форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от opennews on 22-Июл-09, 20:46
В Linux прошивке для беспроводных маршрутизаторов DD-WRT обнаружена (http://www.securityfocus.com/bid/35742/info) уязвимость, позволяющая получить полный контроль над устройством. Проблема связана с ошибкой в реализации встроенного http-сервера, выполняемого с правами пользователя root. Для выполнения кода достаточно выполнить запрос вида "http://routerIP/cgi-bin/;command_to_execute". По умолчанию http-сервис доступен только для внутренних сетевых интерфейсов маршрутизатора, тем не менее выполнение команд злоумышленника может быть инициировано со стороны пользователя через организацию CSRF (cross-site request forgery) атаки (например, сформировать обращение через тег "img src=http://192.168.0.1/cgi-bin/;CMD" ). Патч с исправлением уязвимости можно загрузить здесь (http://www.dd-wrt.com/dd-wrtv2/down.php?path=downloads%.../). URL: http://www.theregister.co.uk/2009/07/21/critical_ddwrt_route.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=22702
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от mma on 22-Июл-09, 20:46
закрыть доступ чемто вроде htaccess  подефолту да и все.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+3 +/–
	Сообщение от kost BebiX on 22-Июл-09, 21:02
	Еще забыл оторвать руки программисту :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от drioptr (ok) on 22-Июл-09, 21:10
rofl
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+2 +/–
Сообщение от m0xf (ok) on 22-Июл-09, 21:40
Проверил. Запросило пароль для доступа к роутеру. После ввода пароля команда выполнилась. CSRF отлавливается и выводится ошибка "Cross Site Action detected!". Не вижу тут никакой уязвимости.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от sndev on 23-Июл-09, 11:19
	это у вас пароль запросило. У 90% юзверей дай божее вообще понятие есть что там еще какой-то пароль нужен
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от m0xf (ok) on 23-Июл-09, 15:03
	Пустой пароль прошивка не принимает.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+3 +/–
Сообщение от Аноним (??) on 22-Июл-09, 22:17
ААААААААА!!!!!!!!!!! ТОЛЬКО что прошил прошивку DD-WRT на свой роутер!!!!!!!!!!!! а вчера установил на все компы Adobe Reader и сразу зашел на секлаб, а там новость: "Adobe предлагает пользователям установить уязвимую версию Adobe Reader" Такое совпадение ДВА РАЗА подрят ???? Неверю...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от Michael Shigorin (ok) on 23-Июл-09, 12:37
	Ничего, за одного битого двух небитых дают ;-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от User294 (ok) on 23-Июл-09, 22:35
	> Такое совпадение ДВА РАЗА подрят ???? Неверю... Да нет, тут то как раз все правильно и закономерно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от jahh on 22-Июл-09, 22:31
и зачем такой эксплойт в паблике??? ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		–2 +/–
Сообщение от Stepanoff (??) on 23-Июл-09, 00:02
автор новости упоротый, команды выполняются только после авторизации. А после нее мне и ломать ничего не надо, доступ и так есть.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		–4 +/–
	Сообщение от klalafuda on 23-Июл-09, 00:53
	я вам по секрету скажу только тссс! там истчо ssh есть. скорее всего. он, правда, тоже хочет авторизации. скорее всего. но если её ввести то таких дров можно наломать - мама не горюй. только тссс! а то завтра наступит the end of internet. // wbr
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+1 +/–
	Сообщение от Simps (??) on 23-Июл-09, 10:02
	А представь что ты авторизован на железке ( она же твоя ;) ), а тебе используя CSRF покажут "смешную" картинку на каком нибудь сайте?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от Аноним (??) on 23-Июл-09, 10:59
	> А представь что ты авторизован на железке ( она же твоя ;) ) Да всем делать нефиг, только бы на роутере авторизованным повисеть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от init on 23-Июл-09, 10:03
А на моем dir-300 сработало без авторизации http://172.16.254.1/cgi-bin/;reboot
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от chemtech on 23-Июл-09, 11:21
	И что? нажимаешь на твою ссылку и он ребутиться? хм.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от RomanCh (ok) on 23-Июл-09, 11:35
	Удобно! Можно юзерские роутеры в провайдерской локалке админить. На главную страничку вешаешь правильную ссылку и все юзеры правильно обновляют параметры.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от ShU (??) on 23-Июл-09, 15:02
	Ты уверен что в твоей локалке есть DD-WRT?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от RomanCh (ok) on 23-Июл-09, 23:55
	>Ты уверен что в твоей локалке есть DD-WRT? В локалке порядка 30к хосто. Думаю найдётся :-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от init on 23-Июл-09, 13:58
	именно, через 3 секунды,после того, как я ввел это в браузер, роутер пошел ребутиться - кабель не подключен и т.д.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от SilentLexx on 23-Июл-09, 12:29
Вчера только обновил прошивку... И сегодня придётся видимо (((
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
	Сообщение от init on 23-Июл-09, 15:37
	нет, если ты оновил на 12533, то там как раз бага нет [UPDATE] We have integrated most of the fixed build files into the router database. You can check there if files for build 12533 are available for your router.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "В DD-WRT обнаружена уязвимость, позволяющая получить полный "		+2 +/–
Сообщение от Аноним (??) on 23-Июл-09, 18:53
команды срабатывают и без авторизации, просто вывода нет (не верите? попробуйте reboot) .. а вот уязвимость эта больше похоже на дыру, которую разрабы себе специально оставили,,..
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от Аноним (??) on 27-Июл-09, 17:09
А у меня не работает ( ЧЯДНТ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "В DD-WRT обнаружена уязвимость, позволяющая получить полный ..."		+/–
Сообщение от mrtaxi on 25-Авг-09, 05:24
поставить доступ только по https и все нормально
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема