Navoaka ny dikan-teny fizarana OpenWrt 18.06.7 и 19.07.1, izay ahitsy Fahamoram-pahavoazana CVE-2020-7982 ao amin'ny mpitantana fonosana opkg, izay azo ampiasaina amin'ny fanafihan'ny MITM sy hanoloana ny votoatin'ny fonosana alaina avy amin'ny tahiry. Noho ny hadisoana ao amin'ny kaody fanamarinana checksum, ny mpanafika dia afaka tsy miraharaha ny SHA-256 checksums avy amin'ny fonosana, izay nahafahany namakivaky ny mekanika hanamarinana ny fahamendrehan'ny loharanon-karena ipk alaina.
Efa nisy ny olana nanomboka tamin'ny Febroary 2017, taorian'ny nampiana ny kaody mba tsy hiraharaha ireo toerana voalohany alohan'ny checksum. Noho ny hadisoana rehefa mitsambikina toerana, dia tsy nafindra ny tondro mankany amin'ny toerana ao amin'ny tsipika ary ny SHA-256 hexadecimal sequence decoding loop dia niverina avy hatrany ny fanaraha-maso ary namerina ny checksum amin'ny halavany aotra.
Noho ny zava-misy fa ny mpitantana ny fonosana opkg dia natomboka ho faka, ny mpanafika dia afaka manova ny atiny ao amin'ny fonosana ipk mandritra ny fanafihana MITM, alaina avy amin'ny tahiry raha toa ka manatanteraka ny baiko "opkg install" ny mpampiasa, ary mandamina ny code-ny. hovonoina miaraka amin'ny root root amin'ny alàlan'ny fampidirana ny sora-tananao manokana amin'ny fonosana, antsoina mandritra ny fametrahana. Mba hanararaotra ny vulnerability, ny mpanafika dia tsy maintsy mamitaka ny tondro fonosana (ohatra, avy amin'ny downloads.openwrt.org). Ny haben'ny fonosana novaina dia tsy maintsy mifanandrify amin'ilay tany am-boalohany avy amin'ny tondro.
Ny dikan-teny vaovao koa dia manafoana iray hafa Fahamoram-pahavoazana ao amin'ny tranomboky libubox, izay mety hitarika amin'ny fikorianan'ny buffer rehefa manodina angon-drakitra binary na JSON voalamina manokana ao amin'ny fiasa blobmsg_format_json.
Source: linux.org.ru