The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Критические уязвимости в cURL, Adobe Flash и D-Link DIR-300/600

11.02.2013 11:59

Несколько недавно обнаруженных уязвимостей:

  • В утилите cURL и связанной с ней библиотеке libcurl, которые часто используются в скриптах для автоматизации выполнения операций с Web, найдена критическая уязвимость (CVE-2013-0249), позволяющая организовать выполнение кода при отправке запроса на подконтрольный злоумышленником сервер. Проблема присутствует в коде осуществления SASL DIGEST-MD5 аутентификации и может быть эксплуатирована при возврате определённого ответа сервером POP3, SMTP или IMAP. Важно отметить, что несмотря на то, что непосредственно эксплуатация возможна при обращении к почтовым серверам, совершение атаки возможно и при обращении к Web, путём возврата редиректа на почтовый сервер злоумышленника (через "Location: pop3://x:x@evilserver.com"). Уязвимость проявляется только в версиях с 7.26.0 по 7.28.1 включительно, при сборке с поддержкой SASL. В версии 7.29 уязвимость устранена. Концептуальный прототип эксплоита для проверки наличия уязвимости в своих системах можно загрузить здесь.
  • В Adobe Flash Player выявлены две уязвимости (CVE-2013-0633, CVE-2013-0634), позволяющие организовать выполнение кода в системе пользователя при открытии специально оформленного SWF-контента. В настоящее время проблемы уже активно эксплуатируются для распространения вредоносного ПО. Проблемы устранены в выпусках 11.5.502.149, 11.2.202.262 и 10.3.183.51;
  • В беспроводных маршрутизаторах D-Link DIR-300 и DIR-600 найдена уязвимость, позволяющая выполнить любую shell-команду в системе без предварительной аутентификации (в устройствах используется окружение на базе Linux). Проблема может быть эксплуатирована через отправку специально оформленного HTTP POST запроса к скрипту command.php. Обновление прошивки с устранением проблемы пока недоступно, в качестве обходного метода защиты рекомендуется закрыть доступ к 80 порту маршрутизатора.


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36078-curl
Ключевые слова: curl, flash, d-link
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Омский линуксоид (ok), 12:22, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Как раз забыл пароль от одного роутера. Спасибо тебе D-LINK!
     
  • 1.2, WherWolf (?), 12:23, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    > в качестве обходного метода защиты рекомендуется закрыть доступ к 80 порту маршрутизатора

    А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор? Заодно решится куча других проблем.

     
     
  • 2.4, PROFIT (?), 12:25, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    нормальный (не MIPS), маршрутизатор стоит больше 140уе
     
  • 2.5, Анонимус_б6 (?), 12:25, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    а может и не проще, потому что отдавать 2к за девайс взамен такого же работающего как-то не айс

    и да, неужели кто-то держит открытым 80 порт вовне на роутере?

     
     
  • 3.23, jenatii (?), 15:12, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    да, я!
     
  • 3.43, freehck (ok), 20:05, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Разные у нас взгляды на современный роутер.
    Вот мой Cisco Linksys WRT160NL стоит 5к.
     
     
  • 4.52, rshadow (ok), 22:06, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А че так дешево то? И без позолоты наверное...
     
  • 4.56, андрей (??), 23:36, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ... и linksys уже не cisco
     
  • 4.70, Аноним (-), 12:08, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    че так дорого?? у меня дома тож стоит покупал за 3500 ?
     
     
  • 5.72, freehck (ok), 14:25, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > че так дорого?? у меня дома тож стоит покупал за 3500 ?

    Ну, я давно покупал. Может быть, они уже дешевле стали.

     
  • 2.8, Аноним (-), 12:37, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Элементная база у dir300 на уровне конкурентов в soho. Но вот прошивки, это просто пидзец. Особенно устройства на ralink 5350f. Раньше (времена adsl) и так довольно скептически относился к их продукции (касяки с мультикастом, из-за чего народ шил акорпоские проши), но теперь после 300NRU B7 даже в их сторону глядеть не буду. Тривиальнейшие баги в веб морде, которые не фиксятся месяцами, такие же непонятные касяки с мультикастои и неуловимый отваливающийся wifi. Радует, что маршрутизатор достался бесплатно по акции. Но целенаправленно приобретать продукцию длинка за свои деньги - ни-ни
     
     
  • 3.11, WherWolf (?), 12:54, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Элементная база у этой конторы может меняться в одном устройстве от ревизии к ревизии. Причем иногда по принципу "Дешевое г-но > Нормальные чипы > Снова дешевое г-но"
    (Это я на DIR-615 намекаю)

    Просто раньше, когда девайс от Zyxel или 3Com стоил 5000 рублей, аналогичный от DLink можно было приобрести за 2500. В большинстве случаев за эту цену можно было получить вполне работоспособное устройство. Сейчас ихние роутеры или DSL-модемы стоят рублей 500-700. Ну и качетсво -- в лучшем случае это можно назвать муляжом роутера. Масштаб 1:1

     
     
  • 4.18, Loooooker (ok), 14:21, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, не подскажете соответствие ревизий качеству г-на? А то сталкиваюсь с таким время от времени, но четкой картины нет
     
     
  • 5.34, Flashadmin (ok), 17:25, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    http://wiki.openwrt.org/toh/d-link/dir-615#hardware.highlights
     
  • 4.46, Аноним (-), 20:39, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ну и качетсво -- в лучшем случае это можно назвать муляжом роутера. Масштаб 1:1

    Они хотя бы выбивали бы у китайцев спеки/фёрварь/модули для ядра. Умельцы бы допили, если они такие у мамы дурачки. Но их похеризм не знает границ.

     
  • 3.32, Deluxe (??), 17:21, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Радует, что маршрутизатор достался бесплатно по акции.
    > Но целенаправленно приобретать продукцию длинка за свои деньги - ни-ни

    Подтверждаю, D-Link — глючное косячное ушлёпище, периодически впадающее в ступор. Wi-Fi любит падать не просто часто, а часто до неприличия. Там и взламывать нечего, оно всё искаропки кривое.

     
     
  • 4.55, kai3341 (ok), 22:30, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что я делаю не так? dir300 A1 стоит не первый месяц, никаких проблем.

    > косяки на веб-морде

    Вы dd-wrt видели? Там веб-морда не менее косячная (по крайней мере, для dir400 A1), но всё фиксится командой про автостарте. Кажется, то же самое можно проделать в новых длинках.

    > оно всё искаропки кривое

    Кривизна Линукса повторяет кривизну рук владельца :)

     
     
  • 5.65, Sas (ok), 10:24, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    320 стоял у родственников и перегружали его по причине отваливающего вайфая по 20 раз на день. Прошил дд-врт и уже месяца два аптайма
     
     
  • 6.66, arisu (ok), 10:28, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > 320 стоял у родственников и перегружали его по причине отваливающего вайфая по
    > 20 раз на день. Прошил дд-врт и уже месяца два аптайма

    дык. родные прошивки и 300, и 320 — это такой тихий ужас. иногда очень тихий, до полного радиомолчания. я свой старый 300-й тоже при помощи dd-wrt «починил». выключается он только тогда, когда шишиги всё электричество в проводах съедают; в остальное время работает и не жужжит.

     
  • 4.71, Ultrakrsk (?), 12:31, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    У меня DIR-655 стоит с аптаймом 4 месяца.... Скажите, что я делаю не так?
     
  • 3.38, Avator (ok), 18:34, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Элементная база у Dir-300 на уровне конкурентов 3х-5 летней давности.
    Посмотрите хотя бы на то что Asus сейчас делает и сравните или NetGear.
     
     
  • 4.39, Аноним (-), 19:00, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Асус сегодня делает неплохое железо и совершенно неюзабельные прошивки. Форумы затоплены  кровавыми слезами осчастливленных пользователей. Только сторонние прошивки и спасают.
     
