Home Assistant: Weitere Sicherheitsupdates wollen eingespielt werden

Die Smart-Home-Plattform „Home Assistant“, welche vielleicht auch einige Leser auf einem Raspberry Pi, in einem Docker-Container oder beispielsweise auf einem Intel NUC einsetzen, bekommt eine weitere Aktualisierung. Erst vor ein paar Tagen schloss man aufgrund von Sicherheitsproblemen bei Drittanbieter-Integrationen ein paar Einfalltore und lieferte eine aktualisierte Version aus (wir berichteten), nun legt man aber noch einmal nach.

Man habe weitere Schwachstellen in benutzerdefinierten Integrationen von Drittanbietern gefunden, die durch die letzten Fixes nicht abgeriegelt wurden. Benutzerdefinierte Integrationen werden nicht von Home Assistant erstellt und/oder gewartet. Benutzer installieren sie logischerweise auf eigenes Risiko, wie z. B. Plugins in anderer Software. Falls man keine benutzerdefinierten Integrationen nutzt, ist man also auf der sicheren Seite.

Jedenfalls wurden mehrere anfällige benutzerdefinierte Integrationen gefunden, die es einem Angreifer ermöglichen, beliebige Dateien zu stehlen, ohne sich anzumelden. Zuvor implementierte Korrekturen waren nicht ausreichend.

Die neuste Version des Home Assistant Core, welche bereits zur Verfügung steht, soll für ausreichenden Schutz sorgen. Man solle jene Version „so schnell wie möglich“ einspielen. Hierzu gilt es im Menüpunkt „Supervisor“ zu prüfen, ob ein Update auf 2021.1.5 (oder neuer) zur Verfügung steht. Spätestens nach dem erneuten Laden durch die gleichnamige Schaltfläche „Neu laden“ sollte das Update bereit sein. Auch die anfälligen Integrationen sollten entfernt oder aktualisiert werden. Dies wären zum jetzigen Zeitpunkt Font Awesome, BWAlarm (ak74 edition) und Simple Icons. Weiterführende Informationen findet ihr im Blog von Home Assistant.