Názory k článku
Kritická chyba v OpenWRT postihuje milióny zařízení

Pokud OpenWRT neprovadi automaticky upgrade balicku (coz by u embedded linuxu na flashce bylo trochu desivy), tak to neni az tak hrozna zprava...

Tímto způsobem byste mohl dojít i k paradoxnímu závěru: neaktualizujte opravu této chyby, protože při aktualizaci se vystavujete nejvíc tomuto typu úkolu.

Chyba je samozřejmě závažná. Ten, kdo má přístup k síti před účastnickými přípojkami se ji může pokusit exploitovat, i když musí trpělivě vyčkat až na chvíli, kdy bude uživatel aktualizovat.

Tímto způsobem byste mohl dojít i k paradoxnímu závěru: neaktualizujte opravu této chyby, protože při aktualizaci se vystavujete nejvíc tomuto typu úkolu.

to je zas vytahnute z tveho teoretickeho klobouku ze? ;-) v zpravicce doporucovane reseni je povyseni verze systemu a to se NEdela pres opkg, ale stazenim na pc (pres https a overis si kontrolni soucet ze sedi) a reflash celeho systemu pres webove (nebo ssh) rozhrani v ramci lokalni site...

A co na to TurrisOS s jejich automatickymi aktualizacemi? :)

Pouziva https a updater, cili se ho chyba vicemene netyka.

Když už je někdo schopen do textových metadat přidat mezery, tak snad může přepsat rovnou celý hash, ne?

Bohužel ne, OpenWRT jede po plaintext HTTP a je celkem triviální podvrhnout jak package list (v něm jsou ty hashe), tak samotné balíčky. Stačí třeba unést DNS provoz (taky cleartext).

Nemají podepsané balíčky jako např. Arch, smyslem těch hashů je jen odhalení přenosové chyby.

dobra pripominka, aspon sem tedy prepnul pro opkg install a update na https:

1. doinstalovat balicky: libustream-openssl ca-bundle ca-certificates
2. zmenit z http na https v /etc/opkg/dis­tfeeds.conf

aby i s ${zpravicka} fixlou kvuli http nedoslo k MiM, tak balicky stahnout lokalne na pc, pres scp prenest do routeru a nainstalovat je ze souboru (akorat ca-bundle mi nejak nesel a snazil se tahat z repositare, takze ten sem doinstaloval az pak po prepnuti opkg na https z repozitare)

Pro zneužití chyby není potřeba, aby byl někdo „schopen do textových metadat přidat mezery“.

No jako chyba to je, ale není to tak strašný. Samozřejmě dobře, že to vím!

Na to aby nekdo tu chybu zneuzil, tak musi mit moznost podvrhnout repositar. Index balicku muze byt podepsanej a ten podpis se kontroluje se pri opkg update. Pokud nekdo neoveruje podpisy indexu a stahuje balicky po http a jsem mu schopnej podvrhnout checksum, tak uz neni nic jednoduzsiho nez podvrhnout celej balicek a aktualizovat checksum a nepotrebuju zranitelnost.

Podle toho dissectu ne, hash z podepsaného repozitáře se vůbec nenačte a při stahování balíčků to pak řekne že hash nemá a nainstaluje ho bez kontroly.