Nous avons été informés d’un problème de sécurité impactant les installations utilisant le Home Assistant Supervisor. Un correctif pour ce problème de sécurité a été déployé pour tous les utilisateurs de Home Assistant concernés via le système de mise à jour automatique du superviseur et ce problème n’est plus présent.
Vous pouvez vérifier que vous avez reçu la mise à jour sur la page À propos de Home Assistant et vérifier que vous exécutez Supervisor 2023.03.1 ou une version ultérieure. Si vous ne voyez pas de version de superviseur sur votre page À propos, vous n’utilisez pas l’un des types d’installation concernés et vous n’êtes pas vulnérable.
Le problème a également été atténué dans Home Assistant 2023.3.0. Cette version est sortie le 1er mars et a depuis été installée par 33% de nos utilisateurs.
Version concernée
Le problème de sécurité a affecté les types d’installation Home Assistant OS et Home Assistant Supervisé. Cela inclut les installations exécutées sur le Home Assistant Blue et le Home Assistant Yellow.
Les deux autres types d’installation, Home Assistant Container (Docker) et Home Assistant Core (propre environnement Python), n’ont pas été affectés.
Crédits
Le problème de sécurité a été trouvé par Joseph Surin d’elttam. Merci beaucoup d’avoir porté cela à notre attention.
À propos du problème
Le superviseur est une application qui fait partie des installations Home Assistant OS et Home Assistant Supervised et est responsable de la gestion du système. Le problème permettait à un attaquant de contourner à distance l’authentification et d’interagir directement avec l’API du superviseur. Cela permet à un attaquant d’installer les mises à jour de Home Assistant et de gérer les modules complémentaires et les sauvegardes. Notre analyse montre que ce problème existe dans Home Assistant depuis l’introduction du superviseur en 2017.
Nous avons publié l’avis de sécurité CVE-2023-27482 sur GitHub.
FAQ
Cette vulnérabilité a-t-elle été abusée ?
Nous ne savons pas. Nous n’avons entendu aucun rapport faisant état de piratage de personnes.
Y at-il un travail autour?
Si vous ne pouvez pas mettre à niveau l’application Home Assistant Supervisor ou Home Assistant Core pour le moment, il est conseillé de ne pas exposer votre instance Home Assistant à Internet.
