Des versions correctives de la distribution OpenWrt ont été publiées
Le problème apparaît depuis février 2017, après
Étant donné que le gestionnaire de packages opkg dans OpenWrt est lancé avec les droits root, en cas d'attaque MITM, un attaquant peut discrètement apporter des modifications au package ipk téléchargé depuis le référentiel pendant que l'utilisateur exécute la commande « opkg install », et organiser le package ipk téléchargé depuis le référentiel. exécution de son code avec les droits root en ajoutant vos propres scripts de gestionnaire au package, appelés lors de l'installation. Pour exploiter la vulnérabilité, l'attaquant doit également prendre des dispositions pour le remplacement d'un index de package correct et signé (par exemple, fourni depuis downloads.openwrt.org). La taille du package modifié doit correspondre à la taille d'origine définie dans l'index.
Dans une situation où vous devez vous passer de mettre à jour l'intégralité du micrologiciel, vous pouvez mettre à jour uniquement le gestionnaire de packages opkg en exécutant les commandes suivantes :
cd / tmp
mise à jour opkg
opkg télécharger opkg
zcat ./opkg-lists/openwrt_base | grep -A10 "Paquet : opkg" | grep SHA256somme
sha256sum ./opkg_2020-01-25-c09fe209-1_*.ipk
Ensuite, comparez les sommes de contrôle affichées et si elles correspondent, exécutez :
opkg install ./opkg_2020-01-25-c09fe209-1_*.ipk
Les nouvelles versions en éliminent également un de plus
$ubus appelle luci getFeatures\
'{ "banique": 00192200197600198000198100200400.1922 }'
En plus d'éliminer les vulnérabilités et de corriger les erreurs accumulées, la version OpenWrt 19.07.1 a également mis à jour la version du noyau Linux (de 4.14.162 à 4.14.167), résolu les problèmes de performances lors de l'utilisation des fréquences 5 GHz et amélioré la prise en charge d'Ubiquiti Rocket M. Titane, appareils Netgear WN2500RP v1,
Zyxel NSA325, Netgear WNR3500 V2, Archer C6 v2, Ubiquiti EdgeRouter-X, Archer C20 v4, Archer C50 v4 Archer MR200, TL-WA801ND v5, HiWiFi HC5962, Xiaomi Mi Router 3 Pro et Netgear R6350.
Source: opennet.ru