Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt"	+/–
Сообщение от opennews (??), 08-Дек-24, 17:13
В развиваемом проектом OpenWrt инструментарии ASU (Attended SysUpgrade)  выявлены критические уязвимости (CVE-2024-54143), позволяющие скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и добиться установки модифицированных злоумышленником образов прошивок на системы... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62371
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 08-Дек-24, 17:13	–1 +/–
кто нибудь посоветуйте m2 wifi 5,6,7 что бы из коробки сразу работал на opewrt... а то две карты купил а они не подошли(
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #9, #11, #41, #42, #45

2. Сообщение от Аноним (-), 08-Дек-24, 17:54	+/–
Под какое железо искал то? Это ж не программная проблема. А вообще тут писали статью о Banana Pi OpenWRT ONE, можно статьи поискать: https://docs.banana-pi.org/en/OpenWRT-One/BananaPi_OpenWRT-One
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #20

5. Сообщение от Krtek (?), 08-Дек-24, 18:02	–6 +/–
Почитал гайды по сборке и установке этого нечто и пришёл к выводу, что проще взять нормальную железку и поставить туда alpine.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #25, #28, #36

7. Сообщение от Аноним (7), 08-Дек-24, 18:06	–2 +/–
Надо dd-wrt
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от rm3 (?), 08-Дек-24, 18:49	+/–
> пользователям ASU рекомендуется на своих устройствах заменить прошивки OpenWrt на ту же версию. Вот это забавно звучит. Дописали бы: если вдруг заменятель прошивки у вас не забэкдорен и на самом деле что-то там заменяет, или копирует бэкдоры после прошивки в новую тоже.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от 2001db8deadd10056 (?), 08-Дек-24, 18:51	+/–
https://github.com/morrownr/USB-WiFi/blob/main/home/PCIe_WiF... Смотреть то что Linux In-Kernel Driver & AP Mode
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 08-Дек-24, 19:16	+1 +/–
У что OpenWRT HCL не ведет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от Аноним (12), 08-Дек-24, 19:19	+/–
>Уязвимость вызвана отсутствием должной проверки спецсимволов в именах пакетов перед их использованием в числе аргументов утилиты make Уж сколько раз твердили миру: make, как и любые скрипты через командную строку - это рак. Любая интеграция сборочных систем должна делаться переводом пакетов на нормальную сборочную систему, после чего вызова её через API. Если апстрим дебил - то да, придётся поддерживать свой патч. К счастью патчи апстрима наложение патча не попортят.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #16, #32, #48

13. Сообщение от Аноним (13), 08-Дек-24, 19:28	+/–
Все так, но переделать OpenWRT не представляется возможным. Там не просто autotools и make, там kconfig/kbuild для настройки и сборки всей ОС, не только ядра...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #15

15. Сообщение от Аноним (12), 08-Дек-24, 19:43	–4 +/–
Всё очень даже возможно. Более того, нужно и в ядре линкс переделать. Вчера пытался собрать ядерный модуль с помощью связки ядерных мейкфайлов, ckati и ninja - нихрена хорошего не вышло. Вообще за использование make и присущих ему грязных хаков и говнокода гнать из профессии надо взашей. Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей. Это у меня несколько дней упорной работы заняло, где каждую строчку приходилось растаскивать по пяти присваиваниям, и каждое верифицировать на эквивалентность поведения. А для конструкций без эквивалента приходилось глубоко вникать и придумывать эквиваленты. Теперь это говно придётся рефакторить. К сожалению злые люди - владельцы lmarena решили прикрыть богадельню, и повесили вредоносное ПО reCAPTCHA (в коде также есть следы вредоносного ПО hCAPTCHA, но она пока не энфорсится, но рекатча тоже некоторое время не энфорсилась, и принимала ответы вроде "recaptcha_is_malware_stop_that" вместо оригинальных аттестаций от рекапчи, что пользователь - хорошая годная скотина). Лучше бы полностью прикрыли, чем так, поэтому злые люди. а не потому что богадельню решили прикрыть. Там вообще не богадельня, они дейтасеты для цензуры ИИ собирают, и хотя на сайте висит "резервируем право опубликовать всё написанное в паблике под свободной лицензией", это не знатит, что они на стороне добра, это даже не обещание и не гарантия опубликовать (то есть ничто не мешает им это всё в проприетарный дейтасет запишнуть, который они продавать будут, или на котором свою компанию будут строить). Мне одного не понятно, откуда деньги, Зин! При их популярности расходы на оплату API-запросов для васянов должны миллионами исчисляться (на каждую из компаний).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #44

16. Сообщение от Аноним (16), 08-Дек-24, 20:12	+/–
Частично согласен, однако openwrt в данном случае - исключение. Тут система сборки частично само-писная, как правильно понял, но при этом ОЧЕНЬ лёгкая в плане использования и модификации. Надо всё-таки учитывать, что здесь крайне специфичный случай для разных систем сборок. И далеко не факт, что их конфиги будут понятны для чтения и модификации. Например, с трудом себе представляю использование cmake для этого проекта (конкретно репозиторий openwrt/openwrt).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от YetAnotherOnanym (ok), 08-Дек-24, 20:16	–1 +/–
Это, типа, каждый васян может заказать с доставкой на дом уникальный, неповторимый, индивидуальный имидж, с перламутровыми пуговицами? Не хочу показаться душным меркантильным кю, но за чей счёт банкет?
Ответить | Правка | Наверх | Cообщить модератору

18. Сообщение от Аноним (28), 08-Дек-24, 20:21	+3 +/–
Сижу на dlink dir 320 nru и менять не собираюсь. Роутер за nat провайдера, а максимальная скорость по тарифу итак 25 мегабит. Просто нет смысла.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #21

19. Сообщение от Аноним (25), 08-Дек-24, 20:37	–1 +/–
А у меня симметричный гигабит по оптике без провайдерского ната, с публичными v4 и v6, и провайдерская железка v6 никак не фильтрует вообще по умолчанию, и паролей настроить что-то отличное от названия и пароля вайфай не дают. Пришлось на ибее циску покупать вместо того недоразумения чтобы хоть как-то с этим бардаком совладать. А потом ещё оказалось, что провайдерская чепуха максимум 850 мегабит может прокачать... Проапгрейдил интернет, спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #22, #39

20. Сообщение от Аноним (-), 08-Дек-24, 20:42	+/–
Впрочем оговорюсь - возможно что проблема то и программная, если вы удостоверились что ваш тип M2 поддерживается. Тогда вам нужно всего-то установить драйвера, если их нет и все настроить. Но судя по вопросу, я лично подумал что вопрос в аппаратной части.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

21. Сообщение от Аноним (-), 08-Дек-24, 20:47	–4 +/–
Если не секрет, сколько километров до ближайшего населенного пункта со скоростью 100Мб или выше?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #27, #46

22. Сообщение от Аноним (-), 08-Дек-24, 20:48	+/–
У меня тоже оптоволокно, Gpon, но скорость 30Мбит, потому что провайдер один на село и цены у него кусаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #24

24. Сообщение от Аноним (25), 08-Дек-24, 21:17	+/–
Я тоже в селе на двадцать три дома живу. Правда провайдеров больше одного, есть из чего выбрать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 08-Дек-24, 21:25	–1 +/–
Удачи тебе взгромоздить alpine на циску или джунипер, если уж мы про нормальное сетевое железо говорим, а не про очередной нескучный китайский хлам на rk3568 или что там сейчас модно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #29

27. Сообщение от Аноним (28), 08-Дек-24, 21:46	+1 +/–
Мой провайдер и гигабитные скорости предоставляет. Просто у меня самый дешевый тариф, т.к. не вижу смысла в таких скоростях, я ничего не качаю особо, фильмы и игры не интересуют. А для работы этого за глаза. Для быстрой загрузки сайтов гораздо важнее пинг, а не гигабиты. Всё равно просмотр большинства сайтов осложняется медленными каналами за пределами сети провайдера и тупняком всяких клаудфларей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 08-Дек-24, 23:16	+1 +/–
Смысл сабжа только для китайцев которые на его основе клепают готовые вэбморды. В профессиональном сегменте никто не будет использоваться openwrt (мы не говорим про локалxoсты и каптёрки в конторе рога & копыта), на худой конец возьмут микротик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #30

29. Сообщение от Олег (??), 09-Дек-24, 00:49	+/–
А на какие реально железки циски openwrt можно? 3064pq, asr1001? https://openwrt.org/toh/hwdata/cisco/start https://openwrt.org/toh/start Список настолько скуден, что даже смешно Нет бы занять нижу EOL железок, отбоя бы не было
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #43

