V DD-WRT kritická zraniteľnosť umožňujúca získať kontrolu

DSL.sk, 27.7.2009

V populárnom firmvéri pre domáce internetové routre DD-WRT sa nachádza vážna zraniteľnosť, informácie o ktorej boli zverejnené minulý týždeň.

Zraniteľnosť sa nachádza vo webovom serveri httpd používanom na manažment routera cez web a umožňuje spustenie ľubovoľného príkazu pod právami root užívateľa a tým získanie plnej kontroly nad routerom.

Z Internetu je zraniteľnosť možné priamo zneužiť len v prípade, že užívateľ má povolený manažment zvonka. Nepriamo je možné zraniteľnosť ale zneužiť pomocou CSFR aj pri návšteve podvrhnutých webových stránok užívateľom z internej LAN siete routera s uhádnuteľnou internou IP adresou routera.

V súčasnosti je už k dispozícii nová verzia firmvéru, build 12533, ktorá opravuje chybu.

Užívatelia, ktorí si nenainštalujú aktualizáciu, môžu zneužitiu chyby zabrániť pridaním firewall pravidiel, ktoré odfiltrujú zraniteľné URL. Pravidlá sú uvedené v upozornení autorov DD-WRT.

Blokovanie firewallom na základe URL ale samozrejme nefunguje v prípade, že užívateľ má zapnutú podporu prístupu k manažment stránkam cez zabezpečené HTTPS stránky. V takomto prípade je jediným definitívnym riešením len inštalácia novej verzie firmvéru alebo vypnutie prístupu cez HTTPS.


Najnovšie články:



Diskusia:

je to zle Od: roflmao | Pridané: 27.7.2009 9:07 kur*a , je vobec nejaky software ktory neobsahuje kriticku chybu ?? Odpovedať Známka: 4.3 Hodnotiť:

Re: je to zle Od: slashss | Pridané: 27.7.2009 9:10 no skus si napisat software a skontrolovat ci neobsahuje ziadnu kriticku chybu. taketo veci vacsinou preveri len cas. Odpovedať Známka: 8.8 Hodnotiť:

Re: je to zle Od: Ja. | Pridané: 27.7.2009 9:12 Neexistuje. Stačí, že napíšeš hello world a už tam môžeš mať niekoľko kritických chýb. Odpovedať Známka: -3.0 Hodnotiť:

Re: je to zle Od reg.: cinko | Pridané: 27.7.2009 9:41 hmm pokial viem tak mikrotik routeros nemal ziadnu vaznejsiu chybu. imho je to to najlepsie co sa tika routingu co si clovek moze kupit ( myslim tym za rozumne peniaze samozrejme ). fakt si ROS nemozem vynachvalit ;) Odpovedať Hodnotiť:

Re: je to zle Od: Slavius | Pridané: 27.7.2009 11:30 Az na tie (len) XORovane hesla v backupoch. Ak ma niekto mikrotik zalohy anonymne pristupne cez HTTP alebo FTP tak by som na jeho mieste pokoje nespaval... Odpovedať Hodnotiť:

Re: je to zle Od reg.: cinko | Pridané: 27.7.2009 11:36 kto ma preboha zalohny na anonymnom ftp/http? :) to by som fakt pokojne nespaval :))) este aj upgrade fw uploadujem cez scp aj ked je to relativne zbytocne ;) Odpovedať Hodnotiť:

Re: je to zle Od: foobar_ | Pridané: 27.7.2009 10:02 Nie ze by si bol stastny, ze tie chyby rychlo opravuju, ty miesto toho nadavat, ze tie chyby tam su. Bol by si radsej, keby ti chyby vyrobcovia zatajovali a pracoval by si s deravym OS, deravym prehliadacom, deravym mailovym klientom...? Odpovedať Známka: -2.0 Hodnotiť:

Re: je to zle Od: Fronty | Pridané: 27.7.2009 10:56 Skoda ze i boh nerobi aktualizacie lebo niektore jeho vyrobky su dost derave... Odpovedať Známka: 8.6 Hodnotiť:

Re: je to zle Od: :)))) | Pridané: 27.7.2009 11:51 no mas pravdu, zeny maju 3 velke driery, ktore este niesu zaplatane Odpovedať Známka: 7.6 Hodnotiť:

Re: je to zle Od reg.: sevo82 | Pridané: 27.7.2009 14:18 chvala panu boh za ne;) Odpovedať Známka: 10.0 Hodnotiť:

Re: je to zle Od: ---- | Pridané: 27.7.2009 13:00 qmail Odpovedať Hodnotiť:

Re: je to zle Od reg.: cinko | Pridané: 27.7.2009 13:02 pracoval som s niekolkymi MTA a qmail je beznadejne najhorsi (aspon z mojich skusenosti) ale suhlasim ze je bug free ;) Odpovedať Hodnotiť:

Re: je to zle Od: ...................... | Pridané: 27.7.2009 13:05 No napr. autor qmailu ponuka uz nejakych 10 - 12 rokov odmenu za nejdenie chyby a zatial nic. Druhy fakt je ten, ze qmail je skutocne len mail server :)... Odpovedať Hodnotiť:

Re: je to zle Od: ................. | Pridané: 27.7.2009 13:06 no, som to necital dokonca, teraz pozeram, ze qmail tu uz je :)... Odpovedať Hodnotiť:

firmvér Od: nekomimi_ga_suki_da | Pridané: 27.7.2009 9:16 Celkom nerozumiem; tento firmvér sa nachádza len v niektorých značkách routerov alebo vo všetkých? Odpovedať Hodnotiť:

Re: firmvér Od: vsevedko | Pridané: 27.7.2009 9:19 tento firmver sa nachadza v tych zariadeniach, ktore su podporovane (podmienka) a smozrejme musi byt ten firmver aj nainstalovany (nutna podmineka ;D). je mozne ho nahrat prakticky do vsetkych linuxovych smerovacov ci uz s wifi, alebo bez ;) Odpovedať Hodnotiť:

Re: firmvér Od: nekomimi_ga_suki_da | Pridané: 27.7.2009 9:22 Ako/kde to zistím? Zo stránky, na ktorú je v tomto článku uvedený odkaz, som sa niekam preklikal, no nie som z toho veľmi múdry. Odpovedať Hodnotiť:

Re: firmvér Od: vsevedko | Pridané: 27.7.2009 9:52 podporovane zariadenia: http://tinyurl.com/ddwrt-devices a nejaky obkec k ficuram a verziam: http://tinyurl.com/ddwrt-about Odpovedať Hodnotiť:

Re: firmvér Od: nekomimi_ga_suki_da | Pridané: 27.7.2009 9:58 No, môj tam nevidím. Takže som asi v pohode. Odpovedať Hodnotiť:

Re: firmvér Od: anonym1234566 | Pridané: 27.7.2009 10:59 poviem ti to inac. Tam je zoznam podporovanych zariadeni. Tie od vyrobcu nie vzdy su adekvatne pre pouzivatelov zariadeni a preto casto prepaluju firmware routrikov na DD-WRT. Pokial mas DD-WRT nahodene tak cez web rozhranie jednoducho idetifikujes dany firmware svojim logom. Odpovedať Hodnotiť:

Re: firmvér Od: nekomimi_ga_suki_da | Pridané: 27.7.2009 11:26 "Pokial mas DD-WRT nahodene tak cez web rozhranie jednoducho idetifikujes dany firmware svojim logom" - tomu celkom nerozumiem. Ako to urobím? Odpovedať Hodnotiť:

Re: firmvér Od reg.: cinko | Pridané: 27.7.2009 11:30 aby sme to asi uplne zjednodusili - zjavne si ten router ktory mas, nekonfiguroval sam alebo si konfiguroval len zakladne veci (ip adresy, dhcp a tak) ale urcite si tam neinstaloval alternativny firmware ;) Odpovedať Hodnotiť:

Re: firmvér Od: nekomimi_ga_suki_da | Pridané: 27.7.2009 11:48 Je to presne ako píšete. Len som to konfiguroval (technik z T-Comu mi diktoval aký protokol, masku a ešte neviem čo mám zadať), firmware som neprepaľoval (inak značka routera je SMC). Len my reakcia od anonyma1234566 zneistila. Vďaka Vám za pomoc. Odpovedať Hodnotiť:

Re: firmvér Od reg.: cinko | Pridané: 27.7.2009 9:55 takto aby to bolo presne - DDwrt nieje defaultne sucastou ziadneho routra ale do podporovanych zariadeni si ho mozes nainstalovat sam. takze pokial si si neinstaloval tento alternativny firmware do podporovaneho zariadenia tak sa ta tato chyba netika... Odpovedať Známka: 10.0 Hodnotiť:

Pošli kvety Od: prihlásený užívateľ. | Pridané: 27.7.2009 9:22 akože fakt sila. čo deň to nová správa o nejakej novej ultra kritickej chybe... fakt potešujúce Odpovedať Hodnotiť:

uffff Od reg.: Kveri | Pridané: 27.7.2009 9:24 pred 3 dnami som si poskladal domaci server/router na gentoo, dovtedy som mal router s dd-wrt :D uff Odpovedať Hodnotiť:

kolutiT Od reg.: loler | Pridané: 27.7.2009 9:41 Nastastie moj MSI shit sa nikomu hackovat nechce :) Odpovedať Známka: 10.0 Hodnotiť:

firmware stiahnuty Od: miro j. | Pridané: 27.7.2009 9:49 a pripraveny na intalaciu :) snad to pobezi bez problemov... Odpovedať Hodnotiť:

Bezte do prdele s titulkom ktory musi mat viac ako 5 znakov Od reg.: den__ | Pridané: 27.7.2009 10:32 Cesko Slovenska Federativna Republika Odpovedať Známka: 6.0 Hodnotiť:

dd-wrt Od: dx@ | Pridané: 27.7.2009 10:38 Sprava je pomerne neaaktualna uz minuly tyzden bol vonku signal ze DD-WRt obsahuje chybu potom 2 dni povedali ze j to v httpd a 2 dni dalsie dali min dve riesenia ako to opravit prvy bol ze remote admin vypnut a dalsi bol iptables solution o cca tyzden od oznamenia chyby je vonku FW ktory tento problem riesi cize pohoda kedze naflasovat FW je 2min praca a config je v samostavnom mtd nieje problem to upgradnut. Odpovedať Hodnotiť:

Ondro222 Od: Ondro222 | Pridané: 26.1.2010 17:26 Dobrý večer, neviem kam sa mám obráti, ale chce upozorniť správcov stránky dsl, že sa tam používajú hrubé osočovania a urážky na cti. Odpovedať Hodnotiť:

Pridať komentár