OpenWrt: Bug im Paket-Manager sorgt für kritische Sicherheitslücke

Von Tobias Rduch am 25.03.2020 19:04 Uhr
1 Kommentare
Die Linux-Distribution OpenWrt kommt auf zahlreichen Routern als al­ter­na­ti­ves Betriebssystem zum Einsatz. In der mitgelieferten Pa­ket­ver­wal­tungs-Software OPKG ist allerdings ein Bug zu finden, der eine kritische Schwachstelle verursacht. Nun stehen Sicherheitsupdates bereit.

Die "neue" Sicherheitslücke ist unter der Bezeichnung "CVE-2020-7982" bekannt. Mit dem Paket-Ma­na­ger OPKG ist es möglich, Software für OpenWrt zu installieren. Das Problem tritt beim Down­load eines Pakets auf. Durch eine fehlerhafte Prüfung des SHA256-Hashes kann die Integrität der heruntergeladenen Daten nicht garantiert werden. Damit haben Angreifer die Möglichkeit, ohne hohen Aufwand Schadcode auf dem OpenWrt-System zu installieren.

Wie Guido Vranken, der Entdecker der Si­cher­heits­lü­cke, in seinem Blog beschreibt, muss das OpenWrt-System für eine erfolgreiche At­ta­cke dazu gebracht werden, die Pakete von ei­nem kompromittierten Server zu beziehen. Das ist über eine sogenannten Man-in-the-Middle-Attacke möglich. Hierbei positioniert sich der Angreifer im Netzwerk zwischen dem OpenWrt-System und dem angefragten Server, um die ausgetauschten Pakete zu manipulieren.

Sicherheitsaktualisierungen verfügbar

Die Schwachstelle existiert bereits seit drei Jahren. Inzwischen stehen allerdings Sicher­heits­up­dates zur Verfügung. Um das Problem zu beheben und das eigene OpenWrt-System ab­zu­si­­chern, sollten die Nutzer auf die aktuellen Versionen ab 18.06.7 oder 19.07.1 wechseln. Die Aktualisierungen wurden im vergangenen Mo­nat veröffentlicht und enthalten eine sichere und zuverlässige Überprüfung des Hash-Wertes eines Pakets. Alternativ kann auch nur der Paket-Manager an sich aktualisiert werden. Eine Anleitung dazu lässt sich auf der offiziellen Webseite von OpenWrt finden.
whatsapp
Jede Woche neu: Top-News per E-Mail
1 Kommentare lesen & antworten
Desktop-Version anzeigen
Hoch © 2000 - 2020 WinFuture Impressum Datenschutz