     
  • 5.58, Avator (ok), 23:50, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вы ими пользовались сами чтобы так утверждать?
    Я сам в прошлом пользователь сторонних прошивок на оборудовании асус.
    Года два назад то что вы сказали было правдой, сейчас асус делает замечательные прошивки на основе DD WRT со своей "мордой". Бед уже года полтора-два с ними не знаю.
    Перевел все домашние сети в семье на Асус, сейчас на RT-N66U (2 штуки в разных домах) и RT-AC66U, у себя RT-N16U. Все с родными прошивками.
    За всё время один 66U сдох меньше чем через неделю после покупки - заводской брак, поменяли, сейчас всё отлично, RT-N16U один раз во время перепрошивки сбросил настройки.
    Всё. Далее, ни зависаний, ни глюков, скорости отличные (у 16U немного ниже, но всё же), все устройства по WiFi сети видят и цепляют, прошивки периодически обновляются (в том числе и на  16U).
     
  • 3.42, аркадий (?), 19:53, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    с промышленными устройствами та же история
     
  • 2.16, 1 (??), 13:58, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Можно всегда жить на экзотическом оборудование и параноить.
     
     
  • 3.51, PROFIT (?), 21:59, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно всегда жить на экзотическом оборудование и параноить.

    Mikrotik ?

     
  • 2.17, MidNighter (ok), 14:00, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А что, в других нормальных уязвимостей быть не может?
     
  • 2.20, bugmenot (ok), 14:26, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, в "нормальных" Linksys-ах тоже нашли уязвимость. Еще несколько месяцев назад. Циска так и не отреагировала.
     
     
  • 3.26, kotonimous (?), 16:19, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ага, нормальных Линксисах.
    Поржал даже с кавычками.
     
  • 2.29, Аноним (-), 17:06, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор?

    Проще и дешевле влить в него опенврт какой-нибудь. Ну из ж@пы у тайваньцев и прочих китаезов руки в плане программирования, увы. Это медицинский факт. Поэтому толку то заменять шило на мыло?

     
  • 2.49, arisu (ok), 21:26, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А может, проще выкинуть DIR-300 и купить нормальный, современный маршрутизатор? Заодно
    > решится куча других проблем.

    а можно узнать, какие у меня проблемы с DIR-300? ну, кроме того, что несколько лет уже работает круглосуточно и каши не просит. занимается раздачей вайфи да коммутированием домашней сетки.

    так из-за каких проблем и принципов мне его надо выкинуть «и купить нормальный, современный маршрутизатор?»

     
     
  • 3.53, iFRAME (ok), 22:21, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты что, ретроград? Не любишь все новое и современное? Может тебе даже гном 3 не нравится?
     
     
  • 4.54, arisu (ok), 22:23, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    да, я не люблю пролетариата.
     
  • 4.61, pazik (?), 03:27, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Браво! Аплодирую стоя.

    ЗЫ: И да, мне не нравится третий гном... ну и длинк само собой.

     
  • 2.62, медведдд (?), 05:41, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    "А может, проще выкинуть DIR-300"

    Если вы не в состоянии, немного подумать, подсказываю: ошибка в базовой прошивке. Нормальные люди давно поставили dd-wrt или open-wrt.

    p.s. Текст новости корявый. Ошибки в железе нет :)

     

  • 1.3, PROFIT (?), 12:24, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/
     
     
  • 2.24, Аноним (-), 15:33, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > ftp://ftp.dd-wrt.com/others/eko/BrainSlayer-V24-preSP2/

    Если это намек на dir300-revb, то спешу Вас огорчить, это только для аппаратных ревизий с B1 по B4. Для ревизий B5, B6 и B7 альтернативных прошивок (dd-wrt, Openwrt) нету, у этих ревизий SoC другой (RT3350f), так что если даже каким-то чудом Вам удастся запихать эту прошивку в новые роутеры - получите кирпич.

     
     
  • 3.57, андрей (??), 23:44, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    лично прошил 300-ку на Ralink с год назад DD-WRT - работает год и ни разу мне пользователи не жаловались (правда WiFi они не пользуют)
    ЧЯДНТ?

    (см. http://www.dd-wrt.com/wiki/index.php/Ralink_%28unbranded/unsupported)

    потом ещё нашёл какой-то поц делает прошивки для Ralink ради продажи их OEM-производителям, так он вообще выложил прошивки с родными дровами для WiFi и др. плюшками

     
     
  • 4.73, медведдд (?), 17:22, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    лично прошил 300-ку на Ralink с год назад DD-WRT - работает год. ЧЯДНТ?

    Dlink dir300 rev B - ralink.

     
     
  • 5.74, Аноним (-), 19:23, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему вы такие упрямые? Вам уже написали, ревизии b5, b6, b7 на ralink 5350*F*, а не ralink 5350. *wrt их не умеют. Длинки 300 на этом SoC шьются модифицированной прошивкой от zyxel keenetic lite b и самое печальное, в этом есть смысл
     
     
  • 6.76, Аноним (-), 08:53, 13/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Добрый человек а против DIR-615 B2 (прошу прощения что вслух!) - есть метода? Или просто выкинуть?

     
     
  • 7.77, Аноним (-), 19:02, 13/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли могу подсказать, чтобы наверняка
    http://www.dd-wrt.com/wiki/index.php/Known_incompatible_devices
    http://wiki.openwrt.org/toh/d-link/dir-615
    Судя по всему там Ubicom IP5090U CPU, с которым опять-таки никто не имел дела. Да ещё флэш на 2 мегабайта.
    Конечно остаётся надежда на чудо, вроде нормально работающей прошивки от другого вендора. Но что-то мне подсказывает, что чудес не бывает. Остаётся либо выкинуть, либо терпеть касяки вот таких устройств
     
     
  • 8.80, Аноним (-), 06:24, 14/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну умерла - так умерла В принципе - оно ничего работало пока не пявились n... текст свёрнут, показать
     

  • 1.6, AlexYeCu (ok), 12:28, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ПРИМЕЧАНИЕ. Adobe Flash Player 11.2 будет последней версией, поддерживающей Linux в качестве платформы. Adobe будет продолжать обеспечивать ретроподдержку безопасности Flash Player 11.2 для Linux.

    С сайта adobe.com. Вынужден констатировать, что оно таки издохло.

     
     
  • 2.21, kerneliq (ok), 14:36, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    yaourt -Ss chromium-pepper-flash-stable
    aur/chromium-pepper-flash-stable 11.5.31.139-1
     
     
  • 3.22, TDYK (ok), 14:54, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Подключите его к не-хромиум-based браузеру, а мы поглядим.
     
  • 3.28, AlexYeCu (ok), 17:01, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Для меня все эти ваши хромы-хромиумы и прочие оперы суть недобраузеры. Пусть сперва научатся с системной темой дружить и аналогом вимператора обзаведутся.
     
     
  • 4.35, Maresias (ok), 17:27, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Для меня все эти ваши хромы-хромиумы и прочие оперы суть недобраузеры. Пусть
    > сперва научатся с системной темой дружить и аналогом вимператора обзаведутся.

    Опера таки дружит. С Cinnamon выглядит  вообще как родная.
    А флэш ей не нужен.
    Вообще не нужен.
    Это морально и технически устаревшая технология, позволяющая запихивать в закрытый код ActionScript любую пакость.
    Просто уйти не может достойно, зачем-то цепляется за жизнь. А Гугл зачем-то поддерживает.
    Живительная эвтаназия помогла бы.

     
     
  • 5.36, AlexYeCu (ok), 17:36, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Опера таки дружит. С Cinnamon выглядит  вообще как родная.

    Последний раз  когда видел — ещё не дружила толком.

    >А флэш ей не нужен.

    Кому «ей»? Flash мне нужен, для меня этого достаточно.

    >Это морально и технически устаревшая технология

    Пустые слова.

    >позволяющая запихивать в закрытый код ActionScript любую пакость

    Как и в любой компилируемый код. Только флэшка исполняется в песочнице flash-плагина в отличие от.

