Divulgación de seguridad 2:
NUEVA ACTUALIZACIÓN DE SEGURIDAD. ACTUALIZAD TODOS VUESTRO HOME ASSISTANT!!!!
Este blog se parece mucho a la divulgación de seguridad de ayer . Sin embargo, es una nueva divulgación que afecta a un problema similar. Queremos asegurarnos de que la información esté completa.
Esta es una divulgación sobre las vulnerabilidades de seguridad encontradas en integraciones personalizadas de terceros . Home Assistant no crea ni mantiene integraciones personalizadas. Los usuarios los instalan bajo su propia responsabilidad. Queremos informarle sobre estos porque las vulnerabilidades encontradas afectan la seguridad de su instancia de Home Assistant.
Si no utiliza integraciones personalizadas, su Home Assistant no es vulnerable. Si usa integraciones personalizadas, su instancia podría ser vulnerable si usa una de las integraciones afectadas.
TL; DR:
- Se encontraron múltiples integraciones personalizadas que permitían a un atacante robar cualquier archivo sin iniciar sesión. Las correcciones implementadas anteriormente no eran suficientes.
- Actualice Home Assistant lo antes posible. Home Assistant Core 2021.1.5 agregó mitigación para evitar que ocurra el problema.
- Actualice las integraciones personalizadas a una versión fija o elimínelas de su instalación.
- Si ha utilizado alguna de las integraciones personalizadas con una vulnerabilidad conocida, le recomendamos que actualice sus credenciales.
En la mañana del sábado 23 de enero de 2021, el investigador de seguridad Nathan Brady informó al proyecto Home Assistant sobre una vulnerabilidad de seguridad. Proporcionó más información sobre la implementación de las correcciones realizadas para la vulnerabilidad de seguridad anterior . Aprendimos que no todas las integraciones personalizadas que implementan parches de seguridad son suficientes para desviar el problema.
Verificamos todas las correcciones realizadas a integraciones personalizadas que se encontraron vulnerables en la divulgación de seguridad anterior. La conclusión es que algunas integraciones personalizadas siguen siendo vulnerables a un ataque transversal de directorio mientras no se autentican con Home Assistant. Permite que un atacante acceda a cualquier archivo sin tener que iniciar sesión. Este acceso incluye cualquier credencial que pueda haber almacenado para permitir que Home Assistant acceda a otros servicios.
Hemos informado de manera responsable estos problemas a los autores de esas integraciones personalizadas y hemos trabajado con ellos para corregir sus integraciones.
Se ha encontrado lo siguiente:
- Tienda comunitaria Home Assistant (HACS): corregido en 1.10.1
- Font Awesome – arreglado en 1.3.1
- BWAlarm (edición ak74) – corregido en 1.12.9
- Iconos simples : corregidos en 1.11.0
Asegúrese de leer también la divulgación de seguridad anterior . Si bien es posible que esta vulnerabilidad de seguridad específica no los afecte, es posible que usted se vea afectado por la vulnerabilidad encontrada anteriormente.
Además de trabajar con los autores de la integración personalizada, se han realizado las siguientes acciones para ayudar a proteger a los usuarios:
- Home Assistant lanzó Home Assistant Core 2021.1.5 con protección adicional para detener los ataques transversales de directorio antes de llegar al código vulnerable. Esto evita el abuso de todas las vulnerabilidades encontradas.
- Esta divulgación de seguridad se comparte ampliamente y se vincula desde anuncios en el sitio web y foros de Home Assistant.
- Home Assistant Supervisor notificará al usuario cuando se encuentre una posible instalación insegura que use integraciones personalizadas.
- Las aplicaciones de Android e iOS se actualizan para notificar al usuario si su instancia de Home Assistant es potencialmente insegura.
- Nabu Casa actualizó su función para limitar el acceso remoto a través de Home Assistant Cloud y bloquear instancias que ejecutan una versión insegura de Home Assistant Core.
- Se ha colocado una alerta en alert.home-assistant.io .
Muy bien, aquí estamos, un día después de nuestra primera divulgación de seguridad importante, divulgando una segunda. Seguramente no es divertido, pero estamos agradecidos de que nos hayan informado de manera responsable. Esta vez pudimos movernos rápidamente y actualizar todo bastante rápido. Por lo tanto, decidimos divulgar toda la información de inmediato.
Quiero enfatizar que no está permitido acosar / atacar / insultar personalmente a los desarrolladores de estas integraciones personalizadas. Eso sería una violación de nuestro Código de Conducta y lo haremos cumplir.
Paulus
Sigueme a Youtube
