Ma ka ʻōnaehana kūkulu Buildroot, kahi i manaʻo ʻia e hana i ka bootable LinuxʻEono mau nāwaliwali i ʻike ʻia i loko o nā ʻōnaehana i hoʻokomo ʻia e hiki ai i nā hoʻouka kaua man-in-the-middle (MITM) ke hoʻololi i nā kiʻi ʻōnaehana i hana ʻia a hoʻokō paha i ke code ma ka pae ʻōnaehana kūkulu. Ua hoʻoponopono ʻia nā nāwaliwali ma nā hoʻokuʻu ʻana o Buildroot 2023.02.8, 2023.08.4, a me 2023.11.
ʻO nā nāwaliwali mua ʻelima (CVE-2023-45841, CVE-2023-45842, CVE-2023-45838, CVE-2023-45839, CVE-2023-45840) e hoʻopilikia i ke code no ka hōʻoia ʻana i ka pono o nā packets me ka hoʻohana ʻana i nā hashes. ʻO nā pilikia e hoʻopili ʻia i ka hiki ke hoʻohana iā HTTP e hoʻoiho i nā faila a me ka nele o nā faila hash hōʻoia no kekahi mau pūʻolo, kahi e hiki ai ke hoʻopunipuni ʻia nā ʻike o kēia mau pūʻolo, a laila e hoʻopilikia ai i ke kaʻa o ke kaʻina hana kūkulu. kikowaena pūnaewele (no ka laʻana, ke hoʻopili kahi mea hoʻohana ma o kahi pūnaewele uea ʻole i kāohi ʻia e kahi mea hoʻouka).
ʻO ka mea kūikawā, ua hoʻouka ʻia nā pūʻolo aufs a me aufs-util ma luna o HTTP a ʻaʻole i nānā ʻia i nā hashes. Ua nalowale hoʻi nā hashes no ka riscv64-elf-toolchain, versal-firmware a me nā pūʻolo mxsldr, i hoʻouka ʻia ma luna o HTTPS ma ke ʻano maʻamau, akā hāʻule hou i nā hoʻoiho ʻole ʻia mai http://sources.buildroot.net inā pilikia. Inā ʻaʻohe faila .hash, ua noʻonoʻo ka mea hana Buildroot i ka kūleʻa a hoʻoponopono i nā pūʻolo i hoʻoiho ʻia, me ka hoʻopili ʻana i nā pā i hoʻokomo ʻia i loko o nā pūʻolo a me ka holo ʻana i nā palapala kūkulu. Loaʻa ka hiki ke hoʻopunipuni i nā pūʻolo i hoʻoiho ʻia, hiki i ka mea hoʻouka ke hoʻohui i kāna mau ʻāpana a i ʻole Makefiles iā lākou, i hiki ai ke hoʻololi i ke kiʻi hopena a i ʻole ke kūkulu ʻana i nā palapala ʻōnaehana a hoʻokō i kāna code.
ʻO ke ono o nā nāwaliwali (CVE-2023-43608) i hana ʻia e kahi hewa i ka hoʻokō ʻana o ka hana BR_NO_CHECK_HASH_FOR, kahi e hiki ai ke hoʻopau i ka nānā ʻana i ka pono hash no nā packets i koho ʻia. ʻO kekahi mau pūʻolo, e like me ka kernel, Linux, ʻo U-Boot, a me versal-firmware i ʻae i ka hoʻoiho ʻana o nā mana hou loa nona nā hashes hōʻoia i hana ʻole ʻia. No kēia mau mana, ua hoʻohana ʻia ke koho BR_NO_CHECK_HASH_FOR, e hoʻopau ana i ka hōʻoia hash. Ua hoʻoiho ʻia ka ʻikepili ma o HTTPS, akā ma ka paʻamau, inā ʻaʻole i holomua ka hoʻoiho ʻana, ua hoʻi hou ia i ke komo ʻana i ka source.buildroot.net me ka ʻole o ka hoʻopāʻālua me ka hoʻohana ʻana i ka protocol http://. Hiki i kahi mea hoʻouka ke ālai i ka pilina i ke kikowaena HTTPS i ka wā o kahi hoʻouka kaua man-in-the-middle, e hoʻihoʻi ana i ka hoʻoiho ʻana i http://sources.buildroot.net.
Source: opennet.ru
