Traduction effectuée depuis l’annonce officielle
Ceci est une divulgation concernant des vulnérabilités de sécurité trouvées dans des intégrations personnalisées tierces. Les intégrations personnalisées ne sont pas créées et/ou maintenues par Home Assistant. Les utilisateurs les installent à leurs propres risques. Nous voulons vous informer à propos de celles-ci car les vulnérabilités trouvées impactent la sécurité de votre instance Home Assistant.
Si vous n’utilisez pas les intégrations personnalisées, votre Home Assistant n’est pas vulnérable. Si vous utilisez les intégrations personnalisées, votre instance peut-être vulnérable si vous utilisez l’une des intégrations impactées.
Résumé succinct:
- De multiples intégrations personnalisées comportait une faille de sécurité permettant à un attaquant de récupérer n’importe quel fichier sans être identifié.
- Mettez à jour Home Assistant le plus vite possible. Home Assistant Core 2021.1.3 a ajouté des protections supplémentaires qui empêchent les attaquants d’atteindre le code vulnérable dans les intégrations personnalisées.
- Mettez à jour les intégrations personnalisées vers une version corrigée ou supprimez-les de votre installation.
- Si vous avez utilisé l’une des intégrations personnalisées présentant une vulnérabilité connue, nous vous recommandons de mettre à jour vos identifiants.
Dans la matinée du jeudi 14 janvier 2021, le projet d’intégration personnalisée Home Assistant Community Store (HACS) a été informé par security researcher Oriel Goel concernant une vulnérabilité de sécurité. Il était vulnérable à une attaque de parcours de répertoire via une webview non authentifiée, permettant à un attaquant d’accéder à tout fichier accessible par le processus Home Assistant. Cet accès inclut tout identifiant que vous auriez pu stocker pour permettre à Home Assistant d’accéder à d’autres services.
Nous avons commencé à rechercher quelles autres intégrations personnalisées pourraient être touchées et en avons trouvé plusieurs autres. Nous avons fait part de ces problèmes aux auteurs de ces intégrations personnalisées et avons travaillé avec eux pour corriger leurs intégrations.
Les suivantes ont été trouvées:
- Home Assistant Community Store (HACS) – corrigé dans 1.10.0
- Dwains Lovelace Dashboard – corrigé dans 2.0.1
- Font Awesome – corrigé dans la 1.3.0
- BWAlarm (ak74 edition) – corrigé dans la 1.12.8
- Simple Icons – corrigé dans la 1.10.0
- Custom Updater (déprécié) – corrigé dans le dernier commit
Nous n’avons pas pu entrer en contact avec les auteurs de l’intégration suivante. Vous devez supprimer cette intégration personnalisée dès que possible :
- Custom icons – non corrigé
L’intégration suivante s’est avérée vulnérable à une variante de la vulnérabilité de sécurité ci-dessus. Elle permet une attaque par parcours de répertoires mais exige que l’attaquant soit authentifié. Nous n’avons pas pu joindre l’auteur :
- Hass-album – non corrigé
Si vous avez utilisé l’une de ces intégrations personnalisées, nous vous recommandons de mettre à jour vos identifiants.
Outre la collaboration avec les auteurs de l’intégration personnalisée, les mesures suivantes ont été prises pour aider à protéger les utilisateurs :
- Home Assistant a publié Home Assistant Core 2021.1.3 avec une protection supplémentaire pour stopper les attaques de parcours de répertoire avant d’atteindre le code vulnérable. Cela permet d’éviter l’abus de toutes les vulnérabilités trouvées.
- Home Assistant a publié un bulletin de sécurité en invitant vivement les gens à mettre à jour leur instance d’assistant à domicile. Ce bulletin a été largement diffusé et a fait l’objet de liens à partir de bannières sur le site web et les forums de Home Assistant.
- Home Assistant Supervisor avertira l’utilisateur lorsqu’une éventuelle installation non sécurisée utilisant des intégrations personnalisées est découverte.
- Les applications Home Assistant Companion pour Android et iOS ont été mises à jour pour informer l’utilisateur si son instance de Home Assistant est potentiellement non sécurisée.
- Nabu Casa a envoyé le bulletin de sécurité par courrier électronique à tous les abonnés et utilisateurs du Home Assistant Cloud en période d’essai.
- Nabu Casa a activé leur fonction pour limiter l’accès à distance via Home Assistant Cloud et bloque les instances qui exécutent une version non sécurisée de Home Assistant.
Malheureusement, ce sont des choses qui arrivent… Les intégrations personnalisées que nous avons répertoriées sont toutes open source, maintenues par des bénévoles pendant leur temps libre. Ils travaillent souvent seuls sur ce projet et c’est pourquoi il est plus probable qu’un bogue passe inaperçu. Mais plus d’yeux ne garantit pas non plus un logiciel sans bogue. De temps en temps, de telles choses arriveront à chaque logiciel.
Je tiens à souligner qu’il n’est pas permis de harceler/attaquer/insulter personnellement les développeurs de ces intégrations personnalisées. Cela constituerait une violation de notre code de conduite et nous l’appliquerons.
En tant que Home Assistant, nous aurions pu faire plus pour nous préparer à ce scénario. Nous étudions actuellement la possibilité d’ajouter de nouvelles fonctions d’acceptation pour que les utilisateurs soient avertis et pour permettre à Home Assistant de prendre des mesures préventives pour corriger les vulnérabilités.
Paulus
FAQ
POURQUOI N’AVEZ-VOUS PAS PUBLIÉ LES NOMS DES INTÉGRATIONS PERSONNALISÉES DANS LE PREMIER BULLETIN DE SÉCURITÉ ?
Lorsque nous avons découvert les problèmes, nous les avons révélés aux auteurs des intégrations personnalisées concernées et leur avons donné le temps de corriger le problème et de publier une nouvelle version. Il s’agit d’une bonne pratique courante lors de la divulgation de vulnérabilités de sécurité.
Comme certaines de ces intégrations personnalisées sont assez populaires, nous avons également décidé de publier un bulletin de sécurité pour inciter les utilisateurs de Home Assistant à mettre à jour leurs instances. Nous nous sommes assurés d’inclure suffisamment d’informations pour que les utilisateurs puissent résoudre la vulnérabilité.
CETTE VULNÉRABILITÉ A-T-ELLE ÉTÉ EXPLOITÉE ?
Nous ne savons pas.