В открытой платформе домашней автоматизации Home Assistant выявлена критическая уязвимость (CVE-2023-27482), позволяющая обойти аутентификацию и получить полный доступ к привилегированному API Supervisor, через который можно менять  настройки,  устанавливать/обновлять ПО, управлять дополнениями и резервными копиями...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=58777

• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:00 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:03 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:09 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:55 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:21 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:28 , 11-Мрт-23
            • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Nyanpasuu, 17:53 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Плохой человек, 14:26 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:43 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Советский инженер, 09:18 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:57 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:20 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Советский инженер, 12:05 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:46 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Советский инженер, 12:53 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:01 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:33 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:24 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:42 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,keydon, 11:38 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:44 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:42 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Советский инженер, 12:56 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 14:12 , 11-Мрт-23
            • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Советский инженер, 14:28 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:52 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:26 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Плохой человек, 16:51 , 11-Мрт-23
• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,pashev.ru, 09:22 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Perlovka, 12:22 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:39 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:02 , 11-Мрт-23
• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:05 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:21 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:35 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 23:04 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 23:27 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Ivan_83, 11:03 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,31337, 10:42 , 12-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:26 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Ivan_83, 11:01 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 11:28 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Ivan_83, 13:19 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:28 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Ivan_83, 00:53 , 12-Мрт-23
            • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 09:55 , 12-Мрт-23
              • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Ivan_83, 10:02 , 12-Мрт-23
              • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Хм, 01:31 , 13-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,31337, 10:46 , 12-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:10 , 11-Мрт-23
• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,VoiD, 12:17 , 11-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 12:44 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:09 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:20 , 11-Мрт-23
        • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:33 , 11-Мрт-23
          • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,31337, 00:48 , 13-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:27 , 11-Мрт-23
    • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:11 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:26 , 11-Мрт-23
      • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 13:27 , 11-Мрт-23
• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:41 , 12-Мрт-23
• Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Аноним, 10:49 , 12-Мрт-23
  • Удалённо эксплуатируемая уязвимость в платформе Home Assista...,Хм, 01:35 , 13-Мрт-23

Слушаю оправдания сишников.

Оно на питоне написано, сударь

И? Я то слушаю оправдания сишников.

Ты в танке? Тебе ясно сказали, что оно написано на Питоне.

Какая мне разница? Я слушаю оправдания сишников, а не питонистов! Судя по оправданиям - ты сишник. Тебя то я и ждал.

Баран, неосилиыший прочитать новость и понять содержание.

Попався!

Это уже расизм какой-то

Слушаю оправдание анонима, требующего оправдания сишника.

А питон на чем написан? То-то же!

Да, Питон написан на чистом Си. И таки да, всё советское - отсталое.

Чистом как слеза младенца, а значит лучшем и не_винном

>И таки да, всё советское - отсталое.

Тут трудно спорить.
Проблема только в том, что новое ,типа, российское - это вообще фикция.

PyPy это обман?

это подделка

Это иллюзия, созданная матрицей.
Помни, Нео, PyPy нет.

Лучше расскажи почему растоманы до сих пор не переписали на раст. Слушаю оправдания растоманов.  

Иди жди в другом треде, здесь слушают оправдания сишников.

Он уже давно стал тредом оправдания растоманов.  

У опытного сишника такой проблемы бы не было.
А растоманы наверняка бы накосячили.
Понадобятся другие оправдания, обращайся.

Этих достаточно, спасибо.

Твой выход растаман, почему не переписал на раст? Слабо?

питон достаточно тормозной и безопасный, тут нечего улучшать.

Ну аналог php, ruby можешь реализовать на Rust)

по ruby работа идет.

Вован заждался когда ты его выслушаешь.

Послушай питонистов.

https://rustpython.github.io/

В новости столько раз упоминается Home Assistant, что новость похожа на спам.

Весь Home Assistant и есть спам.Там минимальная установка занимает 8Gb. Это прям эталон shitware.

Нормально ты работу многих людей назвал дерьмом. Тебя разве родители учили быть таким поросёнком? Я так не думаю.

А про 8 Гб это просто не правда - у меня на rpi на 8 Гб флешке стоит без проблем.

Ловите разработчика Home Assistant!

> но не затрагивает Home Assistant Container (Docker)

вот так хейтеры! контеризация опять всех спасла!

Вообще очень странно что есть люди, которые ставят эту балалаечку и другие чужие петпрожекты не в изолированную среду и хотят какой-то магии и завышенной квалификации от разрабов)

Докерохейтеры ничего а докер не ставят.

Изоляция на докере не ограничивается, есть же lxc или виртуалки которые даже более безопасные

Разные векторы атак и по-разному проектируется ИБ. Нельзя сказать, что что-то из этого "более безопасно", потому что это зависит от политик и архитектуры систем безопасности.

Если ставить совсем в изолированную среду то теряется часть профита.

Например там есть мобильное приложение, которое может хоть через инет в ХА ходить, и через него всё доступно.
Это в общем и удалённое управление и домофон и сигналку и что угодно туда можно прикрутить чему нужен инет.

