Netgear SOHO роутерлеринде колдонулган http серверинде, , бул сизге кодуңузду түпкү укуктар менен аутентификациясыз алыстан аткарууга жана түзмөктү толук башкарууга мүмкүндүк берет. Чабуул үчүн веб-интерфейс иштеп жаткан тармак портуна суроо-талап жөнөтүү жетиштүү. Көйгөй тышкы берилиштерди белгиленген өлчөмдөгү буферге көчүрүүдөн мурун анын өлчөмүн текшерүүнүн жоктугунан келип чыгат. Аялуу Netgear роутерлеринин ар кандай моделдеринде тастыкталган, алардын микропрограммасы типтүү аялуу httpd процессин колдонот.
Стек менен иштөөдө микропрограмма орнотуу сыяктуу коргоо механизмдерин колдонгон эмес , стабилдуу иш даярдоого жетишти , ал 8888 портунда тамыр мүмкүнчүлүгү бар тескери кабыкты ишке киргизет. Эксплуатация Netgear микропрограммасынын табылган 758 сүрөтүнө чабуул жасоого ылайыкташтырылган, бирок азырынча 28 түзмөктө кол менен сыналган. Атап айтканда, эксплуатация ар кандай моделдик варианттарда иштей тургандыгы тастыкталды:
- D6300
- DGN2200
- EX6100
- R6250
- R6400
- R7000
- R8300
- R8500
- WGR614
- WGT624
- WN3000RP
- WNDR3300
- WNDR3400
- WNDR4000
- WNDR4500
- WNR834B
- WNR1000
- WNR2000
- WNR3500
- WNR3500L
Кемчиликти оңдоо үчүн жаңыртуулар чыга элек (0 күн), андыктан колдонуучуларга ишенимсиз системалардын суроо-талаптары үчүн түзмөктүн HTTP портуна кирүү мүмкүнчүлүгүн бөгөттөө сунушталат. Netgear 8-январда алсыздык жөнүндө кабарланган, бирок 120 күндүк ачыкка чыгаруунун макулдашылган мөөнөтүнө чейин маселени чечүү үчүн микропрограмма жаңыртууларын чыгарган эмес жана эмбарго мөөнөтүн узартууну суранган. Изилдөөчүлөр акыркы мөөнөттү 15-июнга жылдырууга макул болушкан, бирок майдын аягында Netgear өкүлдөрү дагы бир жолу мөөнөттү июнь айынын аягына жылдырууну суранышкан, бирок ал баш тарткан.
Source: opennet.ru