В DD-WRT обнаружена уязвимость
В Linux прошивке для беспроводных маршрутизаторов DD-WRT была обнаружена уязвимость, позволяющая получить полный контроль над устройством. Проблема связана с ошибкой в реализации встроенного http-сервера, который выполняется с правами пользователя root. Для выполнения кода достаточно выполнить запрос вида "http://routerIP/cgi-bin/;command_to_execute".По умолчанию, http-сервис доступен только для внутренних сетевых интерфейсов маршрутизатора, но все же выполнение злоумышленника может быть инициировано со стороны пользователя через организацию CSRF (cross-site request forgery) атаки (например, сформировать обращение через тег "img src=http://192.168.0.1/cgi-bin/;CMD" ). Патч, исправляющий уязвимости, можно загрузить отсюда: http://www.dd-wrt.com/dd-wrtv2/down.php?path=downloads%2Fothers%2Feko%2FBrainSlayer-V24-preSP2%2F07-21-09-r12533/ .
© Root.UA
