Версияҳои паҳнкунии OpenWrt бароварда шуданд 18.06.7 и 19.07.1, ки дар он ислох карда шудааст осебпазирӣ CVE-2020-7982 дар менеҷери бастаи opkg, ки метавонад барои анҷом додани ҳамлаи MITM ва иваз кардани мундариҷаи бастаи аз анбор боршуда истифода шавад. Аз сабаби хатогӣ дар коди тасдиқи маблағи чек, ҳамлакунанда метавонад маблағи санҷиши SHA-256-ро аз баста сарфи назар кунад, ки ин имкон дод, ки механизмҳои тафтиши якпорчагии захираҳои зеркашидашудаи ipk-ро канор гузорад.
Мушкилот аз моҳи феврали соли 2017, пас аз он ки код барои нодида гирифтани фосилаҳои пешбари пеш аз маблағи санҷиш илова карда шуд, вуҷуд дорад. Аз сабаби хатогӣ ҳангоми гузариш аз фосилаҳо, нишондиҳанда ба мавқеъ дар сатр кӯчонида нашуд ва ҳалқаи рамзкушоии пайдарпаии шонздаҳӣ SHA-256 фавран назоратро баргардонд ва маблағи назоратии дарозии сифрро баргардонд.
Аз сабаби он, ки мудири бастаи opkg ҳамчун реша оғоз шудааст, ҳамлакунанда метавонад мундариҷаи бастаи ipk-ро ҳангоми ҳамлаи MITM, ки аз анбор ҳангоми иҷро кардани фармони "opkg install" корбар зеркашӣ карда шудааст, тағир диҳад ва рамзи худро тартиб диҳад. ки бо решаи ҳуқуқҳо тавассути илова кардани скриптҳои коркарди худ ба баста, ки ҳангоми насб даъват карда мешаванд, иҷро карда шавад. Барои истифода аз осебпазирӣ, ҳамлакунанда инчунин бояд индекси бастаро қаллобӣ кунад (масалан, аз downloads.openwrt.org). Андозаи бастаи тағирёфта бояд ба бастаи аслии индекс мувофиқ бошад.
Версияҳои нав низ як нафари дигарро нест мекунанд осебпазирӣ дар китобхонаи libubox, ки метавонад ҳангоми коркарди маълумоти сериалии дуӣ ё JSON-и махсус форматшуда дар функсияи blobmsg_format_json боиси фаромадани буфер гардад.
Манбаъ: linux.org.ru