华硕路由器泄露Root权限命令执行漏洞
发布时间:2022-05-11 09:01:35 所属栏目:安全 来源:互联网
导读:一名国外安全研究人员本月6日在网上披露,多款华硕路由器的固件中存在严重漏洞,该漏洞允许执行未授权的命令,并可能存在于所有当前版本的华硕路由器固件中。目前,已经有一个漏洞利用程序发布。 据认为,此漏洞存在于华硕路由器所有版本的固件中,具体位于
|
一名国外安全研究人员本月6日在网上披露,多款华硕路由器的固件中存在严重漏洞,该漏洞允许执行未授权的命令,并可能存在于所有当前版本的华硕路由器固件中。目前,已经有一个漏洞利用程序发布。 据认为,此漏洞存在于华硕路由器所有版本的固件中,具体位于与进程包(processPacket)功能有关的一段代码中。 “这段代码以排除几个OpCode值开始,据推测设计上没有强制授权。这样,它调用内存拷贝(memcpy)并且用不可靠的手段检测返回值。这无疑证明了编码者想使用的是内存拷贝,也就意味着即使正确的实施了检测,命令执行也几乎得不到足够的授权。” 禁止infosvr的服务进程,不失为一种有效的方法,但需要在每次路由器启动后都要做一次操作。 移除远程命令执行功能,即便有着强力的认证保护,把密码在整个局域网进行广播也不是件好事。如果的确需要命令执行功能,应该通过SSH或类似的安全机制来实施,”德瑞克表示。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