Home Assistant Divulgación: vulnerabilidad de seguridad del supervisor – Home Assistant

Home Assistant Divulgación: vulnerabilidad de seguridad del supervisor – Home Assistant

Atención por favor lea

Nos informaron de un problema de seguridad que afectaba a las instalaciones que utilizaban Home Assistant Supervisor. Se implementó una solución para este problema de seguridad para todos los usuarios de Home Assistant afectados a través del sistema de actualización automática de Supervisor y este problema ya no está presente.

Puede verificar que recibió la actualización en la página Acerca de de Home Assistant y verificar que está ejecutando Supervisor 2023.03.1 o posterior. Si no ve una versión de Supervisor en su página Acerca de, no utiliza uno de los tipos de instalación afectados y no ha sido vulnerable.

El problema también se ha mitigado en Home Assistant 2023.3.0. Esta versión se lanzó el 1 de marzo y desde entonces ha sido instalada por el 33 % de nuestros usuarios.

Versión afectada

El problema de seguridad afectó los tipos de instalación Home Assistant OS y Home Assistant Supervised. Esto incluye las instalaciones que se ejecutan en Home Assistant Blue y Home Assistant Yellow.

Los otros dos tipos de instalación, Home Assistant Container (Docker) y Home Assistant Core (entorno propio de Python), no se han visto afectados.

Créditos

El problema de seguridad fue encontrado por Joseph Surin de elttam. Muchas gracias por traer esto a nuestra atención.

sobre el problema

El Supervisor es una aplicación que forma parte de las instalaciones Home Assistant OS y Home Assistant Supervised y es responsable de la gestión del sistema. El problema permitió a un atacante eludir la autenticación de forma remota e interactuar directamente con la API del supervisor. Esto le da acceso a un atacante para instalar actualizaciones de Home Assistant y administrar complementos y copias de seguridad. Nuestro análisis muestra que este problema ha estado presente en Home Assistant desde la introducción del Supervisor en 2017.

Hemos publicado el aviso de seguridad CVE-2023-27482 en GitHub.

Preguntas más frecuentes


¿Se ha abusado de esta vulnerabilidad?

no lo sabemos No hemos escuchado ningún informe de personas que hayan sido pirateadas.


Visto en