Home Assistant Core — это открытая платформа для автоматизации дома, которая стави�…

Home Assistant Core — это открытая платформа для автоматизации дома, которая ставит локальный контроль и конфиденциальность на первое место. Затронутые версии подвержены потенциальным атакам «человек посередине» из-за отсутствия проверки SSL-сертификатов в кодовой базе проекта и используемых сторонних библиотеках. В прошлом параметр `verify_ssl` у `aiohttp-session`/`request` контролировал проверку SSL-сертификатов. Это было логическим значением. В `aiohttp` 3.0 этот параметр был устаревшим в пользу параметра `ssl`. Только когда `ssl` установлен на `None` или предоставлен с корректно настроенным контекстом SSL, произойдет стандартная проверка сертификатов SSL. При миграции интеграций в Home Assistant и библиотеках, используемых Home Assistant, в некоторых случаях значение параметра `verify_ssl` было просто перенесено на новый параметр `ssl`. Это привело к тому, что эти интеграции и сторонние библиотеки использовали `request.ssl = True`, что непреднамеренно отключило проверку сертификата SSL и открыло вектор атаки «человек посередине». Эта проблема была решена в версии 2024.1.6, и всем пользователям рекомендуется обновиться. Известных обходных решений для этой уязвимости нет.