The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt"  +/
Сообщение от opennews (??), 08-Дек-24, 17:13 
В развиваемом проектом OpenWrt инструментарии ASU (Attended SysUpgrade)  выявлены критические уязвимости (CVE-2024-54143), позволяющие скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и добиться установки модифицированных злоумышленником образов прошивок на системы...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62371

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –1 +/
Сообщение от Аноним (1), 08-Дек-24, 17:13 
кто нибудь посоветуйте m2 wifi 5,6,7 что бы из коробки сразу работал на opewrt... а то две карты купил а они не подошли(
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (-), 08-Дек-24, 17:54 
Под какое железо искал то? Это ж не программная проблема. А вообще тут писали статью о Banana Pi OpenWRT ONE, можно статьи поискать: https://docs.banana-pi.org/en/OpenWRT-One/BananaPi_OpenWRT-One
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (-), 08-Дек-24, 20:42 
Впрочем оговорюсь - возможно что проблема то и программная, если вы удостоверились что ваш тип M2 поддерживается. Тогда вам нужно всего-то установить драйвера, если их нет и все настроить. Но судя по вопросу, я лично подумал что вопрос в аппаратной части.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от 2001db8deadd10056 (?), 08-Дек-24, 18:51 
https://github.com/morrownr/USB-WiFi/blob/main/home/PCIe_WiF...
Смотреть то что Linux In-Kernel Driver & AP Mode
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +1 +/
Сообщение от Аноним (11), 08-Дек-24, 19:16 
У что OpenWRT HCL не ведет?
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

41. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +2 +/
Сообщение от Ivan_83 (ok), 09-Дек-24, 14:15 
m2 бывает USB и PCI, вы заранее уточните что ваш хост умеет.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

42. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (42), 09-Дек-24, 17:52 
Я себе брал AsiaRF AW7916-NPD (mini PCI) к x86 мини компьютеру, но у них были опции на m2.
Меня ждало разочарование т.к. частота 6ghz не работает.

Видел много тем на форумах banana pi со сборкой 6e роутеров на базе адаптеров AsiaRF.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

45. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от старый процессор (?), 10-Дек-24, 19:27 
Wifi7 нет поддержки в owrt совсем никакой. Даже если карта поддерживает и есть драйвер 7 не заработает.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –6 +/
Сообщение от Krtek (?), 08-Дек-24, 18:02 
Почитал гайды по сборке и установке этого нечто и пришёл к выводу, что проще взять нормальную железку и поставить туда alpine.
Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –2 +/
Сообщение от Аноним (7), 08-Дек-24, 18:06 
Надо dd-wrt
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –1 +/
Сообщение от Аноним (25), 08-Дек-24, 21:25 
Удачи тебе взгромоздить alpine на циску или джунипер, если уж мы про нормальное сетевое железо говорим, а не про очередной нескучный китайский хлам на rk3568 или что там сейчас модно?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

29. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Олег (??), 09-Дек-24, 00:49 
А на какие реально железки циски openwrt можно?
3064pq, asr1001?

https://openwrt.org/toh/hwdata/cisco/start
https://openwrt.org/toh/start
Список настолько скуден, что даже смешно
Нет бы занять нижу EOL железок, отбоя бы не было

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от InuYasha (??), 10-Дек-24, 11:06 
Ксо-жалению у большинства цисок железо настолько in-house и проприетарное, что стороннему разработчику просто нереально в адекватные сроки что-либо реверсировать.
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +1 +/
Сообщение от Аноним (28), 08-Дек-24, 23:16 
Смысл сабжа только для китайцев которые на его основе клепают готовые вэбморды. В профессиональном сегменте никто не будет использоваться openwrt (мы не говорим про локалxoсты и каптёрки в конторе рога & копыта), на худой конец возьмут микротик.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

30. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –4 +/
Сообщение от Олег (??), 09-Дек-24, 00:51 
Ну не скажите
есть кучу железок за дофига деняк, которые eol и с уязвимостями
А микротики не живут под нагрузкой, от слова совсем, даже официальные цифры на топах у них это слезы, а их на полтора делить нужно
Нареканий с BGP тоже хватает
ну и незабывайте что Mikrotik это недружественные люди пишут и лицензируют
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним Анонимович Анонимов (?), 09-Дек-24, 06:54 
Мне досталось несколько checkpoint u-5, у которых уже не было лицензии и обновлений. Благо там х86 железо «под капотом». Накатил debian и железки зажили новой жизнью. Из плюсов - появилась возможность использовать гигабитный порт для аплинка, на стоковой ос gaia такой возможности не было. Безусловно ковыряние в терминале после удобной GUI больно, но терпимо.
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –2 +/
Сообщение от Маняним (?), 09-Дек-24, 08:43 
> есть кучу железок за дофига деняк, которые eol и с уязвимостями

Видно сразу, что вы никогда не работали в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПО.

