手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

CVE-2020-7982:Opkg易受OpenWrt/LEDE中MITM漏洞影响

[日期:2020-02-05] 来源:Linux公社  作者:醉落红尘 [字体: ]

OpenWrt揭示了一个安全漏洞(CVE-2020-7982)已经修复。黑客可以利用这个漏洞远程触发和获得路由器管理权限。

当然,现在已经公开了该漏洞,并且已经成功修复,因此用户只需下载并升级固件的最新版本即可成功修复该漏洞。

CVE-2020-7982 漏洞细节

OpenWrt的opkg fork的包列表解析逻辑中的一个错误导致包管理器忽略了嵌入在签名存储库索引中的SHA-256校验和,从而有效地绕过了已下载.ipk工件的完整性检查。

由于OpenWrt上的opkg以root用户身份运行,并具有对整个文件系统的写访问权,因此可以通过伪造的.ipk包(带有恶意负载)来注入任意代码。

根据项目团队的官方声明,OpenWrt版本包括18.06.0到18.06.6和19.07.0以及LEDE 17.01.0至17.01.7受影响。

同时,基于OpenWrt固件的LEDE固件版本17.01.0-17.01.7也受到影响,因此使用LEDE固件的用户也需要更新。

此外,较旧的和不受支持的版本,如OpenWrt 15.05和LEDE 17.01都受到该漏洞的影响,并且无法修复。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-02/162235.htm

linux
相关资讯       CVE-2020-7982  Opkg  MITM漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款