د OpenWrt توزیع نسخه خپره شوه 18.06.7 и 19.07.1په کوم کې چې دا سمه شوې ده زیانمنتیا CVE-2020-7982 په opkg بسته مدیر کې، کوم چې د MITM برید ترسره کولو لپاره کارول کیدی شي او د ذخیره کولو څخه ډاونلوډ شوي کڅوړې مینځپانګې ځای په ځای کړي. د چیکسم تصدیق کولو کوډ کې د غلطۍ له امله ، برید کونکی کولی شي له پاکټ څخه SHA-256 چیکسمونه له پامه غورځوي ، کوم چې د ډاونلوډ شوي ipk سرچینو بشپړتیا چک کولو لپاره میکانیزمونو ته مخه کول ممکن کړي.
ستونزه د فبروري 2017 راهیسې شتون لري ، وروسته له دې چې کوډ اضافه شو ترڅو د چیکسم دمخه مخکښ ځایونه له پامه غورځول شي. د یوې تېروتنې له امله کله چې د ځایونو پریښودل، په لیکه کې موقعیت ته اشاره نه وه لیږدول شوې او د SHA-256 هیکساډیسیمل ترتیب کوډ کولو لوپ سمدلاسه کنټرول بیرته راستانه کړ او د صفر اوږدوالی چیک سم بیرته راستانه شو.
د دې حقیقت له امله چې د opkg بسته بندۍ مدیر د روټ په توګه پیل شوی و، برید کوونکی کولی شي د MITM برید په جریان کې د ipk کڅوړه کې مینځپانګې بدل کړي، د ذخیره کولو څخه ډاونلوډ شوي پداسې حال کې چې کاروونکي د "opkg install" کمانډ اجرا کوي، او د هغه کوډ ترتیبوي. په بسته کې ستاسو د لاسي سکریپټونو په اضافه کولو سره د حق روټ سره اجرا شي، چې د نصب کولو پرمهال ویل کیږي. د زیانمننې څخه د ګټې اخیستنې لپاره، برید کوونکی باید د بسته بندي شاخص هم سپک کړي (د بیلګې په توګه، د downloads.openwrt.org څخه). د تعدیل شوي کڅوړې اندازه باید د شاخص څخه اصلي سره سمون ولري.
نوې نسخې هم یو بل له منځه وړي زیانمنتیا په libubox کتابتون کې، کوم چې کولی شي د بفر اوور فلو لامل شي کله چې په blobmsg_format_json فنکشن کې په ځانګړي ډول فارمیټ شوي سریال شوي بائنری یا JSON ډیټا پروسس کوي.
سرچینه: linux.org.ru