> это недружественные люди пишут и лицензируют

А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

37. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от myster (ok), 09-Дек-24, 11:02 
> в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПО

Где вы были? Как думаете, сколько Cisco устройств уже давно без поддержки в крупных российских компаниях сегодня? Они есть точно.

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –5 +/
Сообщение от slew (ok), 09-Дек-24, 11:04 
>А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми.

"Нормальные страны и люди" уже показали себя как грязь. Лучше с КНДР-вот надежные и благородные люди.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

36. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от myster (ok), 09-Дек-24, 10:55 
Если ты берешь нормальную железку, можно любой Linux катить. Alpine для экономии ресурсов железки ставят, но ты же сам сказал, что нормальную берешь.
А тот же OpenWrt, говорят, в LXC неплохо работает. Но если железка тянет VM-ки, можно рассмотреть Opensense.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

8. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от rm3 (?), 08-Дек-24, 18:49 
> пользователям ASU рекомендуется на своих устройствах заменить прошивки OpenWrt на ту же версию.

Вот это забавно звучит. Дописали бы: если вдруг заменятель прошивки у вас не забэкдорен и на самом деле что-то там заменяет, или копирует бэкдоры после прошивки в новую тоже.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (12), 08-Дек-24, 19:19 
>Уязвимость вызвана отсутствием должной проверки спецсимволов в именах пакетов перед их использованием в числе аргументов утилиты make

Уж сколько раз твердили миру: make, как и любые скрипты через командную строку - это рак. Любая интеграция сборочных систем должна делаться переводом пакетов на нормальную сборочную систему, после чего вызова её через API. Если апстрим дебил - то да, придётся поддерживать свой патч. К счастью патчи апстрима наложение патча не попортят.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (13), 08-Дек-24, 19:28 
Все так, но переделать OpenWRT не представляется возможным. Там не просто autotools и make, там kconfig/kbuild для настройки и сборки всей ОС, не только ядра...
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –4 +/
Сообщение от Аноним (12), 08-Дек-24, 19:43 
Всё очень даже возможно. Более того, нужно и в ядре линкс переделать. Вчера пытался собрать ядерный модуль с помощью связки ядерных мейкфайлов, ckati и ninja - нихрена хорошего не вышло. Вообще за использование make и присущих ему грязных хаков и говнокода гнать из профессии надо взашей. Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей. Это у меня несколько дней упорной работы заняло, где каждую строчку приходилось растаскивать по пяти присваиваниям, и каждое верифицировать на эквивалентность поведения. А для конструкций без эквивалента приходилось глубоко вникать и придумывать эквиваленты. Теперь это говно придётся рефакторить. К сожалению злые люди - владельцы lmarena решили прикрыть богадельню, и повесили вредоносное ПО reCAPTCHA (в коде также есть следы вредоносного ПО hCAPTCHA, но она пока не энфорсится, но рекатча тоже некоторое время не энфорсилась, и принимала ответы вроде "recaptcha_is_malware_stop_that" вместо оригинальных аттестаций от рекапчи, что пользователь - хорошая годная скотина). Лучше бы полностью прикрыли, чем так, поэтому злые люди. а не потому что богадельню решили прикрыть. Там вообще не богадельня, они дейтасеты для цензуры ИИ собирают, и хотя на сайте висит "резервируем право опубликовать всё написанное в паблике под свободной лицензией", это не знатит, что они на стороне добра, это даже не обещание и не гарантия опубликовать (то есть ничто не мешает им это всё в проприетарный дейтасет запишнуть, который они продавать будут, или на котором свою компанию будут строить). Мне одного не понятно, откуда деньги, Зин! При их популярности расходы на оплату API-запросов для васянов должны миллионами исчисляться (на каждую из компаний).
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от InuYasha (??), 10-Дек-24, 11:11 
Мне кажется, у вас скорее раздражение от того что плохие люди в Makefile пихают нечто страшное. Потму что у меня, например, опыт взаимодействия с ними довольно позитивный.

> Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей.

Это какой-то кринж реально - питон в мейкфайле, да ещё и с нейросетями. Зачем??

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (16), 08-Дек-24, 20:12 
Частично согласен, однако openwrt в данном случае - исключение.
Тут система сборки частично само-писная, как правильно понял, но при этом ОЧЕНЬ лёгкая в плане использования и модификации.
Надо всё-таки учитывать, что здесь крайне специфичный случай для разных систем сборок. И далеко не факт, что их конфиги будут понятны для чтения и модификации. Например, с трудом себе представляю использование cmake для этого проекта (конкретно репозиторий openwrt/openwrt).
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

32. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (32), 09-Дек-24, 08:33 
> нормальную сборочную систему

Вы же идеальный человек, зачем Вам нормальную сборочную систему?
Вам надо идеальную сборочную систему ;)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

48. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Котофалк (?), 27-Дек-24, 14:05 
Ну конечно командная строка - рак. Си - дыряшка. И тут хоп!...

> Уязвимость в библиотеке util.py, вызванная тем, что хэши SHA-256, используемые для проверки наличия в кэше уже готовых образов прошивок, обрезались до 12 символов

И ни Си, ни командной строки. А оно вот как...

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

17. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 20:16 
Это, типа, каждый васян может заказать с доставкой на дом уникальный, неповторимый, индивидуальный имидж, с перламутровыми пуговицами?
Не хочу показаться душным меркантильным кю, но за чей счёт банкет?
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +3 +/
Сообщение от Аноним (28), 08-Дек-24, 20:21 
Сижу на dlink dir 320 nru и менять не собираюсь. Роутер за nat провайдера, а максимальная скорость по тарифу итак 25 мегабит. Просто нет смысла.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –1 +/
Сообщение от Аноним (25), 08-Дек-24, 20:37 
А у меня симметричный гигабит по оптике без провайдерского ната, с публичными v4 и v6, и провайдерская железка v6 никак не фильтрует вообще по умолчанию, и паролей настроить что-то отличное от названия и пароля вайфай не дают. Пришлось на ибее циску покупать вместо того недоразумения чтобы хоть как-то с этим бардаком совладать. А потом ещё оказалось, что провайдерская чепуха максимум 850 мегабит может прокачать... Проапгрейдил интернет, спасибо.
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (-), 08-Дек-24, 20:48 
У меня тоже оптоволокно, Gpon, но скорость 30Мбит, потому что провайдер один на село и цены у него кусаются.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от Аноним (25), 08-Дек-24, 21:17 
Я тоже в селе на двадцать три дома живу. Правда провайдеров больше одного, есть из чего выбрать.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от myster (ok), 09-Дек-24, 11:07 
> Роутер за nat провайдера

За NAT или нет, роутер и так наружу не светит WebUI обычно.
А нормальные провайдеры предоставляют белые IPv4 и IPv6, хотя бы динамические, если такого нет, лучше искать нормального провайдера.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

21. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  –4 +/
Сообщение от Аноним (-), 08-Дек-24, 20:47 
Если не секрет, сколько километров до ближайшего населенного пункта со скоростью 100Мб или выше?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +1 +/
Сообщение от Аноним (28), 08-Дек-24, 21:46 
Мой провайдер и гигабитные скорости предоставляет. Просто у меня самый дешевый тариф, т.к. не вижу смысла в таких скоростях, я ничего не качаю особо, фильмы и игры не интересуют. А для работы этого за глаза. Для быстрой загрузки сайтов гораздо важнее пинг, а не гигабиты. Всё равно просмотр большинства сайтов осложняется медленными каналами за пределами сети провайдера и тупняком всяких клаудфларей.
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости, позволяющие подменить образы и выполнить код на ..."  +/
Сообщение от хех (?), 10-Дек-24, 19:33 
У меня вся Европа(все основные столицы от Португалии до Турции доступны со скоростью 2.5Gbps, Москва на большей части спидтеста выдает 1.2-1.5Gbps. 40 евро в месяц.
Роутер intel n100 4x i225 на openwrt.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру