【TechWeb】12月10日音问,近日,开源路由系统OpenWrt被采集安全经营东谈主员揭露存在一个严重的安全舛讹,该舛讹被分拨了CVE-2024-54143编号,并取得了9.3/10的高风险评级(CVSS4.0)。
经营东谈主员RyotaK在为自家路由器进行惯例升级时发现了这个舛讹,它触及到高歌注入和哈希截断的问题。OpenWrt的Attended Sysupgrade做事允许用户定制固件映像,但该做事的做事器代码中存在不安全的make高歌使用,导致了输入机制的缺点,使得挫折者不错通过软件包称呼实施任性高歌。
此外,该做事使用的SHA-256哈希仅限于12个字符的缓存,异常于48位哈希,这使得暴力破解成为可能。挫折者不错讹诈Hashcat器具在RTX 4090显卡上修改固件,向用户提供坏心版块。
OpenWrt名目组在接到通报后速即行径,仅在数小时内就完成了舛讹耕作,并关闭了升级做事器以驻扎进一步的安全威迫。耕作责任于2024年12月4日完成,并归附了升级做事器的开动。
尽管OpenWrt团队暗示,现在莫得把柄标明有东谈主讹诈了该舛讹,且映像被顽固的可能性极低,但用户仍被提议下载重生成的映像以替换可能存在风险的旧映像。此外,关于使用第三方开拓者提供的编译版块的用户,需要关怀第三方开拓者的更新动态,以便实时获取耕作后的固件。
OpenWrt团队强调,尽管日记记载仅限于以前7天,但为了安全起见,用户应当实施马高涨级替换,以摒除潜在的安全风险。
声明:新浪网独家稿件,未经授权阻截转载。 -->