Mitundu yogawa ya OpenWrt yatulutsidwa 18.06.7 ΠΈ 19.07.1, momwe amawongolera kusatetezeka CVE-2020-7982 mu opkg package manager, yomwe ingagwiritsidwe ntchito kuchita MITM kuwukira ndi m'malo zomwe zili phukusi lotsitsidwa kuchokera kumalo osungirako. Chifukwa cha cholakwika mu code yotsimikizira cheke, wowukirayo atha kunyalanyaza macheke a SHA-256 pa paketi, zomwe zidapangitsa kuti zilambalale njira zowonera kukhulupirika kwa zida zotsitsidwa za ipk.
Vutoli lidakhalapo kuyambira February 2017, code itawonjezeredwa kuti isanyalanyaze malo otsogola pamaso pa checksum. Chifukwa cha cholakwika polumpha malo, cholozera pamalo pamzere sichinasinthidwe ndipo SHA-256 hexadecimal decoding loop nthawi yomweyo idabweza kuwongolera ndikubweza cheke chautali wa ziro.
Chifukwa chakuti opkg phukusi loyang'anira lidakhazikitsidwa ngati muzu, wowukira amatha kusintha zomwe zili mu phukusi la ipk panthawi yakuukira kwa MITM, kutsitsa kuchokera kumalo osungira pomwe wogwiritsa ntchitoyo akupanga lamulo la "opkg install", ndikukonzekera code yake. kuti aphedwe ndi mizu yaufulu powonjezera zolemba zanu pa phukusi, zomwe zimatchedwa pakuyika. Kuti agwiritse ntchito chiwopsezochi, wowukirayo ayeneranso kuwononga index index (mwachitsanzo, kuchokera ku downloads.openwrt.org). Kukula kwa phukusi losinthidwa liyenera kufanana ndi loyambirira lomwe lili muzolozera.
Mabaibulo atsopano amachotsanso imodzi kusatetezeka mu laibulale ya libubox, zomwe zingayambitse kusefukira kwa buffer mukakonza data ya binary yosinthidwa mwapadera kapena JSON mu ntchito ya blobmsg_format_json.
Source: linux.org.ru