Anzeige

Home Assistant: Weitere Sicherheitsupdates wollen eingespielt werden

Die Smart-Home-Plattform „Home Assistant“, welche vielleicht auch einige Leser auf einem Raspberry Pi, in einem Docker-Container oder beispielsweise auf einem Intel NUC einsetzen, bekommt eine weitere Aktualisierung. Erst vor ein paar Tagen schloss man aufgrund von Sicherheitsproblemen bei Drittanbieter-Integrationen ein paar Einfalltore und lieferte eine aktualisierte Version aus (wir berichteten), nun legt man aber noch einmal nach.

Man habe weitere Schwachstellen in benutzerdefinierten Integrationen von Drittanbietern gefunden, die durch die letzten Fixes nicht abgeriegelt wurden. Benutzerdefinierte Integrationen werden nicht von Home Assistant erstellt und/oder gewartet. Benutzer installieren sie logischerweise auf eigenes Risiko, wie z. B. Plugins in anderer Software. Falls man keine benutzerdefinierten Integrationen nutzt, ist man also auf der sicheren Seite.

Jedenfalls wurden mehrere anfällige benutzerdefinierte Integrationen gefunden, die es einem Angreifer ermöglichen, beliebige Dateien zu stehlen, ohne sich anzumelden. Zuvor implementierte Korrekturen waren nicht ausreichend.

Die neuste Version des Home Assistant Core, welche bereits zur Verfügung steht, soll für ausreichenden Schutz sorgen. Man solle jene Version „so schnell wie möglich“ einspielen. Hierzu gilt es im Menüpunkt „Supervisor“ zu prüfen, ob ein Update auf 2021.1.5 (oder neuer) zur Verfügung steht. Spätestens nach dem erneuten Laden durch die gleichnamige Schaltfläche „Neu laden“ sollte das Update bereit sein. Auch die anfälligen Integrationen sollten entfernt oder aktualisiert werden. Dies wären zum jetzigen Zeitpunkt Font Awesome, BWAlarm (ak74 edition) und Simple Icons. Weiterführende Informationen findet ihr im Blog von Home Assistant.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Ein Kommentar

  1. Finde die Kommunikation seitens HomeAssistant und auch NabuCase bzgl. Cloud hier vorbildlich. Ich selbst nutze keine Custom Integrations aber nehme jedes Update hier mit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.