本帖最后由 anthonyhou 于 2021-1-24 11:23 编辑
安全公告
2021年1月23日 更新
2021/01/23 更新 官方团队披露新安全漏洞
- 我们发现多个自定义集成,使攻击者无需登录即可窃取任何文件。此前的更新不足以修复漏洞。
- 请尽快升级至 Home Assistant Core 2021.1.5 以防止发生此问题。
- 请将自定义集成升级到修复版本或从 Home Assistant 中删除它们。
- 如果您使用了具有已知漏洞的任何自定义集成,我们建议您更新凭据。
在一月二十三日,Home Assistant 团队接到安全顾问 Nathan Brady 的 通知,发现部分受影响自定义组件的修复不足以解决此漏洞。 我们验证了自定义集成所做的修复,这些修复在以前的安全披露中被发现容易受到攻击。结论是,部分自定义集成在未通过 Home Assistant 进行的身份验证下,仍允许目录遍历攻击。它使攻击者无需登录即可访问任何文件,包括您存储的密钥。 我们有责任向这些集成的作者披露有关漏洞,让他们能修复这些漏洞。
受影响的自定义集成: Home Assitant Community Store(HACS 社区商店)- 于版本 1.10.1 修复 Font Awesome - 于版本 1.3.1 修复 BWAlarm (ak74 edition) - 于版本 1.12.9 修复 Simple Icons - - 于版本 1.11.0 修复
2021/01/22 更新 官方团队披露安全漏洞
这是一个有关第三方自定义集成(custom integrations)安全漏洞的披露。这些自定义集成并非由 Home Assistant 官方团队创建/管理,使用者应自行承担使用这些自定义集成的风险。我们希望能向你说明我们发现能影响数据安全的安全漏洞。 如果你没有使用第三方自定义集成,你的 Home Assistant 是安全的。如果你使用受影响的自定义集成,你的 Home Assistant 可能不安全。
- 我们发现多个自定义集成,允许攻击者无需登录即可窃取任何文件。
- 请尽快升级至 Home Assistant Core 2021.1.3 或更新。新版本添加了额外的保护,可阻止攻击者通过自定义集成访问易受攻击的代码。
- 请将自定义集成升级到修复版本或从 Home Assistant 中删除它们。
- 如果您使用了具有已知漏洞的任何自定义集成,我们建议您更新凭据。
在一月十四日,Home Assitant Community Store(HACS 社区商店)获安全顾问 Oriel Goel通知发现了一个安全漏洞。此漏洞允许攻击者通过未认证的网页,使用目录遍历攻击,访问任何 Home Assistant 能访问的文件,包括密钥的数据。 我们调查了其他自定义集成,发现其他集成有同样漏洞。我们有责任向这些集成的作者披露有关漏洞,让他们能修复这些漏洞。
受影响的自定义集成: Home Assitant Community Store(HACS 社区商店)- 于版本 1.10.0 修复 Dwains Lovelace Dashboard - 于版本 2.0.1 修复 Font Awesome - 于版本 1.3.0 修复 BWAlarm (ak74 edition) - 于版本 1.12.8 修复 Simple Icons - - 于版本 1.10.0 修复 Custom Updater - 于最新 commit 中修复
我们无法联系以下自定义集成的作者,请尽快移除此自定义集成: Custom icons
以下自定义集成受此漏洞的分支影响,我们无法联系其作者: Hass-album
除了联系受影响自定义组件的作者外,我们还采取了以下措施: - Home Assistant 发布了 Home Assistant Core 2021.1.3,具有额外的保护功能,可阻止目录遍历攻击访问有漏洞的代码。
- Home Assistant 发布了一个安全公告,强烈敦促人们升级 Home Assistant。此公告已被广泛分享,并通过 Home Assistant 网站和论坛上的横幅链接。
- Home Assistant Supervisor 将在安装不安全的自定义组件时,通知用户。
- Android 和 iOS 的 Home Assistant 应用程序已更新,可以通知用户其 Home Assistant 是否可能不安全。
- Nabu Casa(官方云服务)将安全公告发送给所有用户。
- Nabu Casa 激活 限制访问模式,阻止有漏洞的 Home Assistant 运行。
我们知道情况很糟糕。这些自定义组件都是开源,由作者在业余时间管理,没有及时发现漏洞。但是,更多的人开发也不能保证没有漏洞的软件。有时候,无法避免,这糟糕的情况会发生。 我想强调一点是,我们不允许个人骚扰/攻击/侮辱这些自定义集成的开发人员。这将违反我们的《行为准则》,我们将予以执行。 作为 Home Assistant,我们应做更多准备来应对这种情况。我们目前正在探索添加新功能(用户允许的情况下),以便通知用户,并允许 Home Assistant 抢先采取措施来修补漏洞。
补充: 为什么之前没有指出受影响的自定义组件呢? 当我们发现问题时,我们将漏洞透露给受影响的自定义集成的作者,并给他们时间来修复并发布新版本。披露安全漏洞时,这是一种很好的通用做法。 由于这些自定义集成非常流行,因此我们决定发布安全公告,以敦促Home Assistant用户升级其实例。我们确保为用户提供足够的信息。
原文:https://www.home-assistant.io/blog/2021/01/14/security-bulletin/
我们发现部分自定义组件(Custom Component)存在安全隐患并可能泄漏敏感信息。Home Assistant 不会为自定义组件负责,你需要承担使用自定义组件的后果。
最新版本的 Home Assistant 新增额外保护,请你马上更新你的 Home Assistant 至 2021.1.3 或更新版本
留言:
Home Assistant 团队:人们寻求更多资讯。我们正在调查此问题的影响范围,我们将会提供更多信息,与此同时,请更新你的 Home Assistant。
Home Assistant 团队:这并不是 Home Assistant 的问题,这是自定义组件的问题,这些组件的代码不会经我们审核。
| 
发表于 2021-1-15 18:21:36
发表于 2021-1-15 19:20:18
楼主
