Korrekturversionen der OpenWrt-Distribution wurden veröffentlicht
Das Problem tritt seit Februar 2017 auf
Da der opkg-Paketmanager in OpenWrt mit Root-Rechten gestartet wird, kann ein Angreifer im Falle eines MITM-Angriffs stillschweigend Änderungen am aus dem Repository heruntergeladenen IPK-Paket vornehmen, während der Benutzer den Befehl „opkg install“ ausführt, und das organisieren Ausführung seines Codes mit Root-Rechten durch Hinzufügen eigener Handler-Skripte zum Paket, die während der Installation aufgerufen werden. Um die Sicherheitslücke auszunutzen, muss der Angreifer außerdem dafür sorgen, dass ein korrekter und signierter Paketindex ersetzt wird (z. B. bereitgestellt von downloads.openwrt.org). Die Größe des geänderten Pakets muss mit der im Index definierten Originalgröße übereinstimmen.
In einer Situation, in der Sie auf die Aktualisierung der gesamten Firmware verzichten müssen, können Sie nur den opkg-Paketmanager aktualisieren, indem Sie die folgenden Befehle ausführen:
cd / tmp
opkg-Update
opkg herunterladen opkg
zcat ./opkg-lists/openwrt_base | grep -A10 „Paket: opkg“ | grep SHA256sum
sha256sum ./opkg_2020-01-25-c09fe209-1_*.ipk
Vergleichen Sie als Nächstes die angezeigten Prüfsummen und führen Sie bei Übereinstimmung Folgendes aus:
opkg install ./opkg_2020-01-25-c09fe209-1_*.ipk
Neue Versionen eliminieren außerdem einen weiteren
$ubus call luci getFeatures\
'{ "banik": 00192200197600198000198100200400.1922 }'
Neben der Beseitigung von Schwachstellen und der Korrektur angehäufter Fehler wurde mit der OpenWrt-Version 19.07.1 auch die Version des Linux-Kernels aktualisiert (von 4.14.162 auf 4.14.167), Leistungsprobleme bei der Verwendung von 5-GHz-Frequenzen behoben und die Unterstützung für Ubiquiti Rocket M verbessert Titanium, Netgear WN2500RP v1-Geräte,
Zyxel NSA325, Netgear WNR3500 V2, Archer C6 v2, Ubiquiti EdgeRouter-X, Archer C20 v4, Archer C50 v4, Archer MR200, TL-WA801ND v5, HiWiFi HC5962, Xiaomi Mi Router 3 Pro und Netgear R6350.
Source: opennet.ru