Achtung: Sicherheitslücke im Home Assistant Supervisor (unterhalb von Version 2023.03.1)

[carsten_h]

Moin!

Das kam mir gerade zu Gesicht: https://stadt-bremerhaven.de/home-assis ... itsluecke/
Hier im Orginal: https://www.home-assistant.io/blog/2023 ... losure/#09

[Jim_OS]

Die Warn-Meldung ist bei mir bei HA eben auch aufgepoppt.

HA_Warnung.png

Mist ich wollte wie üblich das Core 2023.3.x Update erst zum Ende des Monats installieren.

Interssant ist das diese Lücke bereits seit dem Jahr 2017 bestehen soll und sie noch gar nicht ausgenutzt wurde.

VG Jim

[carsten_h]

bei HA eben auch aufgepoppt.

Oh, bei mir kam die nicht, wahrscheinlich weil ich schon die 2023.3.1 mit Supervisor 2023.03.1 und OS 9.5 drauf habe.

[Jim_OS]

Hm entweder stimmt dann bei mir etwas nicht ober bei Dir. Ich habe nämlich gerade das Update gemacht und bei mir läuft jetzt

Home Assistant 2023.3.1
Supervisor 2023.03.1
Operating System 9.5

Trotz Reboot des Host bekomme ich noch/wieder die Update/Reparatur-Warnung

HA_Reparatur.png

Die Info dazu lautet ja: A fix for this security issue has been rolled out to all affected Home Assistant users via the Supervisor auto-update system and this issue is no longer present.

Was eigentlich heißen sollte das dann auch keine Warn-/Reparaturmeldung mehr kommen, bzw. diese verschwunden sein sollte. Na mal sehen was im HA-Forum zu der Meldung alles so gepostet wird. Da gibt es ja schon jede Menge Postings.

VG Jim

[Jim_OS]

Lt. einer (ersten) User-Info aus dem HA-Forum zu meiner Frage sollte die Meldung nach einem Update wohl weiterhin vorhanden sein, bis man sie per "Ignorieren" wegklickt. Ich meine zwar das das bei anderen Reparatur-Meldungen auch schon anders war, sprich das diese dann automatisch weg waren, aber ok.

Edit: BTW 2023.3.1 Update. Ich glaube ich muss mich jetzt auch mal so langsam mit dem Thema Thread befassen, da HA bei mir zwei Thread Border Router gefunden hat.

Thread_Integration.png

VG Jim

[Jim_OS]

Ich meine zwar das das bei anderen Reparatur-Meldungen auch schon anders war, sprich das diese dann automatisch weg waren, aber ok.

So ist es auch. Bei der Warmeldung jetzt gibt es einen Fehler. Rückmeldung von frenck (Franck Nijhof), der wohl dafür zuständig war:

This is my bad, I’ve made a typo in the version number of the alert. The error is corrected and the alert should disappear if your system is protected.

[carsten_h]

Wie schon geschrieben, habe ich diese Meldung hier nicht bekommen (weder im macOS Programm, noch in der iOS/iPadOS App und auch nicht in verschiedenen Browsern). Ich arbeite auch nur mit den offiziellen Versionen, nicht mit Beta-Versionen.

[Jim_OS]

Welche Beta-Versionen meinst Du denn? Ich nutze hier keine Beta-Versionen. Die Meldung ist dann wohl bei allen Usern aufgepoppt die vor rund 6 Std. noch nicht die Supervisor Version 2023.03.1 laufen hatten. Was auf Dich dann ja nicht zutrifft.

Das die Meldung dann nach einem Update auf Supervisor 2023.03.1 immer noch erscheint ist ja durch die Rückmeldung von frenck auch geklärt.

[mondface]

Dann bin ich wohl sicher:

Home Assistant 2023.2.5
Supervisor 2023.03.1
Operating System 9.5
Frontend 20230202.0 - latest

[carsten_h]

Dann bin ich wohl sicher:

Siehe im ersten verlinkten Beitrag:

Ein Fix für dieses Sicherheitsproblem wurde an alle betroffenen Home-Assistant-Benutzer über das Supervisor-Auto-Update-System verteilt und das Problem ist nicht mehr vorhanden.

Der Update passierte also ohne Zutun des Benutzers.

[Jim_OS]

Etwas Gutes hat die Sicherheitslücke ja: Es wird jetzt mal ausgiebig über das Thema Sicherheit bei HA diskutiert und diese somit in Zukunft ggf. auch weiter verbessert. Vielleicht ergeben sich dadurch ja auch Änderungen bei der core.config_entries, sodass darin nicht mehr sämtliche Daten (Gerätename, MAC, IP, Port, Username, Passwort, Token-Daten usw.) aller bei HA eingebundenen Geräte und Dienste unverschlüsselt, sprich im Klartext, stehen.

VG Jim