Datenschutz & Sicherheit
Home Assistant: Update stopft Informationsleck
In Home Assistant haben die Entwickler zwei hochriskante Sicherheitslücken ausgebessert. Jetzt veröffentlichte Schwachstelleneinträge erörtern die Probleme. Außerdem hat das Projekt ein Update für das Home Assistant OS auf Version 18 vorgelegt.
Weiterlesen nach der Anzeige
Die gravierendste Schwachstelle betrifft einen API-Endpunkt, der zwar Schreibzugriffe (PUT und POST) korrekt auf vorherige Authentifizierung prüft, das für lesende Zugriffe (GET) jedoch unterlässt. Dadurch können bösartige Akteure mit Zugriff auf den Home-Assistant-HTTP-Port – standardmäßig 8123 im lokalen Netz – unbefugt den Status des Alarm-Panels und die Topologie der Geräte einsehen, erklären die Home-Assistant-Programmierer (CVE-2026-54317, CVSS 7.6, Risiko „hoch“). Die Lücke schließt Home Assistant 2026.6.0, das Anfang des Monats erschien.
Jede installierte App in Home Assistant kann auch ohne weitere Rechte Informationen an den BroadcastReceiver des LocationSensorManager senden, etwa Broadcasts mit gefälschtem LocationResult vom Google Play Service. Der Empfänger vertraut der Information und nimmt sie als reale Position des Geräts an. Dadurch könnten Angreifer Zonen-basierte Automatisierungen auslösen, etwa das Aufsperren von Türen, Alarmanlage abschalten oder Garage öffnen, schreiben die Home-Assistant-Entwickler in ihrer Sicherheitsmitteilung. Im Home Assistant Companion 2026.5.3 und neuer soll das korrigiert sein (CVE-2026-54318, CVSS 7.1, Risiko „hoch“).
Betriebssystem auf neuem Stand
Zudem hat das Home-Assistant-Projekt nun das Betriebssystem Home Assistant OS in Version 18 veröffentlicht. Es handelt sich dabei um ein kleines Wartungsrelease, die Release-Ankündigung zeigt nur wenig Neues. Der Linux-Kernel ist auf den aktuellen 6.18er-Zweig gewechselt. Docker kommt in Version 29.5.3 mit, containerd auf Stand 2.2.4; das darunterliegende Buildroot haben die Programmierer auf 2025.02.14 aktualisiert. Die Abbilder sollen sich nun deutlich schneller flashen lassen, und zudem haben die Entwickler die Logik zur Größe der Swap-Datei überarbeitet. Der Raspberry-Pi-Bootloader lässt sich direkt aus Home Assistant heraus aktualisieren. Raspberry Pi 5 muss nun mindestens Firmware 2025-02-12 installiert haben. Weitere Details und Download-Links finden Interessierte in der Release-Ankündigung.
Anfang des Monats wurden bereits Schwachstellen in den Home Assistant Companion Apps bekannt. Eine der Lücken hätte Angreifern das Abgreifen von Zugriffstoken und damit die Übernahme der Home-Assistant-Instanz ermöglicht.
(dmk)