Es wird aktuell dringend empfohlen, den Home Assistant Supervisor auf Version 2023.3.1 oder neuer zu aktualisieren.
Du kannst auf der Info-Seite des Home Assistant überprüfen, ob du das Update erhalten hast und ob du Supervisor 2023.03.1 oder höher verwendest. Wenn du auf deiner Info-Seite keine Supervisor-Version siehst, verwendest du keinen der betroffenen Installationstypen und bist nicht verwundbar.
Das Problem wurde auch in Home Assistant 2023.3.0 entschärft. Diese Version wurde am 1. März veröffentlicht und wurde seitdem von 33% der Nutzer/innen installiert.
Es sind keine Berichte bekannt, nachdem diese Lücke bereits ausgenutzt wurde.
Über die Lücke
Der Supervisor ist eine Anwendung, die Teil von Home Assistant OS und Home Assistant Supervised Installationen ist und für die Systemverwaltung zuständig ist. Die Sicherheitslücke ermöglicht es einem Angreifer, die Authentifizierung aus der Ferne zu umgehen und direkt mit der Supervisor-API zu interagieren. Dadurch erhält der Angreifer Zugriff auf die Installation von Home Assistant-Updates und die Verwaltung von Add-ons und Backups. Die Analyse von Home Assistant zeigte, dass dieses Problem in Home Assistant seit der Einführung des Supervisors im Jahr 2017 besteht.
