Nos informaron de un problema de seguridad que afectaba a las instalaciones que utilizaban Home Assistant Supervisor. Se implementó una solución para este problema de seguridad para todos los usuarios de Home Assistant afectados a través del sistema de actualización automática de Supervisor y este problema ya no está presente.
Puede verificar que recibió la actualización en la página Acerca de de Home Assistant y verificar que está ejecutando Supervisor 2023.03.1 o posterior. Si no ve una versión de Supervisor en su página Acerca de, no utiliza uno de los tipos de instalación afectados y no ha sido vulnerable.
El problema también se ha mitigado en Home Assistant 2023.3.0. Esta versión se lanzó el 1 de marzo y desde entonces ha sido instalada por el 33 % de nuestros usuarios.
Índice
Versión afectada
El problema de seguridad afectó los tipos de instalación Home Assistant OS y Home Assistant Supervised. Esto incluye las instalaciones que se ejecutan en Home Assistant Blue y Home Assistant Yellow.
Los otros dos tipos de instalación, Home Assistant Container (Docker) y Home Assistant Core (entorno propio de Python), no se han visto afectados.
Créditos
El problema de seguridad fue encontrado por Joseph Surin de elttam. Muchas gracias por traer esto a nuestra atención.
sobre el problema
El Supervisor es una aplicación que forma parte de las instalaciones Home Assistant OS y Home Assistant Supervised y es responsable de la gestión del sistema. El problema permitió a un atacante eludir la autenticación de forma remota e interactuar directamente con la API del supervisor. Esto le da acceso a un atacante para instalar actualizaciones de Home Assistant y administrar complementos y copias de seguridad. Nuestro análisis muestra que este problema ha estado presente en Home Assistant desde la introducción del Supervisor en 2017.
Hemos publicado el aviso de seguridad CVE-2023-27482 en GitHub.
Preguntas más frecuentes
¿Se ha abusado de esta vulnerabilidad?
no lo sabemos No hemos escuchado ningún informe de personas que hayan sido pirateadas.
Visto en