Společnost D-Link zveřejnila bezpečnostní záplaty pro své routery, které obsahovaly vážnou bezpečnostní díru objevenou v říjnu. Ta umožňovala každému, jehož prohlížeč se identifikuje jako xmlset_roodkcableoj28840ybtide, přistupovat do administrace a měnit nastavení. Pokud jedno z postižených zařízení vlastníte, rozhodně doporučujeme jeho aktualizaci.
D-Link záplatoval bezpečnostní chybu ve svých zařízeních
3. 12. 2013
10
nových názorů
-
Rootless.Rooter (neregistrovaný)
ale ten tri roky stary auth bypass tam je furt :
[D-Link 100,firmware rozbaleny binwalk-em,a nasledna extrakce squashfs]
www/Tools/tools_admin.htm:
-------snip-------
adminname="<?ConfigGet(/sys/account/superUserName)?>";
username="<?ConfigGet(/sys/account/normalUserName)?>";
pwd_default="WDB8WvbXdHtZyM8";
//admin2
function init()
{
var f=get_obj("frm");
f.admin_name.value =adminname;
f.admin_password1.value =f.admin_password2.value=pwd_default;
/*admin2
f.user_name.value =username;
f.user_password1.value =f.user_password2.value =pwd_default;----snip-------
<td> <input type="password" name="admin_password1" size=20 maxlength=15 value="WDB8WvbXdHtZyM8" onFocus=this.select();></td>
------snip-------
-
By mne zajimalo, jak dlouho tam ta chyba je a jak dlouho zpatky na stare modely vydali zaplatu. Tusim, ze tam, jako obvykle, bude ponekud rozdil.
-
j (neregistrovaný)
To je uplne jedno, kolik lidi si to patchne? 1 promile? 99,99999% prodanych zarizeni nekdo kupci na zacatku za pivo nakonfiguroval, a od ty doby na to nikdo nesah a dokud nechcipne, tak ani nesahne.
Nemluve o tom, ze kdo kdy nejakou krabku patchoval, a ona se mu (samo po zaruce) pri tom podelala, tak dotycnymu sdeli, ze jedine na jeho riziko, ze jinak na to sahat nebude.
A to se bavime o krabce za maximalne stokoruny ... osobne sem zazil, ze dodavateli pod rukama chcipnul switch za 200k (novej). Protoze kdyz ho po 5ti letech provozu prisel patchnout kvuli nejaky rekonfiguraci site, tak se az pri tom zjistilo, ze flaska na desce je mrtva (nez se patchlo, tak cist sla). Takze si podobny akce rad odepru a radsi podobny veci pokud mozno resim jinak.
-
me (neregistrovaný)
K tomu trable se zalohou konfigurace, jeji obnoveni po upgradu a cas na otestovani ze je vse OK. Vlastni FLASH je rychly, ale celkova rezie uz nejaky cas zabere... A k tomu jeste pripadne hratky s kabliky.
Nicmene, je dobre, ze vydali patch na znamy problem, kdo ma potrebu a know-how, muze si krabicku vysperkovat.
-
j (neregistrovaný)
Smysl by to melo, kdyby krabka aspon nejak umela ohlasit (trebas hlasitym revem a blikanim ...) ze je neco treba udelat ... takhle to vazne smysl nema.
Je to tragicky, ale je to tak. A takovych zarizeni, ktery by bylo treba patchovat, je cim dal vic ... televize, vsemozny sat/dvb/... krabky, obecne dneska uz skoro vsechno kolem AV, lednice, pracky ...
A ted si vem, jak dlouho vyrobce danej produkt supportuje ... a pricti k tomu, kolik lidi ma povedomi a aspon tusi.
Autor zprávičky
