Awọn ẹya pinpin OpenWrt ti tu silẹ 18.06.7 и 19.07.1, ninu eyiti a ṣe atunṣe ailagbara CVE-2020-7982 ninu oluṣakoso package opkg, eyiti o le ṣee lo lati ṣe ikọlu MITM kan ati rọpo awọn akoonu ti package ti o ṣe igbasilẹ lati ibi ipamọ. Nitori aṣiṣe kan ninu koodu ijẹrisi sọwedowo, ikọlu le foju kọju si awọn ayẹwo ayẹwo SHA-256 lati inu apo, eyiti o jẹ ki o ṣee ṣe lati fori awọn ọna ṣiṣe lati ṣayẹwo iduroṣinṣin ti awọn orisun ipk ti o ṣe igbasilẹ.
Iṣoro naa ti wa lati Kínní ọdun 2017, lẹhin ti koodu ti ṣafikun lati foju fojufori awọn aye idari ṣaaju iṣayẹwo kan. Nitori aṣiṣe kan nigbati o ba n fo awọn aaye, ijuboluwole si ipo ti o wa ninu laini ko yipada ati pe SHA-256 hexadecimal ti n ṣatunṣe lupu ọkọọkan ti da iṣakoso pada lẹsẹkẹsẹ ati da iwe ayẹwo ti ipari odo pada.
Nitori otitọ pe oluṣakoso package opkg ti ṣe ifilọlẹ bi gbongbo, ikọlu le yipada awọn akoonu inu package IPk lakoko ikọlu MITM kan, ṣe igbasilẹ lati ibi ipamọ lakoko ti olumulo n ṣe pipaṣẹ “opkg install” ati ṣeto koodu rẹ. lati ṣiṣẹ pẹlu gbongbo ẹtọ nipasẹ fifi awọn iwe afọwọkọ olutọju tirẹ kun si package, ti a pe lakoko fifi sori ẹrọ. Lati lo ailagbara naa, ikọlu gbọdọ tun sọ atọka package jẹ (fun apẹẹrẹ, lati downloads.openwrt.org). Iwọn ti package ti a ṣe atunṣe gbọdọ baamu ti atilẹba lati atọka.
Awọn ẹya tuntun tun yọkuro ọkan diẹ sii ailagbara ninu ile-ikawe libubox, eyiti o le ja si ṣiṣan ti o ni ifipamọ nigbati o ba n ṣe ilana alakomeji ti a ṣe ọna kika pataki tabi data JSON ni iṣẹ blobmsg_format_json.
orisun: linux.org.ru