30. Сообщение от Олег (??), 09-Дек-24, 00:51	–4 +/–
Ну не скажите есть кучу железок за дофига деняк, которые eol и с уязвимостями А микротики не живут под нагрузкой, от слова совсем, даже официальные цифры на топах у них это слезы, а их на полтора делить нужно Нареканий с BGP тоже хватает ну и незабывайте что Mikrotik это недружественные люди пишут и лицензируют
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #31, #33

31. Сообщение от Аноним Анонимович Анонимов (?), 09-Дек-24, 06:54	+/–
Мне досталось несколько checkpoint u-5, у которых уже не было лицензии и обновлений. Благо там х86 железо «под капотом». Накатил debian и железки зажили новой жизнью. Из плюсов - появилась возможность использовать гигабитный порт для аплинка, на стоковой ос gaia такой возможности не было. Безусловно ковыряние в терминале после удобной GUI больно, но терпимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 09-Дек-24, 08:33	+/–
> нормальную сборочную систему Вы же идеальный человек, зачем Вам нормальную сборочную систему? Вам надо идеальную сборочную систему ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

33. Сообщение от Маняним (?), 09-Дек-24, 08:43	–2 +/–
> есть кучу железок за дофига деняк, которые eol и с уязвимостями Видно сразу, что вы никогда не работали в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПО. > это недружественные люди пишут и лицензируют А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #37, #38

36. Сообщение от myster (ok), 09-Дек-24, 10:55	+/–
Если ты берешь нормальную железку, можно любой Linux катить. Alpine для экономии ресурсов железки ставят, но ты же сам сказал, что нормальную берешь. А тот же OpenWrt, говорят, в LXC неплохо работает. Но если железка тянет VM-ки, можно рассмотреть Opensense.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

37. Сообщение от myster (ok), 09-Дек-24, 11:02	+/–
> в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПО Где вы были? Как думаете, сколько Cisco устройств уже давно без поддержки в крупных российских компаниях сегодня? Они есть точно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

38. Сообщение от slew (ok), 09-Дек-24, 11:04	–5 +/–
>А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми. "Нормальные страны и люди" уже показали себя как грязь. Лучше с КНДР-вот надежные и благородные люди.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

39. Сообщение от myster (ok), 09-Дек-24, 11:07	+/–
> Роутер за nat провайдера За NAT или нет, роутер и так наружу не светит WebUI обычно. А нормальные провайдеры предоставляют белые IPv4 и IPv6, хотя бы динамические, если такого нет, лучше искать нормального провайдера.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

41. Сообщение от Ivan_83 (ok), 09-Дек-24, 14:15	+2 +/–
m2 бывает USB и PCI, вы заранее уточните что ваш хост умеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

42. Сообщение от Аноним (42), 09-Дек-24, 17:52	+/–
Я себе брал AsiaRF AW7916-NPD (mini PCI) к x86 мини компьютеру, но у них были опции на m2. Меня ждало разочарование т.к. частота 6ghz не работает. Видел много тем на форумах banana pi со сборкой 6e роутеров на базе адаптеров AsiaRF.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

43. Сообщение от InuYasha (??), 10-Дек-24, 11:06	+/–
Ксо-жалению у большинства цисок железо настолько in-house и проприетарное, что стороннему разработчику просто нереально в адекватные сроки что-либо реверсировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

44. Сообщение от InuYasha (??), 10-Дек-24, 11:11	+/–
Мне кажется, у вас скорее раздражение от того что плохие люди в Makefile пихают нечто страшное. Потму что у меня, например, опыт взаимодействия с ними довольно позитивный. > Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей. Это какой-то кринж реально - питон в мейкфайле, да ещё и с нейросетями. Зачем??
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

45. Сообщение от старый процессор (?), 10-Дек-24, 19:27	+/–
Wifi7 нет поддержки в owrt совсем никакой. Даже если карта поддерживает и есть драйвер 7 не заработает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

46. Сообщение от хех (?), 10-Дек-24, 19:33	+/–
У меня вся Европа(все основные столицы от Португалии до Турции доступны со скоростью 2.5Gbps, Москва на большей части спидтеста выдает 1.2-1.5Gbps. 40 евро в месяц. Роутер intel n100 4x i225 на openwrt.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

48. Сообщение от Котофалк (?), 27-Дек-24, 14:05	+/–
Ну конечно командная строка - рак. Си - дыряшка. И тут хоп!... > Уязвимость в библиотеке util.py, вызванная тем, что хэши SHA-256, используемые для проверки наличия в кэше уже готовых образов прошивок, обрезались до 12 символов И ни Си, ни командной строки. А оно вот как...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема