Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в платформе Home Assistant"	+/–
Сообщение от opennews (??), 11-Мрт-23, 07:48
В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять  настройки,  устанавливать/обновлять ПО, управлять дополнениями и резервными копиями... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58777
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 11-Мрт-23, 09:00	–15 +/–
Слушаю оправдания сишников.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #12, #23, #25, #51, #69

3. Сообщение от Аноним (3), 11-Мрт-23, 09:03	+11 +/–
Оно на питоне написано, сударь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #5

4. Сообщение от Аноним (2), 11-Мрт-23, 09:09	+2 +/–
И? Я то слушаю оправдания сишников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7, #36

5. Сообщение от Советский инженер (?), 11-Мрт-23, 09:18	+1 +/–
А питон на чем написан? То-то же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8

6. Сообщение от pashev.ru (?), 11-Мрт-23, 09:22	+3 +/–
В новости столько раз упоминается Home Assistant, что новость похожа на спам.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

7. Сообщение от Аноним (-), 11-Мрт-23, 09:55	–5 +/–
Ты в танке? Тебе ясно сказали, что оно написано на Питоне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #17

8. Сообщение от Аноним (-), 11-Мрт-23, 09:57	+2 +/–
Да, Питон написан на чистом Си. И таки да, всё советское - отсталое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #10, #26, #39

9. Сообщение от Аноним (9), 11-Мрт-23, 10:05	–1 +/–
> но не затрагивает Home Assistant Container (Docker) вот так хейтеры! контеризация опять всех спасла!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #15, #45

10. Сообщение от Аноним (10), 11-Мрт-23, 10:20	+/–
Чистом как слеза младенца, а значит лучшем и не_винном
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

11. Сообщение от Аноним (10), 11-Мрт-23, 10:21	+4 +/–
Вообще очень странно что есть люди, которые ставят эту балалаечку и другие чужие петпрожекты не в изолированную среду и хотят какой-то магии и завышенной квалификации от разрабов)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13, #16, #19

12. Сообщение от Аноним (12), 11-Мрт-23, 10:33	+2 +/–
Лучше расскажи почему растоманы до сих пор не переписали на раст. Слушаю оправдания растоманов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #18

13. Сообщение от Аноним (12), 11-Мрт-23, 10:35	+/–
Докерохейтеры ничего а докер не ставят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #73

15. Сообщение от Ivan_83 (ok), 11-Мрт-23, 11:01	–1 +/–
У меня Core инсталяция, я себе сделал порт для фри, без этих ваших докирофф. Проблема в компоненте супервизор, который нашлёпка над ХА для того чтобы не только ХА но и другие приблуды запускать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20

16. Сообщение от Ivan_83 (ok), 11-Мрт-23, 11:03	–1 +/–
Если ставить совсем в изолированную среду то теряется часть профита. Например там есть мобильное приложение, которое может хоть через инет в ХА ходить, и через него всё доступно. Это в общем и удалённое управление и домофон и сигналку и что угодно туда можно прикрутить чему нужен инет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #79

17. Сообщение от Аноним (2), 11-Мрт-23, 11:21	+21 +/–
Какая мне разница? Я слушаю оправдания сишников, а не питонистов! Судя по оправданиям - ты сишник. Тебя то я и ждал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #55, #61

18. Сообщение от Аноним (2), 11-Мрт-23, 11:24	+2 +/–
Иди жди в другом треде, здесь слушают оправдания сишников.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #33

19. Сообщение от Аноним (2), 11-Мрт-23, 11:26	–2 +/–
В какую ещё изолированную среду? Supervisor это компонент, управляющий ОС и докерами. В какую среду ты его поставишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от Аноним (2), 11-Мрт-23, 11:28	+/–
Core всратый, там многого нет. Про фрибзд промолчу, но просто отмечу, что решение супер странное, т.к. HA разрабатывается преимущественно под линукс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #49

23. Сообщение от keydon (ok), 11-Мрт-23, 11:38	+1 +/–
У опытного сишника такой проблемы бы не было. А растоманы наверняка бы накосячили. Понадобятся другие оправдания, обращайся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

24. Сообщение от Аноним (2), 11-Мрт-23, 11:44	+/–
Этих достаточно, спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #35

25. Сообщение от Аноним (25), 11-Мрт-23, 11:52	–1 +/–
Вован заждался когда ты его выслушаешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

26. Сообщение от Советский инженер (?), 11-Мрт-23, 12:05	+/–
>И таки да, всё советское - отсталое. Тут трудно спорить. Проблема только в том, что новое ,типа, российское - это вообще фикция.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

