OpenWrt விநியோக பதிப்புகள் வெளியிடப்பட்டன 18.06.7 и 19.07.1, அதில் அது சரி செய்யப்பட்டது பாதிப்பு opkg தொகுப்பு மேலாளரில் CVE-2020-7982, இது MITM தாக்குதலை மேற்கொள்ளவும், களஞ்சியத்தில் இருந்து பதிவிறக்கம் செய்யப்பட்ட தொகுப்பின் உள்ளடக்கங்களை மாற்றவும் பயன்படும். செக்சம் சரிபார்ப்புக் குறியீட்டில் உள்ள பிழையின் காரணமாக, தாக்குபவர், பாக்கெட்டில் இருந்து SHA-256 செக்சம்களை புறக்கணிக்க முடியும், இது பதிவிறக்கம் செய்யப்பட்ட ipk ஆதாரங்களின் ஒருமைப்பாட்டைச் சரிபார்க்கும் வழிமுறைகளைத் தவிர்ப்பதை சாத்தியமாக்கியது.
செக்சம் முன் முன்னணி இடங்களைப் புறக்கணிக்க குறியீடு சேர்க்கப்பட்ட பிறகு, பிப்ரவரி 2017 முதல் சிக்கல் உள்ளது. இடைவெளிகளைத் தவிர்க்கும் போது ஏற்பட்ட பிழையின் காரணமாக, வரியில் உள்ள நிலைக்கு சுட்டிக்காட்டி மாற்றப்படவில்லை மற்றும் SHA-256 ஹெக்ஸாடெசிமல் சீக்வென்ஸ் டிகோடிங் லூப் உடனடியாக கட்டுப்பாட்டை திருப்பி, பூஜ்ஜிய நீளத்தின் செக்சம் திரும்பியது.
opkg தொகுப்பு மேலாளர் ரூட்டாகத் தொடங்கப்பட்டதன் காரணமாக, தாக்குபவர் MITM தாக்குதலின் போது ipk தொகுப்பில் உள்ள உள்ளடக்கங்களை மாற்றலாம், பயனர் “opkg install” கட்டளையை இயக்கும் போது களஞ்சியத்திலிருந்து பதிவிறக்கம் செய்து, அவரது குறியீட்டை ஏற்பாடு செய்யலாம். நிறுவலின் போது அழைக்கப்படும் தொகுப்பில் உங்கள் சொந்த ஹேண்ட்லர் ஸ்கிரிப்ட்களைச் சேர்ப்பதன் மூலம் உரிமைகள் ரூட்டுடன் செயல்படுத்தப்பட வேண்டும். பாதிப்பைப் பயன்படுத்த, தாக்குபவர் தொகுப்பு குறியீட்டையும் ஏமாற்ற வேண்டும் (எடுத்துக்காட்டாக, downloads.openwrt.org இலிருந்து). மாற்றியமைக்கப்பட்ட தொகுப்பின் அளவு, குறியீட்டிலிருந்து அசல் ஒன்றோடு பொருந்த வேண்டும்.
புதிய பதிப்புகள் மேலும் ஒன்றை நீக்குகின்றன பாதிப்பு libubox நூலகத்தில், இது blobmsg_format_json செயல்பாட்டில் சிறப்பாக வடிவமைக்கப்பட்ட வரிசைப்படுத்தப்பட்ட பைனரி அல்லது JSON தரவைச் செயலாக்கும்போது இடையக வழிதல் ஏற்படலாம்.
ஆதாரம்: linux.org.ru