OpenWrt设备中 attended.sysupgrade服务存在严重漏洞
12月6日,OpenWrt宣布了一份保险布告,表现其attended.sysupgrade效劳存在重大的破绽(CVE-2024-54143)。研讨员RyotaK在家庭试验室路由器进级进程中发明了这一破绽,并赐与了9.3的CVSS评分。该破绽影响范畴普遍,包含应用在线固件进级、firmware-selector.openwrt.org或attended.sysupgrade CLI进级的装备。据懂得,这个破绽的发生源于两个重要成绩:Imagebuilder中的下令注入跟attended.sysupgrade效劳的恳求哈希机制。在Imagebuilder中,攻打者能够在构建镜像时提交包括歹意下令的软件包列表,从而将恣意下令注入构建进程,招致天生的固件镜像即便应用正当密钥署名也能植入歹意代码。而在attended.sysupgrade效劳中,其恳求哈希机制将SHA-256哈希值截断为仅12个字符,这使得攻打者可能轻松制作哈希碰撞。依据官方申明,现在不证据标明downloads.openwrt.org供给的镜像遭到影响,但因为可见性限度,在倡议用户装置重生成的镜像以调换可能存在危险的固件之前,请务必将全部操纵记载在案。同时,请尽快更新体系以保证装备保险。值得留神的是,在OpenWrt团队宣布的补丁中修复了这个破绽,并激烈倡议用户尽快停止体系更新。
申明:新浪网独家稿件,未经受权制止转载。 -->
- 上一篇:前十月全球汽车销量Top10国家:中国第一 断层式
- 下一篇:没有了