Ошибка выполнения кода в OpenWRT создала угрозу для миллионов устройств

[EjikVTumane]

Пользователям OpenWRT нужно установить либо версию 18.06.7, либо 19.07.1

Разводить панику на новости двухмесячной давности? И рекомендовать установить 19.07.1, при том что еще 6 марта вышел новый багфикс релиз 19.07.2.
Хотя бы минимально стоит проверять то, что пишете.

[Zolg]

Замучали уже, честно.
Уязвимость удаленного выполнения кода в OpenWRT !!!!!111 Миллионы устройств опасносте !!11одинодин

По факту вся уязвимость — косячная проверка подписи пакета, что, конечно, неприятно, но массовой угрозы никак не представляет: эксплуатировать ее можно только имея возможность mitm на канале связи и только в момент установки/обновления пакетов дополнений. Если вы не устанавливали дополнительные пакеты (думаю, что половина пользователей) — вы в безопасности. Если устанавливали и вас в тот момент не взломали — вы в безопасности (пока не будете ставить).

[Ahen]

Да половина пакетов и не ставится, говорит кернел не подходит. В итоге приходится мучительно (на ноутбуке под виртуалкой то ещё удовольствие) собирать под себя новую версию сразу с пакетами.

[dartraiden]

Так нужно накатить актуальную версию, тогда и пакеты поставятся.

Если вы используете ежедневные нестабильные сборки, то там да, пакеты от сегодняшнего дня уже вполне могут быть несовместимы со вчерашним ядром, совместимость гарантируется в пределах одного билда.

[Ahen]

Не, OpenWrt 19.07.2 — не ставятся низкоуровневые (или как их правильнее назвать) пакеты. Появилась у меня свободная юсб флешка, решил зашарить ее через роутер на домашнюю сеть, так ни одна файловая система не ставится. BanIP тоже ставиться не хочет.
Различные адблоки и прочие штуки ставятся и работают исправно.

Ну мне в любом случае приходится собирать прошивку под свой роутер, ибо на мой микротик нужно накатывать патч, иначе гигабитные (а других и нет) порты не заводятся от слова совсем. Но повторять сборку я не хочу, нервы дороже.

[DaemonGloom]

Подскажите, что за Микротик у вас? Вроде, все патчи нужные давно уже в апстриме есть.

[Ahen]

rb951g-2hnd патча изкаропки под него нет я так понял из-за того что существует ревизия где эта проблема есть и где её нет. А может ещё из-за чего.

[DaemonGloom]

Действительно. Что интересно, аналогичный патч от RB2011 успешно влит в апстрим пару лет назад.
Причем ещё и патч работает на любой ревизии без проблем. Попробуйте пнуть мейнтейнеров или заслать им реквест, жить без постоянной пересборки пакетов станет проще.

[Ahen]

Не я один такой с этим роутером, не хотят они.

[V1tol]

Для меня уязвимость не актуальна, я обычно ставлю OpenWRT на старые железки, у которых элементарно не хватает встроенной памяти пакеты поставить.

[dartraiden]

Отсутствие шифрования HTTPS является одной из причин уязвимости, так как оно бы исключало саму возможность для злоумышленников вмешиваться в процесс передачи данных.

Никто не мешает это исправить самостоятельно. Достаточно поставить полноценный (а не тот, что предоставляется busybox) wget, ca-certificates и libustream-mbedls/libustream-openssl, после чего отредактировать адреса репозиториев, заменив http на https.