Đây là công bố về lỗi bảo mật liên quan đến các Tích hợp của bên thứ 3. Các tích hợp này không được phát triển và bảo trì bởi Home Assistant. Người dùng chịu mọi trách nhiệm khi cài đặt và sử dụng các tích hợp này. Chúng tôi muốn cảnh báo người dùng vì lỗ hổng trong các tích hợp này ảnh hưởng đến tính bảo mật của Home Assistant.
Nếu bạn không dùng bất cứ tích hợp bên thứ 3 nào (custom integration), bạn không bị ảnh hưởng bởi lỗi này. Trong trường hợp bạn có sử dụng, Home Assistant của bạn có khả năng bị ảnh hưởng nếu bạn đang sử dụng một trong các tích hợp có lỗi.
Về custom component và custom card
Là các component hay Lovelace card/module được phát triển bởi cộng đồng nhưng không/chưa được thông qua chính thức bởi nhóm phát triển Home Assistant. Việc cập nhật hay hỗ trợ hoàn toàn phụ thuộc vào tác giả và cộng đồng người dùng.
Bạn cũng sẽ phải tự chịu trách nhiệm và tự quản lý các custom component/custom card này.
Chúng tôi khuyến nghị bạn chỉ cài đặt những component hay card thực sự cần thiết để tránh lỗi, giảm nguy cơ bảo mật và đảm bảo hiệu suất máy chủ Hass. Trên một số thiết bị hay trình duyệt, các custom card có thể gây lỗi hoặc làm chậm đáng kể hiệu suất tải giao diện.
Hãy thận trọng khi cài đặt một custom mới trên máy chủ Hass chính của bạn vì có thể gây ra lỗi nghiêm trọng làm gián đoạn hoạt động bình thường của máy chủ và các thiết bị khác.
Tóm tắt
Chi tiết về lỗ hổng và những gì bạn cần làm:
- Nhiều tích hợp bên thứ 3 được phát hiện là cho phép (vô tình hay cố ý) kẻ tấn công truy cập vào bất cứ file nào mà không cần phải đăng nhập. Bản vá trước đây không đủ để ngăn điều này.
- Cần cập nhật Home Assistant sớm nhất có thể. Home Assistant Core 2021.1.5 bổ sung sửa đổi giúp ngăn điều này xảy ra.
- Cập nhật các tích hợp bên thứ 3 đã được sửa lỗi hoặc loại bỏ chúng.
- Nếu bạn đã từng sử dụng bất cứ tích hợp nào được tìm thấy là chứa lỗi, chúng tôi khuyến cáo bạn hãy thay đổi các thông tin xác thực của mình (tất cả các thông tin xác thực/đăng nhập sử dụng cho Hass và trong Hass).
Chi tiết
Buổi sáng ngày thứ 7, 23/01/2021, nhóm phát triển Home Assistant được thông báo về một lỗ hổng bảo mật từ nhà nghiên cứu bảo mật Nathan Brady. Thông báo này làm rõ hơn cách tiếp cận của bản vá lần trước. Chúng tôi nhận ra rằng không phải mọi tích hợp bên thứ 3 (custom integration) đều có thể được vá sử dụng bản vá lần trước.
Kết luận rút ra rằng một số custom integration vẫn có khả năng bị tấn công bằng phương pháp Directory traversal – tấn công vào các chỉ mục bị giới hạn và thực hiện các lệnh bên ngoài chỉ mục gốc của máy chủ web (konnected.vn). Truy cập này bao gồm bất cứ thông tin xác thực nào bạn chứa bên trong máy chủ nhằm cho phép Home Assistant truy cập đến các dịch vụ khác (như Google Assistant, Github, Tuya, Spotify v.v..).
Chúng tôi có trách nhiệm thông báo các vấn đề này đến tác giả của các custom integration và cùng làm việc để sửa lỗi trong các custom integration của họ.
Các tích hợp sau đã được tìm thấy là bị ảnh hưởng (cho tới lúc này):
- HACS (xem thêm: Cài đặt và Sử dụng Hacs) – đã sửa lỗi trong 1.10.1
- Font Awesome – đã sửa lỗi trong 1.3.1
- BWAlarm – đã sửa lỗi trong 1.12.9
- Simple Icons – đã sửa lỗi trong 1.11.0
Bên cạnh việc sửa các tích hợp cùng các tác giả, những hành động sau đã được thực hiện để trợ giúp người dùng Home Assistant:
- Phát hành bản cập nhật Home Assistant 2021.1.5 với một số sửa đổi nhằm ngăn phương thức tấn công Directore traversal. Điều này ngăn mọi phương thức tấn công lợi dụng lỗ hổng nói trên.
- Công bố này được chia sẻ rộng rãi trên các Website liên quan (home-assistant.io, konnected.vn).
- Home Assistant Supervisor sẽ thông báo đến người dùng trong trường hợp đang sử dụng một phiên bản dễ bị tổn thường và có sử dụng custom integration.
- Các ứng dụng trên Android và iOS cũng được cập nhật để thông báo đến người dùng về lỗ hổng này.
- Nabu Casa được nâng cấp để hạn chế hoặc khoá các phiên bản Home Assistant Core đang có lỗi.
- Cảnh báo tại alerts.home-assistant.io
Đây là công bố thứ 2, một ngày sau công bố bảo mật đầu tiên. Chúng tôi biết ơn những ai đã báo cáo lỗ hổng này đến nhóm phát triển. Lần này chúng tôi đã có thể phản ứng nhanh và vá lỗ hổng sớm nhất có thể. Và cũng nhờ đó, chúng tôi quyết định phát hành công bố này ngay lập tức.
Chúng tôi không có số liệu. Bạn hãy thực hiện các bước được khuyến cáo.