The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Удалённо эксплуатируемая уязвимость в платформе Home Assistant"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в платформе Home Assistant"  +/
Сообщение от opennews (??), 11-Мрт-23, 07:48 
В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять  настройки,  устанавливать/обновлять ПО, управлять дополнениями и резервными копиями...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58777

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. Скрыто модератором  –15 +/
Сообщение от Аноним (2), 11-Мрт-23, 09:00 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +11 +/
Сообщение от Аноним (3), 11-Мрт-23, 09:03 
Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  +2 +/
Сообщение от Аноним (2), 11-Мрт-23, 09:09 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  –5 +/
Сообщение от Аноним (-), 11-Мрт-23, 09:55 
Ответить | Правка | Наверх | Cообщить модератору

17. Скрыто модератором  +21 +/
Сообщение от Аноним (2), 11-Мрт-23, 11:21 
Ответить | Правка | Наверх | Cообщить модератору

55. Скрыто модератором  –2 +/
Сообщение от Аноним (55), 11-Мрт-23, 13:28 
Ответить | Правка | Наверх | Cообщить модератору

71. Скрыто модератором  +/
Сообщение от Nyanpasuu (?), 11-Мрт-23, 17:53 
Ответить | Правка | Наверх | Cообщить модератору

61. Скрыто модератором  +/
Сообщение от Плохой человек (?), 11-Мрт-23, 14:26 
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

36. Скрыто модератором  +/
Сообщение от Аноним (36), 11-Мрт-23, 12:43 
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

5. Скрыто модератором  +1 +/
Сообщение от Советский инженер (?), 11-Мрт-23, 09:18 
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. Скрыто модератором  +2 +/
Сообщение от Аноним (-), 11-Мрт-23, 09:57 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  +/
Сообщение от Аноним (10), 11-Мрт-23, 10:20 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  +/
Сообщение от Советский инженер (?), 11-Мрт-23, 12:05 
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

39. Скрыто модератором  +1 +/
Сообщение от Аноним (36), 11-Мрт-23, 12:46 
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

40. Скрыто модератором  +/
Сообщение от Советский инженер (?), 11-Мрт-23, 12:53 
Ответить | Правка | Наверх | Cообщить модератору

42. Скрыто модератором  –1 +/
Сообщение от Аноним (42), 11-Мрт-23, 13:01 
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

12. Скрыто модератором  +2 +/
Сообщение от Аноним (12), 11-Мрт-23, 10:33 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

18. Скрыто модератором  +2 +/
Сообщение от Аноним (2), 11-Мрт-23, 11:24 
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (12), 11-Мрт-23, 12:42 
Ответить | Правка | Наверх | Cообщить модератору

23. Скрыто модератором  +1 +/
Сообщение от keydon (ok), 11-Мрт-23, 11:38 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

24. Скрыто модератором  +/
Сообщение от Аноним (2), 11-Мрт-23, 11:44 
Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором  +/
Сообщение от Аноним (12), 11-Мрт-23, 12:42 
Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором  +/
Сообщение от Советский инженер (?), 11-Мрт-23, 12:56 
Ответить | Правка | Наверх | Cообщить модератору

60. Скрыто модератором  +/
Сообщение от Аноним (60), 11-Мрт-23, 14:12 
Ответить | Правка | Наверх | Cообщить модератору

62. Скрыто модератором  +/
Сообщение от Советский инженер (?), 11-Мрт-23, 14:28 
Ответить | Правка | Наверх | Cообщить модератору

25. Скрыто модератором  –1 +/
Сообщение от Аноним (25), 11-Мрт-23, 11:52 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

51. Скрыто модератором  +/
Сообщение от Аноним (55), 11-Мрт-23, 13:26 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

69. Скрыто модератором  +/
Сообщение от Плохой человек (?), 11-Мрт-23, 16:51 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

6. Скрыто модератором  +3 +/
Сообщение от pashev.ru (?), 11-Мрт-23, 09:22 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  +/
Сообщение от Perlovka (ok), 11-Мрт-23, 12:22 
Ответить | Правка | Наверх | Cообщить модератору

32. Скрыто модератором  –2 +/
Сообщение от Аноним (2), 11-Мрт-23, 12:39 
Ответить | Правка | Наверх | Cообщить модератору

43. Скрыто модератором  +2 +/
Сообщение от Аноним (42), 11-Мрт-23, 13:02 
Ответить | Правка | Наверх | Cообщить модератору

9. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  –1 +/
Сообщение от Аноним (9), 11-Мрт-23, 10:05 
> но не затрагивает Home Assistant Container (Docker)

вот так хейтеры! контеризация опять всех спасла!

Ответить | Правка | Наверх | Cообщить модератору

11. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +4 +/
Сообщение от Аноним (10), 11-Мрт-23, 10:21 
Вообще очень странно что есть люди, которые ставят эту балалаечку и другие чужие петпрожекты не в изолированную среду и хотят какой-то магии и завышенной квалификации от разрабов)
Ответить | Правка | Наверх | Cообщить модератору

13. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (12), 11-Мрт-23, 10:35 
Докерохейтеры ничего а докер не ставят.
Ответить | Правка | Наверх | Cообщить модератору

73. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  –1 +/
Сообщение от Аноним (73), 11-Мрт-23, 23:04 
Изоляция на докере не ограничивается, есть же lxc или виртуалки которые даже более безопасные
Ответить | Правка | Наверх | Cообщить модератору

74. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +2 +/
Сообщение от Аноним (2), 11-Мрт-23, 23:27 
Разные векторы атак и по-разному проектируется ИБ. Нельзя сказать, что что-то из этого "более безопасно", потому что это зависит от политик и архитектуры систем безопасности.
Ответить | Правка | Наверх | Cообщить модератору

16. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  –1 +/
Сообщение от Ivan_83 (ok), 11-Мрт-23, 11:03 
Если ставить совсем в изолированную среду то теряется часть профита.

Например там есть мобильное приложение, которое может хоть через инет в ХА ходить, и через него всё доступно.
Это в общем и удалённое управление и домофон и сигналку и что угодно туда можно прикрутить чему нужен инет.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

79. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от 31337 (??), 12-Мрт-23, 10:42 
Еще как теряется. Это что, твоей сигналкой и домофоном теперь порулить не получится? Вот б...ство!
Ответить | Правка | Наверх | Cообщить модератору

19. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  –2 +/
Сообщение от Аноним (2), 11-Мрт-23, 11:26 
В какую ещё изолированную среду? Supervisor это компонент, управляющий ОС и докерами. В какую среду ты его поставишь?
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

15. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  –1 +/
Сообщение от Ivan_83 (ok), 11-Мрт-23, 11:01 
У меня Core инсталяция, я себе сделал порт для фри, без этих ваших докирофф.

Проблема в компоненте супервизор, который нашлёпка над ХА для того чтобы не только ХА но и другие приблуды запускать.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

20. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (2), 11-Мрт-23, 11:28 
Core всратый, там многого нет. Про фрибзд промолчу, но просто отмечу, что решение супер странное, т.к. HA разрабатывается преимущественно под линукс.
Ответить | Правка | Наверх | Cообщить модератору

49. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Ivan_83 (ok), 11-Мрт-23, 13:19 
Всего чего под коре нет - ставится отдельно.
ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно.
Аналогично и прочее что ставит супервизор.

Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался.
Больше не натыкался ни на какие штуки которые бы ругались что у меня фря.

Ответить | Правка | Наверх | Cообщить модератору

56. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (2), 11-Мрт-23, 13:28 
Давай помогу: я портировал руками то, что на линуксе и так работает, но половина всё равно не завелась. А смысл какой в этом? Чтобы что? Скила это никакого не даст, прироста в скорости или эффективности тоже. Прокрастинация?
Ответить | Правка | Наверх | Cообщить модератору

75. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Ivan_83 (ok), 12-Мрт-23, 00:53 
Вы не правы.

1. На линуксе это тоже кто то портирует, под разные дистры.
2. Скил это даёт, я немного въехал в пыхтон и венв.
3. Не завёлся только блютус.
4. Потому что у меня сервер домашний на фре, пихать туда в виртуалки лянух я не хочу.

Ответить | Правка | Наверх | Cообщить модератору

76. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (2), 12-Мрт-23, 09:55 
1. Какая разница? Я то ничего не портирую
2. А, ты начинающий, ну тогда ок
3. Вангую, что с любым железом будут траблы - а надо ещё zigbee свисток прикрутить как минимум
4. Совет - приучайся сначала к прямым решениям, потом сможешь этот опыт монетизировать. Как станешь опытным и взрослым дядей - будет время потыкать маргинальщину для фана
Ответить | Правка | Наверх | Cообщить модератору

77. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Ivan_83 (ok), 12-Мрт-23, 10:02 
1. Разница в том, что ты пользуешься готовым и думаешь что так и должно быть. При принципу: "электричество берётся из розетки".
3. Зигби работает.
4. Так опыт решения проблем он как раз и монетизируется. У тебя опыт уровня админа, который ставит всё готовое, а у меня разработчика, который допиливает.
Ответить | Правка | Наверх | Cообщить модератору

86. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Хм (?), 13-Мрт-23, 01:31 
3. HA работает c Zigbee через serial port, локальный или проброшенный по tcp.
Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

80. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от 31337 (??), 12-Мрт-23, 10:46 
> Всего чего под коре нет - ставится отдельно.
> ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно.
> Аналогично и прочее что ставит супервизор.

