Er zijn corrigerende releases van de OpenWrt-distributie gepubliceerd
Het probleem doet zich sinds februari 2017 voor
Omdat de opkg-pakketbeheerder in OpenWrt wordt gestart met rootrechten, kan een aanvaller in het geval van een MITM-aanval stilletjes wijzigingen aanbrengen in het ipk-pakket dat is gedownload uit de repository terwijl de gebruiker de opdracht “opkg install” uitvoert, en de uitvoering van zijn code met rootrechten door uw eigen handlerscripts toe te voegen aan het pakket, aangeroepen tijdens de installatie. Om het beveiligingslek te misbruiken, moet de aanvaller ook zorgen voor de vervanging van een correcte en ondertekende pakketindex (bijvoorbeeld afkomstig van downloads.openwrt.org). De grootte van het gewijzigde pakket moet overeenkomen met de originele grootte die in de index is gedefinieerd.
In een situatie waarin u het moet doen zonder de volledige firmware bij te werken, kunt u alleen de opkg-pakketbeheerder bijwerken door de volgende opdrachten uit te voeren:
cd / tmp
opkg-update
opkg download opkg
zcat ./opkg-lists/openwrt_base | grep -A10 "Pakket: opkg" | grep SHA256som
sha256sum ./opkg_2020-01-25-c09fe209-1_*.ipk
Vergelijk vervolgens de weergegeven controlesommen en voer het volgende uit als ze overeenkomen:
opkg install ./opkg_2020-01-25-c09fe209-1_*.ipk
Nieuwe versies elimineren er ook nog één
$ubus bel luci getFeatures\
'{ "banik": 00192200197600198000198100200400.1922 }'
Naast het elimineren van kwetsbaarheden en het corrigeren van geaccumuleerde fouten, heeft de OpenWrt 19.07.1-release ook de versie van de Linux-kernel bijgewerkt (van 4.14.162 naar 4.14.167), prestatieproblemen opgelost bij het gebruik van 5GHz-frequenties en verbeterde ondersteuning voor Ubiquiti Rocket M Titanium, Netgear WN2500RP v1-apparaten,
Zyxel NSA325, Netgear WNR3500 V2, Archer C6 v2, Ubiquiti EdgeRouter-X, Archer C20 v4, Archer C50 v4 Archer MR200, TL-WA801ND v5, HiWiFi HC5962, Xiaomi Mi Router 3 Pro en Netgear R6350.
Bron: opennet.ru