Hoʻokuʻu ʻia nā mana hoʻolaha OpenWrt 18.06.7 и 19.07.1, i hooponoponoia palupalu CVE-2020-7982 i loko o ka opkg package manager, hiki ke hoʻohana ʻia e hoʻokō i kahi hoʻouka MITM a hoʻololi i nā ʻike o kahi pūʻolo i hoʻoiho ʻia mai ka waihona. Ma muli o kahi hewa i ka helu hōʻoia checksum, hiki i ka mea hoʻouka ke haʻalele i ka SHA-256 checksums mai ka ʻeke, kahi i hiki ai ke kāpae i nā mīkini no ka nānā ʻana i ka pono o nā kumuwaiwai ipk i hoʻoiho ʻia.
Ua loaʻa ka pilikia mai Pepeluali 2017, ma hope o ka hoʻohui ʻia ʻana o ke code e haʻalele i nā wahi alakaʻi ma mua o kahi checksum. Ma muli o ka hewa i ka wā e lele ai i nā hakahaka, ʻaʻole i hoʻoneʻe ʻia ka mea kuhikuhi i ke kūlana ma ka laina a ua hoʻihoʻi koke ka SHA-256 hexadecimal sequence decoding loop i ka mana a hoʻihoʻi i ka helu helu o ka lōʻihi ʻole.
Ma muli o ka hoʻomaka ʻana o ka luna opkg package ma ke ʻano he aʻa, hiki i ka mea hoʻouka ke hoʻololi i nā mea i loko o ka pūʻulu ipk i ka wā o kahi hoʻouka MITM, i hoʻoiho ʻia mai ka waihona i ka wā e hoʻokō ai ka mea hoʻohana i ke kauoha "opkg install", a hoʻonohonoho i kāna code. e hoʻokō ʻia me ke aʻa kuleana ma o ka hoʻohui ʻana i kāu mau palapala kākau lima ponoʻī i ka pūʻolo, i kāhea ʻia i ka wā hoʻokomo. No ka hoʻohana ʻana i ka nāwaliwali, pono e hoʻopunipuni ka mea hoʻouka i ka helu helu pūʻolo (no ka laʻana, mai downloads.openwrt.org). Pono ka nui o ka pūʻolo i hoʻololi ʻia me ka mea kumu mai ka papa kuhikuhi.
Hoʻopau pū kekahi mau mana hou palupalu i loko o ka waihona libubox, hiki ke alakaʻi i ka hoʻoheheʻe ʻana i ka wā e hoʻoili ai i ka ʻikepili serialized binary a i ʻole JSON i ka hana blobmsg_format_json.
Source: linux.org.ru