Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Passt in keine bestehende Kategorie. Oder ist völlig belanglos.


Antworten
Benutzeravatar
carsten_h
Beiträge: 532
Registriert: Mo 2. Aug 2021, 11:07
2
Has thanked: 1 time
Been thanked: 65 times

Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von carsten_h »

Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Die Warn-Meldung ist bei mir bei HA eben auch aufgepoppt.

HA_Warnung.png

Mist ich wollte wie üblich das Core 2023.3.x Update erst zum Ende des Monats installieren. :D

Interssant ist das diese Lücke bereits seit dem Jahr 2017 bestehen soll und sie noch gar nicht ausgenutzt wurde. :lol:

VG Jim

Benutzeravatar
carsten_h
Beiträge: 532
Registriert: Mo 2. Aug 2021, 11:07
2
Has thanked: 1 time
Been thanked: 65 times

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von carsten_h »

Jim_OS hat geschrieben: Mi 8. Mär 2023, 13:10

bei HA eben auch aufgepoppt.

Oh, bei mir kam die nicht, wahrscheinlich weil ich schon die 2023.3.1 mit Supervisor 2023.03.1 und OS 9.5 drauf habe.

Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Hm entweder stimmt dann bei mir etwas nicht ober bei Dir. :D Ich habe nämlich gerade das Update gemacht und bei mir läuft jetzt

Home Assistant 2023.3.1
Supervisor 2023.03.1
Operating System 9.5

Trotz Reboot des Host bekomme ich noch/wieder die Update/Reparatur-Warnung

HA_Reparatur.png

Die Info dazu lautet ja: A fix for this security issue has been rolled out to all affected Home Assistant users via the Supervisor auto-update system and this issue is no longer present.

Was eigentlich heißen sollte das dann auch keine Warn-/Reparaturmeldung mehr kommen, bzw. diese verschwunden sein sollte. Na mal sehen was im HA-Forum zu der Meldung alles so gepostet wird. Da gibt es ja schon jede Menge Postings.

VG Jim

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Lt. einer (ersten) User-Info aus dem HA-Forum zu meiner Frage sollte die Meldung nach einem Update wohl weiterhin vorhanden sein, bis man sie per "Ignorieren" wegklickt. Ich meine zwar das das bei anderen Reparatur-Meldungen auch schon anders war, sprich das diese dann automatisch weg waren, aber ok.

Edit: BTW 2023.3.1 Update. Ich glaube ich muss mich jetzt auch mal so langsam mit dem Thema Thread befassen, da HA bei mir zwei Thread Border Router gefunden hat. 8-)

Thread_Integration.png

VG Jim

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Jim_OS hat geschrieben: Mi 8. Mär 2023, 14:26

Ich meine zwar das das bei anderen Reparatur-Meldungen auch schon anders war, sprich das diese dann automatisch weg waren, aber ok.

So ist es auch. Bei der Warmeldung jetzt gibt es einen Fehler. Rückmeldung von frenck (Franck Nijhof), der wohl dafür zuständig war:

This is my bad, I’ve made a typo in the version number of the alert. The error is corrected and the alert should disappear if your system is protected.

Benutzeravatar
carsten_h
Beiträge: 532
Registriert: Mo 2. Aug 2021, 11:07
2
Has thanked: 1 time
Been thanked: 65 times

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von carsten_h »

Wie schon geschrieben, habe ich diese Meldung hier nicht bekommen (weder im macOS Programm, noch in der iOS/iPadOS App und auch nicht in verschiedenen Browsern). Ich arbeite auch nur mit den offiziellen Versionen, nicht mit Beta-Versionen.

Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Welche Beta-Versionen meinst Du denn? Ich nutze hier keine Beta-Versionen. Die Meldung ist dann wohl bei allen Usern aufgepoppt die vor rund 6 Std. noch nicht die Supervisor Version 2023.03.1 laufen hatten. Was auf Dich dann ja nicht zutrifft.

Das die Meldung dann nach einem Update auf Supervisor 2023.03.1 immer noch erscheint ist ja durch die Rückmeldung von frenck auch geklärt.

mondface
Beiträge: 167
Registriert: Di 10. Mai 2022, 23:06
1
Has thanked: 110 times
Been thanked: 12 times

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von mondface »

Dann bin ich wohl sicher:

Home Assistant 2023.2.5
Supervisor 2023.03.1
Operating System 9.5
Frontend 20230202.0 - latest

Benutzeravatar
carsten_h
Beiträge: 532
Registriert: Mo 2. Aug 2021, 11:07
2
Has thanked: 1 time
Been thanked: 65 times

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von carsten_h »

mondface hat geschrieben: Mi 8. Mär 2023, 16:28

Dann bin ich wohl sicher:

Siehe im ersten verlinkten Beitrag:

Ein Fix für dieses Sicherheitsproblem wurde an alle betroffenen Home-Assistant-Benutzer über das Supervisor-Auto-Update-System verteilt und das Problem ist nicht mehr vorhanden.

Der Update passierte also ohne Zutun des Benutzers.

Hier laufen macOS, iOS, iPadOS, tvOS, watchOS, Home Assistant OS, QTS, Raspberry Pi OS, piCorePlayer und Fire OS

Jim_OS

Re: Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

Beitrag von Jim_OS »

Etwas Gutes hat die Sicherheitslücke ja: Es wird jetzt mal ausgiebig über das Thema Sicherheit bei HA diskutiert und diese somit in Zukunft ggf. auch weiter verbessert. :) Vielleicht ergeben sich dadurch ja auch Änderungen bei der core.config_entries, sodass darin nicht mehr sämtliche Daten (Gerätename, MAC, IP, Port, Username, Passwort, Token-Daten usw.) aller bei HA eingebundenen Geräte und Dienste unverschlüsselt, sprich im Klartext, stehen. :o

VG Jim

Antworten