    >Просто уйти не может достойно, зачем-то цепляется за жизнь. А Гугл зачем-то поддерживает.
    >Живительная эвтаназия помогла бы.

    Альтернатив нет. Даже близко.

     
  • 2.27, fi (ok), 16:37, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Да все нормально: flash-plugin-11.2.202.262-release.i386


     
  • 2.31, dimqua (ok), 17:18, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Сказано же:

    > Проблемы устранены в выпусках 11.5.502.149, 11.2.202.262 и 10.3.183.51;

    Так что, к сожалению, оно ещё шевелится.

     

  • 1.7, б.б. (?), 12:28, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В утилите cURL и связанной с ней библиотеке libcurl, которые часто используются в скриптах для автоматизации выполнения операций с Web, найдена критическая уязвимость (CVE-2013-0249), позволяющая организовать выполнение кода при отправке запроса на подконтрольный злоумышленником сервер.

    pacman использует curl. эдак что, можно любой арч-сервер превратить в рассадник опасности?

    только вчера думал, что будет, если появится уязвимость в openssh, позволяющая зайти без авторизации...

     
     
  • 2.33, Аноним (-), 17:24, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > арч-сервер

    Месье знает толк. Вам там шибко давно подписанные репозитории сделали, уже можно на сервер ставить?

     
     
  • 3.37, б.б. (?), 17:45, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чо?

    Вот у меня есть сервер, на нём зеркало с арчем (а оно у меня есть), куда постоянно по курлу ходят юзеры. Вроде бы, всё нормально - я не могу ничего подделать, всё защищено подписями, юзеры ходят на моё зеркало, не боясь и не опасаясь подделок - их хранит великий ключ.

    Но пришла беда, откуда не ждали - в том самом моменте, где юзеры ежедневно долбятся своими курлами на мой http, требуя списки пакетов и сами пакеты, я им выдаю отдельный редирект, они, как честные курлы, идут по этому редиректу, и ПРИВЕТ, они попались.

    Вот мне и интересно, насколько практически любое зеркало арч может стать приветом для компьютеров пользователей. И для меня это сравнимо с критической уязвимостью с ssh - всё настолько завязано на то, что требуются пароли и ключи авторизации, что если будет возможность сделать что-то страшное ДО этапа авторизации, наступит хаос, и ничего нельзя будет сделать.

     
     
  • 4.63, tipa_admin (?), 07:57, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Избранное из /etc/pacman.conf:
    #XferCommand = /usr/bin/curl -C - -f %u > %o
    XferCommand = /usr/bin/wget --passive-ftp -c -O %o %u

    Хотя да, по дефолту будет использоваться libcurl.so.

     
     
  • 5.64, б.б. (?), 08:49, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если у кого-то дар пророчества, и он знает, где объявится критическая уязвимость, так пусть не молчит!
     

  • 1.9, commiethebeastie (ok), 12:48, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Много раз был свидетелем, когда хомячков сайта разносили на куски с помощью флеш вставок.
     
  • 1.10, Аноним (-), 12:53, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И как тогда настраивать роутер,если отключим 80 порт? А?
     
     
  • 2.12, Имя (?), 12:56, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    telnet? или его в этой модели нет?
     
  • 2.13, анонимус_б6 (?), 12:59, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну не во вне же его открывать, и потом есть же ssh, есть telnet
     
  • 2.40, Аноним (-), 19:04, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > И как тогда настраивать роутер,если отключим 80 порт? А?

    Это они хорошо придумали, да.

     

  • 1.14, Аноним (-), 13:01, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Порт для администрирования через http у DIR по-умолчанию закрыт из внешней сети.
    Не обязательно это порт 80, а не 8080.
     
  • 1.15, Аноним (-), 13:42, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Последние ревизии D-Link-ов объективно ужасны (и прошивки и железо).
    Беру клиентам только голландские Sitecom-ы (к сожалению в россии малоизвестны). Все работают стабильно без подвисаний и т.п проблем, а прошивка уже изкоропки полностью рабочая + стильный внешний вид и компактный размер;)
    p.s: не реклама, а просто радость, т.к буквально пару недель назад взял и себе домой SITECOM N300 X3 WLR-3100. d-link dir 300 rev.c1 забыт как страшный сон!