28. Сообщение от VoiD (?), 11-Мрт-23, 12:17	+/–
Это интерфейс ввода/вывода для безумного дома?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

30. Сообщение от Perlovka (ok), 11-Мрт-23, 12:22	+/–
Весь Home Assistant и есть спам.Там минимальная установка занимает 8Gb. Это прям эталон shitware.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #32

32. Сообщение от Аноним (2), 11-Мрт-23, 12:39	–2 +/–
Нормально ты работу многих людей назвал дерьмом. Тебя разве родители учили быть таким поросёнком? Я так не думаю. А про 8 Гб это просто не правда - у меня на rpi на 8 Гб флешке стоит без проблем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #43

33. Сообщение от Аноним (12), 11-Мрт-23, 12:42	+/–
Он уже давно стал тредом оправдания растоманов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

35. Сообщение от Аноним (12), 11-Мрт-23, 12:42	+/–
Твой выход растаман, почему не переписал на раст? Слабо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #41

36. Сообщение от Аноним (36), 11-Мрт-23, 12:43	+/–
Слушаю оправдание анонима, требующего оправдания сишника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

38. Сообщение от Аноним (12), 11-Мрт-23, 12:44	+/–
Это то что в будущем будет тобой повелевать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #44, #46

39. Сообщение от Аноним (36), 11-Мрт-23, 12:46	+1 +/–
PyPy это обман?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #40, #42

40. Сообщение от Советский инженер (?), 11-Мрт-23, 12:53	+/–
это подделка
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

41. Сообщение от Советский инженер (?), 11-Мрт-23, 12:56	+/–
питон достаточно тормозной и безопасный, тут нечего улучшать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #60

42. Сообщение от Аноним (42), 11-Мрт-23, 13:01	–1 +/–
Это иллюзия, созданная матрицей. Помни, Нео, PyPy нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

43. Сообщение от Аноним (42), 11-Мрт-23, 13:02	+2 +/–
Ловите разработчика Home Assistant!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

44. Сообщение от Аноним (2), 11-Мрт-23, 13:09	+/–
Каким образом пайп для датчиков влажности твоей кошки может кем-то повелевать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #50, #54

45. Сообщение от Аноним (36), 11-Мрт-23, 13:10	+/–
Слабое утешение. Какой смысл ломать контейнер, если его можно подменить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

46. Сообщение от Аноним (42), 11-Мрт-23, 13:11	+1 +/–
Ожидание: софт повелевает человечеством. Реальность: "Невозможно запустить приложение из-за нерешенной зависимости. Требуется библиотека obey-127.100.100.90.so, доступно в репозиториях obey-127.100.100.89.so".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #52, #53

49. Сообщение от Ivan_83 (ok), 11-Мрт-23, 13:19	+/–
Всего чего под коре нет - ставится отдельно. ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно. Аналогично и прочее что ставит супервизор. Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался. Больше не натыкался ни на какие штуки которые бы ругались что у меня фря.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #56, #80

50. Сообщение от Аноним (36), 11-Мрт-23, 13:20	+1 +/–
Ложные срабатывания? Не верные показания? Блокирование дверей?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #57

51. Сообщение от Аноним (55), 11-Мрт-23, 13:26	+/–
Послушай питонистов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

52. Сообщение от Аноним (36), 11-Мрт-23, 13:26	+/–
Результат - пост на opennet.ru. Вынужденное или внешнемотивированое действие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

53. Сообщение от Аноним (12), 11-Мрт-23, 13:27	+/–
объясни почему эта железка от тебя чего-то требует если она тобой не повелевает?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

54. Сообщение от Аноним (12), 11-Мрт-23, 13:27	+/–
Вот вот все простачки так говорят, а то потом, да мой хозяин будет сделано мой хозяин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

55. Сообщение от Аноним (55), 11-Мрт-23, 13:28	–2 +/–
Баран, неосилиыший прочитать новость и понять содержание.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #71

56. Сообщение от Аноним (2), 11-Мрт-23, 13:28	+/–
Давай помогу: я портировал руками то, что на линуксе и так работает, но половина всё равно не завелась. А смысл какой в этом? Чтобы что? Скила это никакого не даст, прироста в скорости или эффективности тоже. Прокрастинация?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #75

57. Сообщение от Аноним (2), 11-Мрт-23, 13:33	+/–
Люфт температурного датчика в 1 градус сделает тебя рабом? А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима до простых смертных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50 Ответы: #85

60. Сообщение от Аноним (60), 11-Мрт-23, 14:12	+/–
Ну аналог php, ruby можешь реализовать на Rust)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #62

61. Сообщение от Плохой человек (?), 11-Мрт-23, 14:26	+/–
Это уже расизм какой-то
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

62. Сообщение от Советский инженер (?), 11-Мрт-23, 14:28	+/–
по ruby работа идет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

69. Сообщение от Плохой человек (?), 11-Мрт-23, 16:51	+/–
https://rustpython.github.io/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

71. Сообщение от Nyanpasuu (?), 11-Мрт-23, 17:53	+/–
Попався!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

73. Сообщение от Аноним (73), 11-Мрт-23, 23:04	–1 +/–
Изоляция на докере не ограничивается, есть же lxc или виртуалки которые даже более безопасные
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #74

74. Сообщение от Аноним (2), 11-Мрт-23, 23:27	+2 +/–
Разные векторы атак и по-разному проектируется ИБ. Нельзя сказать, что что-то из этого "более безопасно", потому что это зависит от политик и архитектуры систем безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

75. Сообщение от Ivan_83 (ok), 12-Мрт-23, 00:53	+/–
Вы не правы. 1. На линуксе это тоже кто то портирует, под разные дистры. 2. Скил это даёт, я немного въехал в пыхтон и венв. 3. Не завёлся только блютус. 4. Потому что у меня сервер домашний на фре, пихать туда в виртуалки лянух я не хочу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #76

76. Сообщение от Аноним (2), 12-Мрт-23, 09:55	+/–
1. Какая разница? Я то ничего не портирую 2. А, ты начинающий, ну тогда ок 3. Вангую, что с любым железом будут траблы - а надо ещё zigbee свисток прикрутить как минимум 4. Совет - приучайся сначала к прямым решениям, потом сможешь этот опыт монетизировать. Как станешь опытным и взрослым дядей - будет время потыкать маргинальщину для фана
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #77, #86

77. Сообщение от Ivan_83 (ok), 12-Мрт-23, 10:02	+/–
1. Разница в том, что ты пользуешься готовым и думаешь что так и должно быть. При принципу: "электричество берётся из розетки". 3. Зигби работает. 4. Так опыт решения проблем он как раз и монетизируется. У тебя опыт уровня админа, который ставит всё готовое, а у меня разработчика, который допиливает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

78. Сообщение от Аноним (-), 12-Мрт-23, 10:41	+/–
> Python-окружения на базе Home Assistant Core. Ну кто б сомневался что питоняши не только нагамнякают, но еще и настолько что даже не смогут рассказать где именно, без того чтобы всех их юзеров не поимели.
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от 31337 (??), 12-Мрт-23, 10:42	+/–
Еще как теряется. Это что, твоей сигналкой и домофоном теперь порулить не получится? Вот б...ство!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

80. Сообщение от 31337 (??), 12-Мрт-23, 10:46	+/–
> Всего чего под коре нет - ставится отдельно. > ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно. > Аналогично и прочее что ставит супервизор. Наколенный софт для сыкотной операционочки. Ня. > Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался. Мы так не договаривались! Впрочем, при наличии сабжа - и фиг с ним если через интернет можно, без авторизации. > Больше не натыкался ни на какие штуки которые бы ругались что у меня фря. А как же опеннетчики?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

81. Сообщение от Аноним (81), 12-Мрт-23, 10:49	+/–
> изменения в обработку токенов и проксируемых запросов, > а также добавлены фильтры для блокирования подстановки SQL-запросов, > вставки тега "<script>" и использования путей с "../" и "/./". Судя по этим изменениям, авторы этой штуки не слышали о том что оказывается внешние данные еще и валидировать надо, оказывается. Так что ее пользователей будет ждать много чудных открытий. Это явно не последние...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

85. Сообщение от 31337 (??), 13-Мрт-23, 00:48	+/–
> Люфт температурного датчика в 1 градус сделает тебя рабом? А чего скромничать? Лучше в десяток. Нехай шубу одевает когда там жара. Это пожирней троллинга на опеннете. > А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима > до простых смертных. От голода не помрет, конечно, но на деньги будет поставлен. И довольно хорошо. А управлять сигналкой лучше всего в 3 часа ночи, чтобы адресат оценил лайфхак по достоинству. И кстати когда он вскочит, офигенная идея вырубить ему свет во всем доме, залочить двери, немнго перенастроить системы... чтоб ему там не скучалось. Прикольно же, теперь можно кому-то понаствившему питоногамна с мобильными приложухами сделать из умного дома полоумный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

86. Сообщение от Хм (?), 13-Мрт-23, 01:31	+/–
3. HA работает c Zigbee через serial port, локальный или проброшенный по tcp.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

87. Сообщение от Хм (?), 13-Мрт-23, 01:35	+/–
HA изначально не рссчитывался на выставление в инет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема