Importante Aggiornamento di sicurezza Home Assistant 2021.1.5

Importante Aggiornamento di sicurezza Home Assistant 2021.1.5

di Antonio Mario Longo

24 Gennaio 2021

Aggiornamenti Home Assistant

Antonio Mario Longo

La settimana scorsa avrete notato un'importante aggiornamento legato alla sicurezza dei dati sensibili di Home Assistant con alcuni custom component che fortunatamente era rientrato con la versione 2021.1.3. Purtroppo ad oggi si rileva un'altra falla legata questa volta ad HACS il community store di Home Assistant dove all'interno potrete reperire tanti addon legati al front end e custom component. Quindi consigliamo di aggiornare al più presto alla nuova release del core di Home Assistant 2021.1.5

Vediamo insieme il changelog della nuova versione e di seguito il bollettino di sicurezza rilasciato dagli sviluppatori:

  • Il componente python-mpd2 è stato aggiornato alla versione 3.0.3
  • Il componente pybotvac legato all'integrazione Neato è stato portato alla versione 0.0.20
  • L'integrazione netatmo con il proprio componente pyatmo è stata aggiornata alla versione 4.2.2
  • Ora i documenti di Home Assistant evitano l'uso improprio di  sanitize_path e ne chiariscono il contenuto.

Come detto all'inizio è stato rilasciato un bollettino presente a questo link che indica la scoperta di nuove vulnerabilità nelle integrazioni custom di Hacs, Font Sconosciuti e altri. Gli sviluppatori ricordano che le vulnerabilità sono presenti solo con alcuni Custom Component e non con il sistema privo, quindi declinano di ogni responsabilità, inoltre dichiarano che:

  • Sono state trovate più integrazioni personalizzate che consentivano di rubare qualsiasi file senza eseguire l'accesso. Le correzioni implementate in precedenza con l'aggiornamento Home Assistant Core 2021.1.3 non erano sufficienti. 
  • Gli sviluppatori consigliano di aggiornare al più presto alla nuova release per mitigare questa falla
  • Aggiornate le integrazioni presenti in Hacs solo a versioni stabili e non beta, oppure rimuoverle totalmente (se ne potete fare a meno)
  • Se avete usato alcune integrazioni che richiedevano i vostri dati, aggiornate le vostre credenziali (magari cambiando password)

L'aggiornamento non porta problemi in se, perchè anche se si tratta di un Minor Update ha al suo interno patch fondamentali per la sicurezza. Quindi aggiornate al più presto e con molta tranquillità poichè non ci sono stravolgimenti di codice, quindi nulla da correggere da parte dell'utente finale.

Vi ricordo di seguirci sul nostro canale Telegram al seguente indirizzo: https://t.me/vincenzocaputoblog oppure di restare aggiornati sui nostri video sul nostro canale YouTube: https://www.youtube.com/user/Vincenzo53378

Produrre e aggiornare contenuti su vincenzocaputo.com richiede molto tempo e lavoro. Se il contenuto che hai appena letto è di tuo gradimento e vuoi supportarmi, clicca uno dei link qui sotto per fare una donazione.

Antonio Mario Longo

Antonio Mario Longo

Nato a Foggia nel Settembre 1984 perito elettrotecnico di sistemi e automazione, lavoro nel settore aereonautico su macchine a controllo numerico per la produzione di particolari in fibra di carbonio, appassionato di informatica (nata dai primi 8086) e automatismi per le nuove case del futuro.

Disqus loading...