发布日期:2024-12-11 19:36 点击次数:85
IT之家 12 月 11 日音讯,OpenWrt 于 12 月 6 日发布安全公告,请问称 attended.sysupgrade 行状存在严重短处(CVE-2024-54143)欧美色图,曲折者可诈欺该短处欺凌固件镜像,向用户推送坏心固件。
安全盘问员 RyotaK 在家庭履行室路由器升级经由中,发现了 OpenWrt 更新行状中的短处,CVSS 评分高达 9.3,编号为 CVE-2024-54143。
该短处主要存在于 OpenWrt 的按需镜像行状器 ASU(Attended Sysupgrade)中,该行状守旧用户根据自己需求定制固件。
公告称该短处无需身份考据即可诈欺,影响限度闲居,触及使用在线固件升级、firmware-selector.openwrt.org 或 attended.sysupgrade CLI 升级的 OpenWrt 拓荒。
曲折者不错诈欺该短处绕过完竣性搜检,悄无声气地修改固件,或在固件构建经由中注入坏心大喊,最终箝制用户拓荒。
IT之家征引公告骨子,该短处的产生,源于两个主要问题:
Imagebuilder 中的大喊注入: 曲折者可在构建镜像时,通过提交包含坏心大喊的软件包列表,将淘气大喊注入构建经由,将导致生成的固件镜像即使使用正当密钥签名,也能植入坏心代码。
SHA-256 哈希碰撞截断: attended.sysupgrade 行状的肯求哈希机制将 SHA-256 哈希值截断为仅 12 个字符。这种截断大幅裁汰了哈希的安全性,让曲折者有时减轻制造哈希碰撞。曲折者事先构建坏心镜像,然后诈欺哈希碰撞,将坏心镜像替换掉正当的镜像,欺凌 artifact(软件成品)缓存,最终将坏心固件推送给用户。
OpenWrt 团队示意,现在莫得左证标明 downloads.openwrt.org 提供的镜像受到影响,但由于可见性箝制,提议用户装置更生成的镜像,替换可能存在风险的固件。
亚洲在线OpenWrt 官方已发布补丁建设了该短处,浓烈提议用户尽快更新系统,以保险拓荒安全。
告白声明:文内含有的对外跳转通顺(包括不限于超通顺、二维码、口令等体式),用于传递更多信息,省俭甄选时间欧美色图,效用仅供参考,IT之家扫数著述均包含本声明。