OpenWrt 发布关键漏洞修复

关键要点

• OpenWrt 发布了针对 sysupgrade 服务器的关键漏洞修复。
• 漏洞编号为 CVE-2024-54143，可能导致恶意固件图像注入。
• 漏洞存在于 Imagebuilder 中的命令注入问题。
• 攻击者可在未授权的情况下利用该漏洞获取系统控制。

OpenWrt 最近发布了一项针对其 sysupgrade 服务器的关键漏洞修复，此漏洞编号为
CVE-2024-54143。根据的报道，该漏洞可能被用于恶意固件图像注入。

此类缺陷的存在，使得攻击者可以在不进行身份验证的情况下进行攻击。按照 OpenWrt 的说法，漏洞源于 Imagebuilder中的命令注入问题，这种问题允许在构建过程中进行任意的命令注入。此外，SHA-256 哈希冲突被截断，导致熵减少，最终可能导致工件缓存被破坏。OpenWrt表示：“这些漏洞结合在一起，使得攻击者能够通过 Attended SysUpgrade 服务提供被破坏的固件图像，影响已交付构建的完整性。攻击者能够破坏通过
sysupgrade.openwrt.org 交付的构建工件，这可能导致在参与固件升级过程中安装恶意固件。”

OpenWrt 呼吁用户立即应用已发布的补丁，以避免因低风险攻击而导致的图像被破坏。

补丁重要性
及时更新固件，防止潜在的安全威胁出现。

漏洞编号 | CVE-2024-54143
—|—
漏洞类型 | 远程代码执行
影响版本 | 所有受影响的 OpenWrt 版本
修复状态 | 已发布补丁

了解更多关于 OpenWrt 的信息，可以访问其。保持系统更新和安全，确保设备的正常运行。