     
  • 1.19, ФФ (ok), 14:23, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Обновление прошивки с устранением проблемы пока недоступно

    Да, возможно, если использовать официальную прошивку. Я пользую вот эту http://www.dd-wrt.com/wiki/index.php/%D0%9F%D1%80%D0

     
     
  • 2.30, Аноним (-), 17:08, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, возможно, если использовать официальную прошивку.

    Наверное вы хотели сказать НЕофициальную :). Там таких эпикфэйлов обычно себе не позволяют :)

     
     
  • 3.45, linux must _RIP_ (?), 20:12, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    все мы помним дыру в DD-wrt которая позволяла без авторизации выполнить любую команду....
    И никакой тебе opensource не помог.. И даже хваленый GPL...
     
     
  • 4.48, Аноним (-), 20:58, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > все мы помним дыру в DD-wrt которая позволяла без авторизации выполнить любую
    > команду....
    > И никакой тебе opensource не помог.. И даже хваленый GPL...

    Людям свойственно делать ошибки, только упоротые школьники могут это не понимать. Суть в том что при желании и наличии времени/средств ошибки в опенсорц коде может поправить _кто угодно_, и нет необходимости ждать по полгода пока Микрософт или Оракал соизволит выпустить апдейт.

     

  • 1.25, Assembler (?), 16:14, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ничо страшного, настраивайте через вебморду D-Link DIR-300, а 80й порт отключите для внешних соединений
     
  • 1.41, Аноним (-), 19:44, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > command.php
    > без предварительной аутентификации
    > Команда в параметре cmd POST-запроса

    Это не уязвимость, а явный бэкдор.

     
  • 1.44, linux must _RIP_ (?), 20:11, 11/02/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > В беспроводных маршрутизаторах D-Link DIR-300 и DIR-600 найдена уязвимость, позволяющая выполнить любую shell-команду в системе без предварительной аутентификации (в устройствах используется окружение на базе Linux).

    А как же свободное и открытое програмное обеспечение? почему оно не защитило от такой ошибки?

     
     
  • 2.47, Аноним (-), 20:53, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    От опенсорца там, в общем-то, только ядро с бизибоксом. Оболочка их -- тот еще блоб.
     
  • 2.50, arisu (ok), 21:30, 11/02/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    специально чтобы тебе было о чём писать на опеннете.
     
  • 2.67, бедный буратино (ok), 10:51, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Потому и свободное, что позволяет делать глупости. Если всё прибито бинарниками к единственно верному пути, тогда это уже несвободное. И если в этом несвободном возникла ошибка - её самостоятельно не исправишь.
     
     
  • 3.68, linux must _RIP_ (?), 11:37, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Потому и свободное, что позволяет делать глупости. Если всё прибито бинарниками к
    > единственно верному пути, тогда это уже несвободное. И если в этом
    > несвободном возникла ошибка - её самостоятельно не исправишь.

    да нет. тут кричали что в открытом софте ошибок не бывает.. дескать opensource защищает от всего..
    Но ведь не защищает сволочь он такая.. Дыры и там есть.. Как теперь жить то ?

     
     
  • 4.69, бедный буратино (ok), 11:54, 12/02/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > да нет. тут кричали что в открытом софте ошибок не бывает.. дескать opensource защищает от всего..

    Если открыть доступ к root и всем остальным без пароля и выставить в сеть, то ваши данные в опасности. Не потому, что opensource плохой, а потому что вы дурак. Всё.


    Opensource безопасен не потому, что в нём ошибок не делают, а потому, что в нём их быстро исправляют (все заинтересованные стороны).


    Opensource это очень мощная сила. А что бывает, когда дураку дать такую мощь и силу, можно наблюдать ежедневно.

     
     
  • 5.81, Аноним (-), 17:16, 14/02/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Буратино был тупой С Лениво Буратино, даже я, с моим максимализмом для со... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру