Publication Sécurité 2: vulnérabilités dans les intégrations personnalisées HACS, etc

Traduction effectuée depuis l’annonce officielle

Ce sujet est à peu près le même que la publication de sécurité d’hier. Cependant, c’est une nouvelle publication, affectant des points similaires. Nous voulons nous assurer que les informations sont complètes.

Ceci est une publication concernant des vulnérabilités de sécurité trouvées dans des intégrations personnalisées tierces. Les intégrations personnalisées ne sont pas créées et/ou maintenues par Home Assistant. Les utilisateurs les installent à leurs propres risques. Nous voulons vous informer à propos de celles-ci car les vulnérabilités trouvées impactent la sécurité de votre instance Home Assistant.

Si vous n’utilisez pas les intégrations personnalisées, votre Home Assistant n’est pas vulnérable. Si vous utilisez les intégrations personnalisées, votre instance peut-être vulnérable si vous utilisez l’une des intégrations impactées.

Résumé succinct:

  • De multiples intégrations personnalisées comportait une faille de sécurité permettant à un attaquant de récupérer n’importe quel fichier sans être identifié. Les correctifs mis en place précédemment n’étaient pas suffisants.
  • Mettez à jour Home Assistant le plus vite possible. Home Assistant Core 2021.1.5 a ajouté des protections supplémentaires pour éviter que le problème ne se produise.
  • Mettez à jour les intégrations personnalisées vers une version corrigée ou supprimez-les de votre installation.
  • Si vous avez utilisé l’une des intégrations personnalisées présentant une vulnérabilité connue, nous vous recommandons de mettre à jour vos identifiants.

Dans la matinée du samedi 23 janvier 2021, le projet Home Assistant a été informé par le chercheur en sécurité Nathan Brady d’une faille de sécurité. Ceci a permis de mieux comprendre la mise en œuvre des correctifs apportés à la précédente vulnérabilité de sécurité. Nous avons appris que l’implémentation des patches de sécurité dans toutes les intégrations personnalisées qui le nécessitait n’est pas suffisante pour détourner le problème.

Nous avons vérifié toutes les corrections apportées aux intégrations personnalisées qui se sont révélées vulnérables lors de la précédente divulgation de sécurité. La conclusion est que certaines intégrations personnalisées sont toujours vulnérables à une attaque de parcours de répertoire tout en n’étant pas authentifié avec Home Assistant. Cela permet à un attaquant d’accéder à n’importe quel fichier sans avoir à se connecter. Cet accès inclut les informations d’identification que vous avez pu stocker pour permettre à Home Assistant d’accéder à d’autres services.

Nous avons divulgué ces problèmes de manière responsable aux auteurs de ces intégrations personnalisées et avons travaillé avec eux pour corriger leurs intégrations.

Les suivantes ont été trouvées :

Veuillez vous assurer de lire également la précédente publication de sécurité. Bien que cette vulnérabilité de sécurité spécifique puisse ne pas avoir d’impact sur votre instance, vous pourriez être affecté par la vulnérabilité trouvée précédemment.

Outre la collaboration avec les auteurs de l’intégration personnalisée, les mesures suivantes ont été prises pour aider à protéger les utilisateurs :

  • Home Assistant a publié Home Assistant Core 2021.1.5 avec une protection supplémentaire pour stopper les attaques de parcours de répertoire avant d’atteindre le code vulnérable. Cela permet d’éviter l’exploitation de toutes les vulnérabilités trouvées.
  • Cette divulgation de sécurité est largement partagée et liée à des bannières sur le site web et les forums de Home Assistant.
  • Home Assistant Supervisor avertira l’utilisateur lorsqu’une éventuelle installation non sécurisée utilisant des intégrations personnalisées est découverte.
  • Les applications Android & iOS ont été mises à jour pour informer l’utilisateur si son instance Home Assistant est potentiellement non sécurisée.
  • Nabu Casa a mis à jour leur fonction pour limiter l’accès à distance via Home Assistant Cloud et bloque les instances qui exécutent une version non sécurisée de Home Assistant.
  • Une alerte a été ajouté sur alerts.home-assistant.io.

Voilà, nous voici donc, un jour après notre première grande divulgation de sécurité, en train d’en divulguer une deuxième. Ce n’est certainement pas amusant, mais nous sommes reconnaissants qu’elle nous ait été signalée de manière responsable. Cette fois-ci, nous avons pu agir rapidement et tout a été mis à jour assez rapidement. Nous avons donc décidé de divulguer toutes les informations immédiatement.

Je tiens à souligner qu’il n’est pas permis de harceler/attaquer/insulter personnellement les développeurs de ces intégrations personnalisées. Cela constituerait une violation de notre code de conduite et nous l’appliquerons.

Paulus

FAQ

CETTE VULNÉRABILITÉ A-T-ELLE ÉTÉ EXPLOITÉE ?

Nous ne savons pas.

4 J'aime