URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 119662
[ Назад ]
Исходное сообщение
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено opennews , 01-Фев-20 09:34 
Опубликованы корректирующие выпуски дистрибутива OpenWrt  18.06.7 и  19.07.1, в которых устранена  опасная уязвимость (CVE-2020-7982) в пакетном менеджере opkg, позволяющая осуществить MITM-атаку и подменить содержимое загружаемого из репозитория пакета. Из-за ошибки в коде проверки контрольных сумм, атакующий может создать условия, при которых контрольные суммы SHA-256, присутствующие в заверенном цифровой подписью индексе пакетов, будут игнорированы, что даёт возможность обойти механизмы проверки целостности загружаемых ipk-ресурсов...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52287

Содержание
Сообщения в этом обсуждении
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено cbr666rr , 01-Фев-20 09:34 
Зачем оно, если есть pfSense?
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:39 
Openwrt является альтернативой pfSense но для людей традиционной ориентации.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено cbr666rr , 01-Фев-20 09:44 
Я бы не спешил делать подобные заявления. Лол
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:56 
От БСД и до БДСМ не далеко, как все мы знаем.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:39 
поддерживается больше оборудования
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено cbr666rr , 01-Фев-20 09:49 
Ну, в принципе да, его можно на любой говнороутер воткнуть. Собственно, на этом все плюсы и заканчиваются.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:36 
Напомните где ещё кроме дебиана были подобные проблемы с проверкой пакетов?
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено anonymous , 01-Фев-20 15:53 
>Уязвимость в пакетном менеджере pacman

https://www.opennet.me/opennews/art.shtml?num=50311

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:18 
Можно еще вспомнить как редхат резко рекеил все репы.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:40 
Для нечастых обновлений прошивки можно использовать WGET.
т.е. сначала скачиваем себе весь репозиторий opkg пакетов для конкретного устройства по HTTPS (что важно) куда-нибудь на локальный сервер.
А потом уже спокойно ставим прошивку и пакеты.

У меня так и сделано. Все пакеты для роутера лежат на домашнем сервере, зато не страшна потеря интернета и блокировки.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 15:21 
>сначала скачиваем себе весь репозиторий opkg пакетов для конкретного устройства по HTTPS (что важно) куда-нибудь на локальный сервер. А потом уже спокойно ставим прошивку и пакеты.

После чего через BGP-атаку выпускают свой сертификат для серверов с обновлениями и заражают всех.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:19 
> После чего через BGP-атаку выпускают свой сертификат для серверов с обновлениями и
> заражают всех.

Только сперва в роутеры придется вгрузить свой троян, потому что без этого они черта с два пойдут пакеты устанавливать. У сабжевых роутеров установка пакетов случается в четверг нечетного месяца високосного года, при условии что был дождичек. И ждать этого момента можно и подустать.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено и.о.К.О. , 01-Фев-20 16:25 
А какая разница, скачается фейковый пакет через opkg или твоими руками wget?

или твоя квалификация позволяет провести полный анализ всех пакетов на _уязвимости_?  и время есть?

Хотя иметь локально копии пакетов значительно уменьшает гемморой настройки.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 00:56 
> ставим прошивку и пакеты

Image builder не осилил?

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 09:44 
о, опять си-проблемы с указателями)) никогда такого не было и вот опять!

наверное этот код писали ненастоящие си-программисты, потому что настоящие си-программисты никогда не допускают таких ошибок!

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 11:05 
Можно подумать, в проект на расте чуваки из NSA не пропихнут закладочку
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Тита_М , 01-Фев-20 13:34 
Причём тут раст, лолка? Существуют куча языков где проблемы переполнения буфера как у няшной не существует.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 14:51 
Угу. Нельзя запустить на роутере - невозможно переполнение - нет проблем.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 15:22 
javascript можно запустить не только на рутере, но и на pic.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 15:31 
> интерпретатор javascrip, написанные на С,
> можно запустить не только на рутере, но и на pic.

Можно. И что?

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Lex , 02-Фев-20 00:10 
Можно. Но, на самом деле, нет уже просто потому, что едва ли существуют процы и мк, для которых js будет "родным".

Т.е в конечном счёте, всё это будет работать в интерпретаторе , написанном почти на чём угодно, кроме js..

И кстати, js движки, порой, весьма дырявый даже в гораздо более простых случаях

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 03-Фев-20 01:41 
> где проблемы переполнения буфера как у няшной не существует.

Зато там обычно существует много чего еще интересного. При том порой менее изученного и гораздо более просто эксплуатируемого.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 13:06 
> наверное этот код писали ненастоящие си-программисты, потому что настоящие си-программисты никогда не допускают таких ошибок!

Растированные си-программисты, же!

