Liphetolelo tsa kabo ea OpenWrt li lokollotsoe 18.06.7 и 19.07.1, eo ho eona ho lokisoang bofokodi CVE-2020-7982 ho mookameli oa sephutheloana sa opkg, se ka sebelisoang ho etsa tlhaselo ea MITM le ho nkela litaba tse ka har'a sephutheloana se jarollotsoeng sebakeng sa polokelo. Ka lebaka la phoso ho khoutu ea netefatso ea checksum, mohlaseli a ka hlokomoloha li-checksums tsa SHA-256 tse tsoang paketeng, e leng se entseng hore ho khonehe ho feta mekhoa ea ho hlahloba botšepehi ba lisebelisoa tsa ipk tse jarollotsoeng.
Bothata bo bile teng ho tloha ka February 2017, ka mor'a hore khoutu e kenngoe ho hlokomoloha libaka tse etellang pele pele ho cheke. Ka lebaka la phoso ha u tlola libaka, sesupo sa boemo bo moleng ha sea ka sa suthisoa 'me SHA-256 hexadecimal decoding loop hang-hang e ile ea khutlisa taolo mme ea khutlisa cheke ea bolelele ba zero.
Ka lebaka la hore mookameli oa sephutheloana sa opkg o ile a qalisoa e le motso, mohlaseli a ka fetola lintho tse ka har'a sephutheloana sa ipk nakong ea tlhaselo ea MITM, a kopitsoa sebakeng sa polokelo ha mosebeletsi a ntse a phethahatsa taelo ea "opkg install", 'me a hlophise khoutu ea hae. e tla phethoa ka motso oa litokelo ka ho kenyelletsa mangolo a hau a ho sebetsana le sephutheloana, se bitsoang nakong ea ho kenya. Ho sebelisa monyetla oa ho ba kotsing, mohlaseli o tlameha ho senya index ea sephutheloana (mohlala, ho tsoa ho downloads.openwrt.org). Boholo ba sephutheloana se fetotsoeng bo tlameha ho ts'oana le sa mantlha ho tsoa ho index.
Liphetolelo tse ncha li boetse li felisa e 'ngoe hape bofokodi ka har'a laebrari ea libubox, e ka lebisang ho buffer ho tlala ha o sebetsana ka mokhoa o ikhethileng oa serialized serialized data kapa data ea JSON mosebetsing oa blobmsg_format_json.
Source: linux.org.ru