I tukuna nga putanga tohatoha OpenWrt 18.06.7 и 19.07.1, kei te whakatikatika whakaraeraetanga CVE-2020-7982 i roto i te kaiwhakahaere kete opkg, ka taea te whakamahi ki te kawe i te whakaeke MITM me te whakakapi i nga ihirangi o te kete i tangohia mai i te putunga. Na te hapa i roto i te waehere manatoko taki, ka taea e te kaitukino te wareware i nga haki a SHA-256 mai i te paatete, na reira i taea ai te karo i nga tikanga mo te tirotiro i te pono o nga rauemi ipk kua tangohia.
Kua puta te raruraru mai i te Hui-tanguru 2017, i muri i te taapiri i te waehere ki te kore e aro ki nga waahi arahi i mua i te kaute. Na te hapa i te wa e mokowhiti ana i nga waahi, kaore i nekehia te tohu tohu ki te tuunga o te raina, ka whakahoki tonu te porowhita o te SHA-256 hexadecimal sequence wetewaehere i te mana whakahaere me te whakahoki i te kaute o te kore roa.
Na te mea i whakarewahia te kaiwhakahaere kete opkg hei pakiaka, ka taea e te kaiwhaiwhai te whakarereke i nga ihirangi kei roto i te kete ipk i te wa o te whakaeke MITM, i tangohia mai i te putunga i te wa e whakahaere ana te kaiwhakamahi i te whakahau "opkg install", me te whakarite mo tana waehere. kia mahia me te pakiaka tika ma te taapiri i o ake tuhinga kaihautu ki te kete, ka karangahia i te wa o te whakaurunga. Hei whakamahi i te whakaraeraetanga, me whakapoapoa ano e te kaitukino te taurangi kete (hei tauira, mai i downloads.openwrt.org). Me ōrite te rahi o te mōkihi kua whakarerekētia ki te mea taketake mai i te taupū.
Ko nga putanga hou ka whakakore i tetahi atu whakaraeraetanga i roto i te whare pukapuka libubox, tera pea ka puta te puhake i te wa e tukatuka ana i te whakahōputu-a-rua-rua, i nga raraunga JSON ranei i roto i te mahi blobmsg_format_json.
Source: linux.org.ru