В OpenWrt исправлена критическая уязвимость - Proxy-Base Community - Анонимность и безопасность в интернете.
Бесплатные прокси. Количество:
Прокси для пользователей форума (API). Количество:
Купить доступ к прокси-листам (API). Количество:
 



Информация по хайдам / репутации

(РЕКОМЕНДУЮ) №1 >>>DDos Атака<<|>>DDoS Service<<< ДДОС СЕРВИС<<|>>Заказать DDOS
Все инфопродукты и приватная информация бесплатно
Старый 26.03.2020, 00:40   #1 (permalink)
VPN
 
Аватар для Proxy-Base-News
 
Регистрация: 16.09.2015
Сообщений: 1,852
Member ID: 35426

Репутация: 21
Репутация: 21
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 7 сообщениях
Топикстартер (автор темы) По умолчанию В OpenWrt исправлена критическая уязвимость

Специалист компании ForAllSecure Гвидо Вранкен (Guido Vranken) опубликовал подробности о ранее обнаруженной им критической уязвимости в OpenWrt.

OpenWrt – популярная операционная система на базе ядра Linux, используемая в маршрутизаторах, шлюзах и других сетевых устройствах.

Уязвимость CVE-2020-7982 существует в менеджере пакетов OPKG в OpenWrt из-за механизма проверки целостности загруженных пакетов с помощью контрольных сумм SHA-256, встроенных в индекс репозитория.

В процессе выполнения команды opkg install на системе жертвы злоумышленник может осуществить атаку «человек посередине». Атакующий может перехватывать передаваемые данные с целью удаленного выполнения произвольного кода, обманом заставив систему установить вредоносный пакет или вредоносное обновление ПО без соответствующей проверки.

Как пояснил Вранкен, если контрольная сумма содержит пробелы, OPKG в уязвимых версиях OpenWrt пропускает проверку целостности загруженного пакета и сразу переходит к установке. Поскольку OPKG в OpenWrt работает с привилегиями суперпользователя и может записывать данные во всей файловой системе, произвольный код может быть внедрен с помощью поддельных пакетов .ipk с вредоносной полезной нагрузкой.

Удаленная эксплуатация уязвимости возможна из-за того, что целостность механизмов установки программного обеспечения на базе ядра Linux при загрузке файлов через HTTP зависит от файлов с цифровой подписью.

Удачная эксплуатация уязвимости позволит злоумышленнику получить полный контроль над атакуемым OpenWrt-устройством и всем его трафиком.

В качестве временного решения разработчики OpenWrt удалили пробел в сумме SHA256 из списка. Однако, по словам Вранкена, это решение не является долгосрочным, так как злоумышленник может просто использовать более старый список пакетов, подписанный разработчиками OpenWrt.

Уязвимость существует в OpenWrt в течение трех лет. Вранкен обнаружил ее ранее в этом году, о чем сразу же уведомил разработчиков. Проблема затрагивает версии OpenWrt с 18.06.0 до 18.06.6, версию 19.07.0, а также LEDE с 17.01.0 до 17.01.7. В целях обезопасить себя от возможных атак с использованием данной уязвимости пользователям рекомендуется установить версии OpenWrt 18.06.7 и 19.07.1.

Источник: https://www.securitylab.ru/news/506164.php
Proxy-Base-News вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В Libarchive исправлена критическая уязвимость. Proxy-Base-News Новости IT 0 07.11.2019 06:10
В браузере Tor исправлена критическая уязвимость Proxy-Base-News Новости IT 0 21.06.2019 13:10
В USB-подсистеме ядра Linux исправлена критическая уязвимость Proxy-Base-News Новости IT 0 27.12.2018 21:20
В Struts 2 исправлена очередная критическая уязвимость Proxy-Base-News Новости IT 0 08.11.2018 03:12
В BIND исправлена критическая уязвимость отказа в обслуживании Proxy-Base-News Новости IT 0 18.12.2015 10:40




DDoS Protected




Мы в твиттере, Proxy-Base.Org Twitter

Proxy-Base Community - Анонимность и безопасность в интернете.
Наши партнеры: CRC Labs, SEO-Crack.Com, Garsuk.Com, SED Team, Skladchik.com, BSS Family

Powered by vBulletin® | Булка сделана в пекарне®
Copyright © 2000 - , Jelsoft Enterprises Ltd. Перевод: zCarot
Вся информация на сайте выложена исключительно в ознакомительных целях.