LINUX.ORG.RU

OpenWrt 19.07.1

 


0

2

Выпущены версии дистрибутива OpenWrt 18.06.7 и 19.07.1, в которых исправлена уязвимость CVE-2020-7982 в менеджере пакетов opkg, с помощью которой можно было осуществить MITM-атаку и заменить содержимое загружаемого из репозитория пакета. Из-за ошибки в коде проверки контрольных сумм, атакующий мог проигнорировать контрольные суммы SHA-256 из пакета, что позволяло обойти механизмы проверки целостности загружаемых ipk-ресурсов.

Проблема существует с февраля 2017 года, после того, как был добавлен код для игнорирования начальных пробелов, идущих перед контрольной суммой. Из-за ошибки при пропуске пробелов не сдвигался указатель на позицию в строке и цикл декодирования шестнадцатеричной последовательности SHA-256 сразу возвращал управление и отдавал контрольную сумму нулевой длины.

Из-за того, что менеджер пакетов opkg запускался из-под root, злоумышленник мог изменить содержимое в ipk-пакете во время организации MITM-атаки, загружаемый из репозитория в процессе выполнения пользователем команды «opkg install», и организовать выполнение своего кода с правами root через добавления в пакет собственных скриптов-обработчиков, вызываемых при установке. Для использования уязвимости атакующий также должен подменить индекс пакетов (например, отдаваемого с downloads.openwrt.org). Размер изменённого пакета должен соответствовать изначальному, из индекса.

В новых версиях также устранена ещё одна уязвимость в библиотеке libubox, которая может привести к переполнению буфера при обработке в функции blobmsg_format_json специально оформленных сериализированных бинарных данных или данных в формате JSON.

>>> Подробности



Проверено: shell-script ()

… и отдавал контрольную сумму нулевой длины.

после чего эта контрольная сумма (нулевой длины) должна сравниться с оригинальной и сказать что УВЫ - ошибка.

mx__ ★★★★★ ()
Последнее исправление: mx__ (всего исправлений: 2)
Ответ на: комментарий от eternal_sorrow

а разве у него нет x86 версии? посмотрел, не, там даже изображения никакого нет. а в alpine есть :) тока там тоже вроде нет веснота

а вообще, чёб не поиграть - монитор воткнул с мышом, и сидишь, играешь, ляпота

buratino ★★★★★ ()

Есть коммутатор с Juniper OS к нему подключаются через консольный порт и утилиту Putty. Можно ли полностью весь коммутатор перепрошить под OpenWRT. На сайте OpenWRT видел список поддерживаемых устройств, но там об Джуниперах ни слова.

anonymous ()

меня только один вопрос интересует: сустемдэ и флатпаки когда уже вкорячат? что за ретроградство эти лудиты там развели?

anonymous ()
Ответ на: комментарий от slimsim

ну я посмотрел. не подойдёт для ботнета. зависит на glibc, т.е. на реальные массовые сохо-роутеры это не поставить, к сожалению. автор - какая-то джиэс макака с репозиториями для ноды. не, это работать не будет.

беги обновляйся. полный рефлеш делай, мало ли что тебе уже наставили. сейчас зайдёт обновление opkg через mitm, ага.

anonymous ()

Юзал сие поделие на «роутере» от Туполинка - WR703N. С USB который, мелкий. Очень даже ничего так, в базовых задачах.

Вот у меня сейчас в системе умного дома, есть модуль на Малине, задача которого - определять текущую нагрузку (через i2cget) и при превышении ее - отключать конвекторы или бойлер через GET-запрос через curl. Целый debian для такого дела избыточен, а вот openwrt на железе вроде VoCore - самое ТО.

Ну а как роутер - ddwrt лучше, не в первую очередь благодаря человеко-понятному интерфейсу с внятной иерархией меню и понятными настройками. LuCi или че там нынче в OpenWRT - писец какое дубовое.

windows10 ()
Ответ на: комментарий от anonymous

Есть коммутатор с Juniper OS к нему подключаются через консольный порт и утилиту Putty. Можно ли полностью весь коммутатор перепрошить под OpenWRT. На сайте OpenWRT видел список поддерживаемых устройств, но там об Джуниперах ни слова.

Отвечу вопросом на вопрос. Можно ли перепрошить дурака в умного? Я лично - не знаю. Но как только найду такую прошивку, пренепременно вышлю.

DrRulez ()

Заметил многие в каментах любят гнать на OpenWrt. Вот только ничего лучше все-равно нет. Либо сидите на прошивке от дяди Сэма/дяди Сяо, либо OpenWrt, либо его мертворожденные аналоги с поддержкой 1.5 маршрутизатора.

anonymous ()
Ответ на: комментарий от windows10

Ну а как роутер - ddwrt лучше, не в первую очередь благодаря человеко-понятному интерфейсу с внятной иерархией меню и понятными настройками. LuCi или че там нынче в OpenWRT - писец какое дубовое.

Мозг виндузятника не осилил нормальный интерфейс? Это печально…

anonymous ()
Ответ на: комментарий от anonymous

если устроства нет в списке поддерживаемых устроств то это значит что надо пилить поддержку железа и компилить самостоятельно. а там как повезет.

pfg ★★★ ()

Хех... В принципе, уже давно как вместо opkg пересобираю прошивку, если что-то поставить надо.
Ну и своя репа.

И LuCI не нужно. Там /etc/config хороший.

Shadow ★★★★★ ()
Ответ на: комментарий от Shadow

И LuCI не нужно. Там /etc/config хороший.

Как это не нужен? Я новичок, для меня самое то. А конфиг править, это надо на форумы лезть, ничего непонятно. Да и таково наворотишь, что потом только хуже сделаешь…

anonymous ()
Ответ на: комментарий от anonymous

либо сидите на прошивке от дяди васи который проверку подписей сломал ещё в 2017 и заметил это только в 2020. опенврт умерло, теперь васяны выстрадывают своё леде как могут. чексумму не забудь проверить.

anonymous ()
Ответ на: комментарий от anonymous

либо сидите на прошивке от дяди васи

Бывает на свете много гитик. Вот я перепутал буковки и купил не тот TP-Link, он оказался не в списке поддерживаемых. Оказалось, что есть Вася, с форума OpenWRT, который таки запилил поддержку там wi-fi, особенно для 5ГГц. Ну я взял от него ядро, выкинул всю эту OpenWRT с его json-требухой и запилил собственный дистр. А то что я его не обновляю, так меня полностью устраивает. Пока remote-exploits для этого ядра вроде не было с тем, что оно содержит.

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 2)
Ответ на: комментарий от anonymous

меня только один вопрос интересует: сустемдэ и флатпаки когда уже вкорячат?

а зачем? какую задачу ты хочешь решать с помощью systemd? если нет цели, нет и смысла

anonymous ()
Ответ на: комментарий от vodz

Вот меня иногда некоторые вещи поражают. Из области экономии на спичках. Я в принципе могу понять тебя, когда ты решил сэкономить и сделать под себя на основе другой прошивки. Это - нормально. Но вот понять того Васю я не могу. Он купил копеечный роутер, потратил кучу своего времени, чтоб сваять ну такое себе. Не дешевле-ли в итоге было купить нормальный роутер? Ведь тот Вася - явно не бомж, раз располагает знаниями достаточными для того, чтоб запилить такую прошивку. Но вот копаться в тплинковском го-не в свое личное время… Фу-фу-фу. Что до самой Openwrt, как оно было где-то там - на краю галактики среди ископаемых, так и осталось. И до ddwrt там как до луны одним местом.

DrRulez ()
Ответ на: комментарий от DrRulez

Вот меня иногда некоторые вещи поражают.

Есть такое понятие, как интерес, фан и так далее. Он понял, как сделать и сделал. Объяснять долго, там не с нуля он реверсил, а тоже базировался на похожий чип и документацию, которую он то ли нашел, то ли ещё как выгрыз. А меня OpenWRT с json бесит так, что кушать не могу. А делать дистры с нуля я умею. Так что же не сделать для себя любимого? Забили вам мозги этой либерастической чепухой, что всё мереется деньгами. Нет такого в этом подлуном мире. Потому тах хреново и живём, что всё деньгами мерием, потому и проигрываем во всём. Хоть в том же космосе.

vodz ★★★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

Вот не надо лозунгов про идею - окей? Идеей я семью не прокормлю. И могу быть уверен практически, что «дистрибутив с нуля» вы или делали под заказ или чтоб проверить собственные силы, для набора опыта, чтоб использовать его в дальнейшем. Иначе это все бессмысленно. Я сам делал подобные сборки (дистрибутивами я это не стал бы называть) сначала в качестве эксперимента, потом под конкретные проекты. А про фан и все такое - это вон - для 16-ти летних припасите. Может быть там - проникнутся. Уже давно практически ни один открытый проект не делается на голом энтузиазме. Он либо сдыхает от недостатка финансирования (семья и автор банально хотят жрать), либо спонсируется сторонними компаниями. А еще есть вариант с платной поддержкой. Но это уже средний и крупный бизнес.

DrRulez ()
Последнее исправление: DrRulez (всего исправлений: 1)
Ответ на: комментарий от DrRulez

Вот не надо лозунгов про идею - окей?

Чтобы вас начали финансировать, вы должны вначале выстрадать идею, показать что-то похожее, что будет работать и прочее привлекательность. А вообще, вы начали совсем какой-то оффтопик и учить жить. На такое проще грубо послать и вы нарываетесь.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

а тебя не напрягает сорк обнаружения уязвимости? как ты думаешь, это единственная вещь которую дядя вася сломал своими ручонками и через сколько лет обнаружатся другие поломки? и вообще, не пора ли эту всю так называемую прошивку переписать на русте или даже на тайпскрипте, а веб-интерфейс на электроне?

anonymous ()
Ответ на: комментарий от anonymous

а тебя не напрягает сорк обнаружения уязвимости?

Это ещё надо доказать, что в OpenWRT её быстрее поправят, а потом все её любители обновятся. Оно же не насильно обновляется, насколько я понимаю.

как ты думаешь, это единственная вещь которую дядя вася сломал своими ручонками

Сам патч и прилагаемую утилиту я просмотрел. Там всё хорошо. Чем этот Вася отличается от других патчеров ядра? Тем что он не в Changelog-е? Я так думаю, что он не может туда попасть по причине не совсем лицензионно -честным способом, что он заставил этот чип работать. И вообще, тут самый тот случай, когда «сперва добейся» натурально к вам подходит, просто идеально. Ибо помоями поливать все мастаки, а как сделать руками — так от каких-то Сэмов только ждете.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

ну вообще в openwrt оно всегда работало, в леде это сломали и никто из 3.5 васянов пользующихся леде этого не заметил. потом говнецо из леде зачем-то подложили вместо исходников опенврт и сделали довольное лицо, типа вот теперь-то норм.

это «сперва добейся»? ну окей, но по-моему кукушка где-то не в своём домике.

anonymous ()
Ответ на: комментарий от anonymous

ну вообще в openwrt оно всегда работало, в леде это сломали и никто из 3.5 васянов пользующихся леде этого не заметил.

Я ничего не понял, но на всякий случай напоминаю, что речь я веду о том, что оно никогда вообще на этом чипе официально не работало.

vodz ★★★★★ ()

Хороший дистрибутив.

Я в 2017 (или 2018) году, летом, после жутких гроз, с полтора десятка роутеров перепрошил абонентам за денежку. У всех порты повышибало. И я доволен и абоненты тоже. У самого дома такой, с паленым wan’ом. Работает. Правда пришлось немного их поднастраивать для того, чтобы мультикаст iptv через них проходило без проблем.

gard ()
Последнее исправление: gard (всего исправлений: 1)
Ответ на: комментарий от vodz

Ну так иди и страдай. За идею. «Жить я учу», ога. Я эти идейные лозунги слышал уже не раз в своей жизни. И за всеми этими «идейными» всегда колыхалось какое-то дерьмо. Так что нарываюсь тут сооовсем не я.

DrRulez ()
Ответ на: комментарий от anonymous

Мозг виндузятника не осилил нормальный интерфейс? Это печально…

Это нормально. Если есть два продукта, один удобнее, другой нет - выбираешь удобнее. Так работает мозг Виндузятника. А что, другие мозги сознательно усложняют себе жизнь ?)

windows10 ()
Ответ на: комментарий от windows10

Ну а как роутер - ddwrt лучше, не в первую очередь благодаря человеко-понятному интерфейсу с внятной иерархией меню и понятными настройками. LuCi или че там нынче в OpenWRT - писец какое дубовое.

Имел несчастье ставить и настраивать DD-WRT буквально вчера. Какое же оно ужасное. Конечно, когда первый раз переходил на OpenWrt лет 6-7 назад, то OpenWrt мне показался менее user-friendly, но блин, в итоге пришёл к выводу что он намного более логично организован, его проще собрать или перепаковать, проще настроить из консоли (привет, uci, пока, ручное ковыряние в nvram), да даже такая простая операция как смена wan-порта делается в OpenWrt в разы проще. Я уже молчу про то где легче настроить фаервол или где гибче настройки DHCP на веб-морде.

xenith ()
Ответ на: комментарий от Shadow

В продолжение к моему сообщению выше:

И LuCI не нужно. Там /etc/config хороший.

Хотел добавить то же самое. Всё меняется либо через uci, либо (что зачастую удобнее) в /etc/config. Ещё одна киллер-фича для меня – можно раз настроить всё как надо, сохранить /etc, затем добавить эти файлы в Image Builder и собрать image, где всё будет сразу настроено (на случай если придётся делать factory reset), где установлены все нужные пакеты и удалены ненужные.

Хех… В принципе, уже давно как вместо opkg пересобираю прошивку, если что-то поставить надо.

Если флэша не вагон, то это зачастую единственный способ доустановить пакет. Сжатие SquashFS очень существенно. Помню как ставил какой-то пакет на старый TL-WR741ND 2011 года. Без пакета было свободно около 60% места, при установке через opkg оставалось около 10-15% свободного места, а при сборке образа – около 45%.

xenith ()