Il team di sviluppo dell’HUB per domotica personale Home Assistant ha appena rilasciato un inusuale ma importante bollettino di sicurezza il quale segnala falle di sicurezza legate intrinsecamente a quella presente sull’HUB (in versioni inferiori alla 2021.1.3) ed emersa la scorsa settimana.
Come detto, le vulnerabilità riguardano alcuni componenti esterni: sono state trovate più integrazioni personalizzate che consentivano potenzialmente a un utente malintenzionato di accedere a qualsiasi file senza effettuare l’accesso.
Le integrazioni oggetto di questa problema sono:
- ⚠️ Home Assistant Community Store (HACS) – corretto dalla versione 1.10.0
- Dwains Lovelace Dashboard – corretto dalla versione 2.0.1
- Font Awesome – corretto dalla versione 1.3.0
- Hass-Custom-Alarm (akasma74) – corretto dalla versione 1.12.8
- Simple Icons – corretto dalla versione 1.10.0
- Custom Updater (deprecated) – corretto con l’ultima versione
non ancora risolte:
- Custom icons – non ancora corretto
- Hass-album – non ancora corretto
Quindi:
- aggiorna Home Assistant il prima possibile. Home Assistant Core 2021.1.3 ha aggiunto ulteriori protezioni che impediscono agli aggressori di raggiungere il codice vulnerabile nelle integrazioni personalizzate;
- aggiorna le integrazioni personalizzate a una versione fissa o rimuovile dall’installazione;
- Se hai utilizzato una qualsiasi delle integrazioni personalizzate con una vulnerabilità nota, ti consigliamo di aggiornare le tue credenziali (almeno la password di accesso a Home Assistant).
| Questa pagina è redatta, manutenuta e aggiornata dallo staff di inDomus, un gruppo di persone molto diverse tra loro che trovi, per domande e supporto, sul forum e sulla chat del sito. Se ti sei perso, a tua disposizione c'è la mappa. |