Еще как теряется. Это что, твоей сигналкой и домофоном теперь порулить не получится? Вот б...ство!

В какую ещё изолированную среду? Supervisor это компонент, управляющий ОС и докерами. В какую среду ты его поставишь?

У меня Core инсталяция, я себе сделал порт для фри, без этих ваших докирофф.

Проблема в компоненте супервизор, который нашлёпка над ХА для того чтобы не только ХА но и другие приблуды запускать.

Core всратый, там многого нет. Про фрибзд промолчу, но просто отмечу, что решение супер странное, т.к. HA разрабатывается преимущественно под линукс.

Всего чего под коре нет - ставится отдельно.
ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно.
Аналогично и прочее что ставит супервизор.

Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался.
Больше не натыкался ни на какие штуки которые бы ругались что у меня фря.

Давай помогу: я портировал руками то, что на линуксе и так работает, но половина всё равно не завелась. А смысл какой в этом? Чтобы что? Скила это никакого не даст, прироста в скорости или эффективности тоже. Прокрастинация?

Вы не правы.

1. На линуксе это тоже кто то портирует, под разные дистры.
2. Скил это даёт, я немного въехал в пыхтон и венв.
3. Не завёлся только блютус.
4. Потому что у меня сервер домашний на фре, пихать туда в виртуалки лянух я не хочу.

1. Какая разница? Я то ничего не портирую
2. А, ты начинающий, ну тогда ок
3. Вангую, что с любым железом будут траблы - а надо ещё zigbee свисток прикрутить как минимум
4. Совет - приучайся сначала к прямым решениям, потом сможешь этот опыт монетизировать. Как станешь опытным и взрослым дядей - будет время потыкать маргинальщину для фана

1. Разница в том, что ты пользуешься готовым и думаешь что так и должно быть. При принципу: "электричество берётся из розетки".
3. Зигби работает.
4. Так опыт решения проблем он как раз и монетизируется. У тебя опыт уровня админа, который ставит всё готовое, а у меня разработчика, который допиливает.

3. HA работает c Zigbee через serial port, локальный или проброшенный по tcp.

> Всего чего под коре нет - ставится отдельно.
> ESPHome я тоже портировал, правда оно ещё не годно для выкладывания но работает замечательно.
> Аналогично и прочее что ставит супервизор.

Наколенный софт для сыкотной операционочки. Ня.

> Из того чего не взлетело - блютус, я его просто выпилил чтобы не мешался.

Мы так не договаривались! Впрочем, при наличии сабжа - и фиг с ним если через интернет можно, без авторизации.

> Больше не натыкался ни на какие штуки которые бы ругались что у меня фря.

А как же опеннетчики?

Слабое утешение. Какой смысл ломать контейнер, если его можно подменить?

Это интерфейс ввода/вывода для безумного дома?

Это то что в будущем будет тобой повелевать.  

Каким образом пайп для датчиков влажности твоей кошки может кем-то повелевать?

Ложные срабатывания? Не верные показания? Блокирование дверей?

Люфт температурного датчика в 1 градус сделает тебя рабом? А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима до простых смертных.

> Люфт температурного датчика в 1 градус сделает тебя рабом?

А чего скромничать? Лучше в десяток. Нехай шубу одевает когда там жара. Это пожирней троллинга на опеннете.

> А при блокировании квартирной двери ты помрёшь от голода? Нет, высота этой логики недостижима
> до простых смертных.

От голода не помрет, конечно, но на деньги будет поставлен. И довольно хорошо. А управлять сигналкой лучше всего в 3 часа ночи, чтобы адресат оценил лайфхак по достоинству. И кстати когда он вскочит, офигенная идея вырубить ему свет во всем доме, залочить двери, немнго перенастроить системы... чтоб ему там не скучалось. Прикольно же, теперь можно кому-то понаствившему питоногамна с мобильными приложухами сделать из умного дома полоумный.

Вот вот все простачки так говорят, а то потом, да мой хозяин будет сделано мой хозяин.  

Ожидание: софт повелевает человечеством.
Реальность: "Невозможно запустить приложение из-за нерешенной зависимости. Требуется библиотека obey-127.100.100.90.so, доступно в репозиториях obey-127.100.100.89.so".

Результат - пост на opennet.ru. Вынужденное или внешнемотивированое действие.

объясни почему эта железка от тебя чего-то требует если она тобой не повелевает?

> Python-окружения на базе Home Assistant Core.

Ну кто б сомневался что питоняши не только нагамнякают, но еще и настолько что даже не смогут рассказать где именно, без того чтобы всех их юзеров не поимели.

> изменения в обработку токенов и проксируемых запросов,
> а также добавлены фильтры для блокирования подстановки SQL-запросов,
> вставки тега "<script>" и использования путей с "../" и "/./".

Судя по этим изменениям, авторы этой штуки не слышали о том что оказывается внешние данные еще и валидировать надо, оказывается. Так что ее пользователей будет ждать много чудных открытий. Это явно не последние...

HA изначально не рссчитывался на выставление в инет.