version non sécurisée de Home Assistant Core.
- Une alerte a été placée sur alert.home-assistant.io.
Très bien, nous voici, un jour après notre première divulgation majeure de sécurité, en révélant une deuxième. Ce n'est probablement pas amusant, mais nous sommes reconnaissants qu'ils nous aient signalés comme responsables. Cette fois, nous avons pu avancer rapidement et tout mettre à jour assez rapidement. Nous avons donc décidé de divulguer toutes les informations immédiatement.
Je tiens à souligner que vous n'êtes pas autorisé à harceler/attaquer/insulter personnellement les développeurs de ces intégrations personnalisées. Cela constituerait une violation de notre code de conduite et nous le ferons respecter.
Paul
Sommaire
FAQ
Cette vulnérabilité a-t-elle été abusée?
Nous ne le savons pas.
