OpenWrt固件升级服务器发现严重安全漏洞,官方已紧急修复,建议大家迅速升级OpenWrt项目团队于12月6日发布安全公告,披露了其固件升级存在严重安全漏洞(CVE-2024-54143)。该漏洞由日本Flatt Security公司安全研究员RyotaK发现并报告。漏洞源于两个关键问题的组合:系统在构建固件时未对用户提供的软件包名称进行适当过滤,导致可能被注入恶意命令;同时,请求哈希机制仅使用SHA-256哈希值的前12个字符,大大降低了安全性,使攻击者可能通过制造哈希碰撞来污染合法固件。这一漏洞可能影响所有使用OpenWrt在线固件升级服务的用户。攻击者无需认证即可利用该漏洞,通过注入命令和制造哈希碰撞,使合法的构建请求收到预先生成的恶意固件以完成入侵。OpenWrt团队在漏洞报告后迅速采取行动,已于12月4日完成修复并部署。检查显示过去七天内未发现被利用痕迹。建议用户及时更新到最新版本以确保系统安全。 |
- 转载请保留原文链接谢谢!
- 本站所有资源文章出自互联网收集整理,本站不参与制作,如果侵犯了您的合法权益,请联系本站我们会及时删除。
- 本站发布资源来源于互联网,可能存在水印或者引流等信息,请用户擦亮眼睛自行鉴别,做一个有主见和判断力的用户。
- 本站资源仅供研究、学习交流之用,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担。
- 联系方式:936787576@qq.com