Noocyada qaybinta OpenWrt waa la sii daayay 18.06.7 ΠΈ 19.07.1, kaas oo lagu saxo nuglaanta CVE-2020-7982 ee maareeyaha xirmada opkg, kaas oo loo isticmaali karo in lagu fuliyo weerarka MITM laguna beddelo waxa ku jira xirmo laga soo dejiyay kaydka. Cilad ku timid koodhka xaqiijinta jeegga, weeraryahanku waxa uu iska indhatiri karaa jeegaga SHA-256 ee xidhmada, taas oo suurtogal ka dhigtay in la dhaafo hababka lagu hubinayo daacadnimada ilaha la soo dejiyay ee ipk.
Dhibaatadu waxay jirtay ilaa Febraayo 2017, ka dib markii kood lagu daray in la iska indho tiro meelaha hogaaminta ka hor hubinta. Cilad ku timid marka boosaska laga boodo, tilmaanta booska laynka lama beddelin oo SHA-256 wareegtada isku xigxiga ee hexadecimal ayaa isla markiiba soo celisay xakamaynta oo soo celisay jeeg dhererka eber ah.
Sababtoo ah xaqiiqda ah in maareeyaha xirmada opkg loo bilaabay xidid ahaan, weeraryahanku wuxuu bedeli karaa waxyaabaha ku jira xirmada ipk inta lagu guda jiro weerarka MITM, laga soo dejiyo bakhaarka inta isticmaaluhu uu fulinayo "opkg install" amarka, oo uu habeeyo koodkiisa in lagu fuliyo xididka xuquuqaha adoo ku daraya qoraalada maamulahaaga xirmada, oo la yiraahdo inta lagu jiro rakibidda. Si looga faa'iidaysto nuglaanta, weeraryahanku waa inuu sidoo kale walaaqdaa tusmada xirmada (tusaale, downloads.openwrt.org). Baaxadda xirmada wax laga beddelay waa in ay u dhigmaan tan asalka ah ee tusmada.
Noocyo cusub ayaa sidoo kale meesha ka saaraya mid kale nuglaanta gudaha maktabadda libubox-ka, taas oo u horseedi karta bakhaar buuxdhaaf ah marka la farsameynayo xogta binary si gaar ah loo qaabeeyey ama xogta JSON ee shaqada blobmsg_format_json.
Source: linux.org.ru