OpenForum RSS: Раскрыты детали критической уязвимости в устройствах с подде... https://www.opennet.ru/openforum/vsluhforumID3/88578.html Опубликована (http://seclists.org/fulldisclosure/2013/Feb/26) детальная информация (PDF (http://www.defensecode.com/public/DefenseCode_Broadcom_Security_Advisory.pdf)) о сути недавно анонсированной критической уязвимости в беспроводных маршрутизаторах Cisco Linksys, которая позволяет локальной сети получить доступ к устройству под пользователем root без проведения аутентификации. Уязвимость вызвана ошибкой в UPnP (http://ru.wikipedia.org/wiki/UPnP)-стеке Broadcom и позволяет через специальный SOAP-запрос эксплуатировать ошибку форматирования строки и осуществить запись в произвольную область памяти и организовать выполнение своего кода с root-правами. <br><br>После более подробного изучения уязвимости было выявлено, что кроме Linksys проблеме подвержены и другие продукты с UPnP-сетком Broadcom, например, мини-маршрутизаторы и точки доступа Asus, TP-Link, Zyxel, D-Link, Netgear и US Robotics. По предварительной оценке в сети находится около 70 млн беспроводных маршрутизаторов, из которых примерно 15 млн подверже Раскрыты детали критической уязвимости в устройствах с подде... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#68 Sun, 21 Dec 2014 18:15:35 GMT Должны быть введены огромные санкции компании, выпустившей брак.<br> Раскрыты детали критической уязвимости в устройствах с подде... (Ivan_83) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#67 Thu, 25 Jul 2013 20:25:10 GMT UPnP это не только проброс портов, но и очень много всего связанного с мультимедиа.<br><br>Всё делалось чтобы plug and play был и для всех устройств подключенных к сети.<br>И это работает.<br>В венде и андройде всё очень не плохо с этим, они сразу могут показывать и рулить всякими телеками и пр подключёнными к сети.<br>В этом и был интерес МС и кучи производителей бытовой техники.<br><br>UPnP не содержит механизмов авторизации, потому что предназначен для дома либо для не критичных сервисов.<br>Ещё там есть проблемы с совместимостью фишек между разными реализациями, но основной функционал работает.<br><br>Не вижу причин дома его отключать.<br>Если паранойя настолько сильна то лучше его использовать для слежки за подозрительными приложениями которые его же и используют.<br><br>Функционально он состоит из двух блоков:<br>1. SSDP анонсера, который на мультикаст адрес кидает анонсы о том какой сервис есть и где URL для работы с ним.<br>2. HTTP + SOAP (xml based) веб сервис который обрабатывает запросы.<br><br>Моя реализация SSDP демона на сях и о Раскрыты детали критической уязвимости в устройствах с подде... (ваноним) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#66 Mon, 18 Feb 2013 05:00:17 GMT т.е. по теме ответить нечего? слив засчитан )<br> Раскрыты детали критической уязвимости в устройствах с подде... (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#65 Thu, 14 Feb 2013 23:16:45 GMT &gt; IPv6 uses TCP???77 o_O <br>&gt; вы где такие вещества достаете?<br><br>Кончились аргументы? Нечем крыть? Хочется оставить за собой последнее слово?<br>Доебись до опечатки собеседника, сделать больше ты ничего не сможешь (с)<br> Раскрыты детали критической уязвимости в устройствах с подде... (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#64 Thu, 14 Feb 2013 23:10:42 GMT &gt; А чего ещё умеешь? Давай рассказывай, не стесняйся.<br><br>В жопу свисток вставить, и "Полёт шмеля" исполнить! <br><br> Раскрыты детали критической уязвимости в устройствах с подде... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#63 Thu, 14 Feb 2013 12:20:51 GMT Микротик рулит, в банке ведем замену разводной на бабки циски<br>на микротики. Все довольны. Банк крупный- федерального уровня.<br> Раскрыты детали критической уязвимости в устройствах с подде... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#62 Mon, 11 Feb 2013 21:15:06 GMT А чего ещё умеешь? Давай рассказывай, не стесняйся. <br> Раскрыты детали критической уязвимости в устройствах с подде... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#61 Mon, 11 Feb 2013 21:10:09 GMT Pavlinux не обычный пользователь. Pavlinux пользователь альтернативно одарённый. Ты уж извини, но мы, обычные пользователи, ходили и будем ходить куда считаем нужным. <br>Теперь по делу. Плохо то, что пользователи не могут настроить свои домашние роутеры и вынуждены пользоваться для этого кривыми программами, работающими только в одной кривой оси. Что с этим делать? Ничего. Ждать когда школьники начнут ломать такие роутеры, открывать халявный wi-fi и обрезать канал своей жертве. Глядишь люди и перестанут покупать такие устройства. <br> Раскрыты детали критической уязвимости в устройствах с подде... (pavlinux) https://www.opennet.ru/openforum/vsluhforumID3/88578.html#60 Mon, 11 Feb 2013 13:37:48 GMT &gt;&gt; А чё все оставляют UPnP вкюченным? После покупки девайса первое, <br>&gt;&gt; что надо делать - выключать этот троян от Микрософт.<br>&gt; тебя самого надо было выключить сразу после рождения, чтобы не нес всякую <br>&gt; малограмотную чушь. есть же еще недоумки, считающие, что если они чем-то <br>&gt; не умеют пользоваться, то и всем остальным не надо!<br><br>Пользуйся сыночег, пользуйся, потом не спрашивай, "Папко, а чё я в КВД делаю?"<br>