В DD-WRT обнаружена уязвимость, позволяющая получить полный контроль над устройством

22 июля 2009 года

Wikinews-logo-ru.svg

В Linux прошивке для беспроводных маршрутизаторов DD-WRT обнаружена уязвимость, позволяющая получить полный контроль над устройством. Проблема связана с ошибкой в реализации встроенного http-сервера, выполняемого с правами пользователя root. Для выполнения кода достаточно выполнить запрос вида "http://routerIP/cgi-bin/;command_to_execute".

По умолчанию http-сервис доступен только для внутренних сетевых интерфейсов маршрутизатора, тем не менее выполнение команд злоумышленника может быть инициировано со стороны пользователя через организацию CSRF (cross-site request forgery) атаки (например, сформировать обращение через тег "img src=http://192.168.0.1/cgi-bin/;CMD" ). Патч с исправлением уязвимости можно загрузить здесь.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «В DD-WRT обнаружена уязвимость, позволяющая получить полный контроль над устройством», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:В DD-WRT обнаружена уязвимость, позволяющая получить полный контроль над устройством