OpenWrt ๋ฐฐํฌ ๋ฒ์ ์ถ์ 18.06.7 ะธ 19.07.1, ์์ ๋ ๋ด์ฉ์ ๋๋ค. ์ทจ์ฝ์ opkg ํจํค์ง ๊ด๋ฆฌ์์ CVE-2020-7982. ์ด๋ MITM ๊ณต๊ฒฉ์ ์ํํ๊ณ ์ ์ฅ์์์ ๋ค์ด๋ก๋ํ ํจํค์ง์ ์ฝํ ์ธ ๋ฅผ ๋์ฒดํ๋ ๋ฐ ์ฌ์ฉํ ์ ์์ต๋๋ค. ์ฒดํฌ์ฌ ํ์ธ ์ฝ๋์ ์ค๋ฅ๋ก ์ธํด ๊ณต๊ฒฉ์๋ ํจํท์์ SHA-256 ์ฒดํฌ์ฌ์ ๋ฌด์ํ ์ ์์ผ๋ฉฐ, ์ด๋ก ์ธํด ๋ค์ด๋ก๋๋ IPK ๋ฆฌ์์ค์ ๋ฌด๊ฒฐ์ฑ์ ํ์ธํ๋ ๋ฉ์ปค๋์ฆ์ ์ฐํํ ์ ์์ต๋๋ค.
์ด ๋ฌธ์ ๋ ์ฒดํฌ์ฌ ์์ ๊ณต๋ฐฑ์ ๋ฌด์ํ๋ ์ฝ๋๊ฐ ์ถ๊ฐ๋ ์ดํ์ธ 2017๋ 256์๋ถํฐ ๋ฐ์ํ์ต๋๋ค. ๊ณต๋ฐฑ์ ๊ฑด๋๋ธ ๋ ๋ฐ์ํ๋ ์ค๋ฅ๋ก ์ธํด ์ค์ ์์น์ ๋ํ ํฌ์ธํฐ๊ฐ ์ด๋๋์ง ์์๊ณ SHA-XNUMX XNUMX์ง์ ์ํ์ค ๋์ฝ๋ฉ ๋ฃจํ๊ฐ ์ฆ์ ์ ์ด๋ฅผ ๋ฐํํ๊ณ ๊ธธ์ด๊ฐ XNUMX์ธ ์ฒดํฌ์ฌ์ ๋ฐํํ์ต๋๋ค.
opkg ํจํค์ง ๊ด๋ฆฌ์๊ฐ ๋ฃจํธ๋ก ์คํ๋์๊ธฐ ๋๋ฌธ์ ๊ณต๊ฒฉ์๋ MITM ๊ณต๊ฒฉ ์ค์ ์ฌ์ฉ์๊ฐ "opkg install" ๋ช ๋ น์ ์คํํ๋ ๋์ ์ ์ฅ์์์ ๋ค์ด๋ก๋ํ ipk ํจํค์ง์ ๋ด์ฉ์ ๋ณ๊ฒฝํ๊ณ ์์ ์ ์ฝ๋๋ฅผ ์ ๋ฆฌํ ์ ์์ต๋๋ค. ์ค์น ์ค์ ํธ์ถ๋๋ ์์ฒด ์ฒ๋ฆฌ๊ธฐ ์คํฌ๋ฆฝํธ๋ฅผ ํจํค์ง์ ์ถ๊ฐํ์ฌ ๊ถํ ๋ฃจํธ๋ก ์คํ๋ฉ๋๋ค. ์ทจ์ฝ์ ์ ์ ์ฉํ๋ ค๋ฉด ๊ณต๊ฒฉ์๋ ํจํค์ง ์ธ๋ฑ์ค๋ ์คํธํํด์ผ ํฉ๋๋ค(์: downloads.openwrt.org์์). ์์ ๋ ํจํค์ง์ ํฌ๊ธฐ๋ ์์ธ์ ์๋ณธ ํจํค์ง์ ์ผ์นํด์ผ ํฉ๋๋ค.
์ ๋ฒ์ ์ ๋ํ ํ๋ ๋ ์ ๊ฑฐํ์ต๋๋ค. ์ทจ์ฝ์ blobmsg_format_json ํจ์์์ ํน๋ณํ ํ์ํ๋ ์ง๋ ฌํ๋ ๋ฐ์ด๋๋ฆฌ ๋๋ JSON ๋ฐ์ดํฐ๋ฅผ ์ฒ๋ฆฌํ ๋ ๋ฒํผ ์ค๋ฒํ๋ก๊ฐ ๋ฐ์ํ ์ ์๋ libubox ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ์์ต๋๋ค.
์ถ์ฒ : linux.org.ru