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 13:31 
настоящим программистам раст не нужен
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 21:16 
Что вы сразу раст приплели? Нет больше других языков?
Думаете на lisp можно настолько накосячить? Или на perl?
Да любой нормальный взять можно было! Хоть раст, хоть perl, хоть lisp, хоть (простите) swift...
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено N , 02-Фев-20 17:03 
> swift

чет я не уверен что его жырный рантайм средненький роутер с 400 МГц mips24k и 64 МБ оперативы потянет.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 03-Фев-20 01:43 
> Думаете на lisp можно настолько накосячить? Или на perl?

Ну, попробуйте на них пакетный менеджер для роутера написать - вот и узнаем. А если вам на систему 8 мегов флеша и 64 мега рамы дать, например? В роутерах больше редко бывает.

> Да любой нормальный взять можно было! Хоть раст, хоть perl, хоть lisp,
> хоть (простите) swift...

Ну так возьми - и покажи мастеркласс?

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:20 
> о, опять си-проблемы с указателями)) никогда такого не было и вот опять!

Первая проблема - вообше логическая, трабла в разборе формата чексум. Такое на вообще любом яп можно сделать.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Nsyp , 01-Фев-20 10:18 
>Проблема проявляется с февраля 2017 года

Всё, что вам нужно знать об этом говнопроекте.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 10:23 
Я думаю мало кто из реальных пользователей пользуется opkg — билдер намного удобней  эффективнеей.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Nsyp , 01-Фев-20 10:27 
Спорное утверждение.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 10:45 
А, ну да, там же линукс-онли. Вендузятникам не привыкать страдать от подобного, всё ок.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 16:33 
Ну как бы это реальность. Остальными неудачниками можно пренебречь — их практически не существует.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено BlackRot , 01-Фев-20 10:24 
Ну да ну да. А то что твой ип-линк не обновлялся уже 5 лет об этом ты умолчал, уж лучше эта фирмварь чем сток
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Nsyp , 01-Фев-20 10:29 
Мой опёнок обновляется регулярно.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 16:05 
Удачи поставить Опёнок на что-либо отличное от x86(_64).
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Nsyp , 01-Фев-20 21:21 
Зачем мне это делать?
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:26 
> Зачем мне это делать?

Например, затем что мелкая 20-баксовая железка с мощной и фичастой вафлей, жрущая 2 ватта в час - это все-же хорошо. Ежели с открытой прошивкой...

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:22 
> Мой опёнок обновляется регулярно.

И как там с секурностью у протокола твоего CVS-а? :)

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 13:11 
В вашем "говнопроекте", ВООБЩЕ, НИКТО, НИКОГДА, НИЧЕГО не найдет! А знаете почему?...
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:22 
> Всё, что вам нужно знать об этом говнопроекте.

Сэр покажет нам замену лучше? Только не говорите плиз "сколхозить из pc" :)

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено anonymous , 01-Фев-20 16:40 
Окончательно доломали мой ASUS RT-AC58U, теперь даже dnsmasq крашится. Меня терзают смутные сомнения насчет OpenWRT вцелом.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено werwer , 01-Фев-20 21:52 
FreshTomato поищите. Может и есть под него.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 20:49 
OpenWrt - отличный проект! Поздравляю всех с новыми выпусками!
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 01-Фев-20 22:47 
Как ни посмотрю, складывается стойкое ощущение, что с каждым релизом количество поддерживаемых роутеров убывает. На новые модели они абсолютно точно забили.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 02-Фев-20 08:27 
> Как ни посмотрю, складывается стойкое ощущение, что с каждым релизом количество поддерживаемых
> роутеров убывает.

А список даунлоадов почему-то наоборот распух.

> На новые модели они абсолютно точно забили.

Ну так возьмите и добавьте поддержку своей железки. Заодно узнаете в чем прикол и почем нынче фунт лиха.

"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 03-Фев-20 14:02 
Да и у многих старых поддержка только наполовину.
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено Аноним , 11-Фев-20 15:09 
Возможно кто-то сталкивался с моей проблемой и сможет помочь в решении. Тестировал на роутерах tp link archer c7 v2 и tp link wdr4300 v1, с прошивками 19.07.0 и 19.07.1, получая интернет по dhcp. Проблема заключается в том, что если я вытаскиваю ethernet кабель из wan порта, то uptime интерфейса не сбрасывается. Если перезагружать интерфейс программно, счетчик uptime обнуляется у интерфейса, как заставить его обнуляться при вытаскивании кабеля?    
"Обновление OpenWrt 19.07.1 с устранением уязвимости, допуска..."
Отправлено это не баг трекер Openwrt , 13-Янв-21 22:09 
Логичнее сходить на опенврт и написать там...