Наколенный софт для сыкотной операционочки. Ня.

> Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался.

Мы так не договаривались! Впрочем, при наличии сабжа - и фиг с ним если через интернет можно, без авторизации.

> Больше не натыкался ни на какие штуки которые бы ругались что у меня фря.

А как же опеннетчики?

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

45. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (36), 11-Мрт-23, 13:10 
Слабое утешение. Какой смысл ломать контейнер, если его можно подменить?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

28. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от VoiD (?), 11-Мрт-23, 12:17 
Это интерфейс ввода/вывода для безумного дома?
Ответить | Правка | Наверх | Cообщить модератору

38. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (12), 11-Мрт-23, 12:44 
Это то что в будущем будет тобой повелевать.  
Ответить | Правка | Наверх | Cообщить модератору

44. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (2), 11-Мрт-23, 13:09 
Каким образом пайп для датчиков влажности твоей кошки может кем-то повелевать?
Ответить | Правка | Наверх | Cообщить модератору

50. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +1 +/
Сообщение от Аноним (36), 11-Мрт-23, 13:20 
Ложные срабатывания? Не верные показания? Блокирование дверей?
Ответить | Правка | Наверх | Cообщить модератору

57. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (2), 11-Мрт-23, 13:33 
Люфт температурного датчика в 1 градус сделает тебя рабом? А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима до простых смертных.
Ответить | Правка | Наверх | Cообщить модератору

85. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от 31337 (??), 13-Мрт-23, 00:48 
> Люфт температурного датчика в 1 градус сделает тебя рабом?

А чего скромничать? Лучше в десяток. Нехай шубу одевает когда там жара. Это пожирней троллинга на опеннете.

> А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима
> до простых смертных.

От голода не помрет, конечно, но на деньги будет поставлен. И довольно хорошо. А управлять сигналкой лучше всего в 3 часа ночи, чтобы адресат оценил лайфхак по достоинству. И кстати когда он вскочит, офигенная идея вырубить ему свет во всем доме, залочить двери, немнго перенастроить системы... чтоб ему там не скучалось. Прикольно же, теперь можно кому-то понаствившему питоногамна с мобильными приложухами сделать из умного дома полоумный.

Ответить | Правка | Наверх | Cообщить модератору

54. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (12), 11-Мрт-23, 13:27 
Вот вот все простачки так говорят, а то потом, да мой хозяин будет сделано мой хозяин.  
Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

46. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +1 +/
Сообщение от Аноним (42), 11-Мрт-23, 13:11 
Ожидание: софт повелевает человечеством.
Реальность: "Невозможно запустить приложение из-за нерешенной зависимости. Требуется библиотека obey-127.100.100.90.so, доступно в репозиториях obey-127.100.100.89.so".
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

52. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (36), 11-Мрт-23, 13:26 
Результат - пост на opennet.ru. Вынужденное или внешнемотивированое действие.
Ответить | Правка | Наверх | Cообщить модератору

53. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (12), 11-Мрт-23, 13:27 
объясни почему эта железка от тебя чего-то требует если она тобой не повелевает?
Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

78. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (-), 12-Мрт-23, 10:41 
> Python-окружения на базе Home Assistant Core.

Ну кто б сомневался что питоняши не только нагамнякают, но еще и настолько что даже не смогут рассказать где именно, без того чтобы всех их юзеров не поимели.

Ответить | Правка | Наверх | Cообщить модератору

81. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Аноним (81), 12-Мрт-23, 10:49 
> изменения в обработку токенов и проксируемых запросов,
> а также добавлены фильтры для блокирования подстановки SQL-запросов,
> вставки тега "<script>" и использования путей с "../" и "/./".

Судя по этим изменениям, авторы этой штуки не слышали о том что оказывается внешние данные еще и валидировать надо, оказывается. Так что ее пользователей будет ждать много чудных открытий. Это явно не последние...

Ответить | Правка | Наверх | Cообщить модератору

87. "Удалённо эксплуатируемая уязвимость в платформе Home Assista..."  +/
Сообщение от Хм (?), 13-Мрт-23, 01:35 
HA изначально не рссчитывался на выставление в инет.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру