Варақаҳои ислоҳкунандаи тақсимоти OpenWrt нашр шуданд и , ки дар он бартараф карда мешавад (CVE-2020-7982) дар мудири баста , ки ба шумо имкон медиҳад, ки ҳамлаи MITM анҷом диҳед ва мундариҷаи бастаи аз анбори зеркашидашударо иваз кунед. Аз сабаби хатогӣ дар рамзи тасдиқи маблағи санҷиш, ҳамлакунанда метавонад шароит фароҳам оварад, ки дар он маблағҳои назоратии SHA-256, ки дар индекси бастаи ба таври рақамӣ имзошуда мавҷудбуда нодида гирифта мешаванд, ки ин имкон медиҳад, ки механизмҳои тафтиши якпорчагии захираҳои зеркашидашудаи ipk-ро канор гузорад.
Мушкилот аз моҳи феврали соли 2017, пас аз он пайдо мешавад код барои нодида гирифтани фосилаҳои пешбари пеш аз маблағи санҷиш. Аз сабаби хатогӣ ҳангоми гузариш аз фосилаҳо, нишондиҳанда ба мавқеъ дар сатр кӯчонида нашуд ва ҳалқаи рамзкушоии пайдарпаии шонздаҳӣ SHA-256 фавран назоратро баргардонд ва маблағи назоратии дарозии сифрро баргардонд.
Азбаски менеҷери бастаи opkg дар OpenWrt бо ҳуқуқи реша оғоз мешавад, дар сурати ҳамлаи MITM, ҳамлакунанда метавонад оромона ба бастаи ipk аз анбори зеркашидашуда ҳангоми иҷрои фармони "opkg install" тағирот ворид кунад ва иҷрои рамзи худ бо ҳуқуқи реша тавассути илова кардани скриптҳои коркарди худ ба баста, ки ҳангоми насб даъват карда мешавад. Барои истифода аз осебпазирӣ, ҳамлакунанда бояд инчунин иваз кардани индекси бастаи дуруст ва имзошударо ташкил кунад (масалан, аз downloads.openwrt.org дода шудааст). Андозаи бастаи тағирёфта бояд ба андозаи аслии дар индекс муайяншуда мувофиқат кунад.
Дар вазъияте, ки шумо бояд бе навсозии тамоми нармафзор кор кунед, шумо метавонед танҳо мудири бастаи opkg бо иҷро кардани фармонҳои зерин навсозӣ кунед:
cd / tmp
навсозии opkg
opkg зеркашӣ opkg
zcat ./opkg-lists/openwrt_base | grep -A10 "Баста: opkg" | grep SHA256sum
sha256sum ./opkg_2020-01-25-c09fe209-1_*.ipk
Баъдан, маблағи санҷиши нишондодашударо муқоиса кунед ва агар мувофиқат кунанд, иҷро кунед:
opkg install ./opkg_2020-01-25-c09fe209-1_*.ipk
Версияҳои нав низ як нафари дигарро нест мекунанд дар китобхона , ки ҳангоми коркард дар функсия метавонад боиси пур шудани буфер гардад маълумоти силсилавии дуӣ ё JSON махсус формат карда шудааст. Китобхона дар ҷузъҳои тақсимот ба монанди netifd, procd, ubus, rpcd ва uhttpd, инчунин дар баста истифода мешавад. (Иштирок дар sysUpgrade CLI). Ҳангоми интиқоли атрибутҳои бузурги ададии навъи "дугона" дар блокҳои blob фаромадани буфер ба амал меояд. Шумо метавонед осебпазирии системаи худро ба осебпазириҳо тавассути иҷро кардани фармон санҷед:
$ubus ба luci getFeatures занг занед\
'{ "баник": 00192200197600198000198100200400.1922 }'
Илова ба рафъи осебпазириҳо ва ислоҳи хатогиҳои ҷамъшуда, версияи OpenWrt 19.07.1 инчунин версияи ядрои Linux-ро навсозӣ кард (аз 4.14.162 то 4.14.167), мушкилоти иҷроиш ҳангоми истифодаи басомадҳои 5 ГГц ва дастгирии беҳтари Ubiquiti Rocket M Titanium, Netgear WN2500RP v1 дастгоҳҳо,
Zyxel NSA325, Netgear WNR3500 V2, Archer C6 v2, Ubiquiti EdgeRouter-X, Archer C20 v4, Archer C50 v4 Archer MR200, TL-WA801ND v5, HiWiFi HC5962, Xiaomi Mi Router 3 Pro ва Netge.
Манбаъ: opennet.ru