Összefoglaló
A D-Link DIR-890L és DIR-645 útválasztókhoz készült biztonsági frissítés újabb puffer túlcsordulási hibát vezet be.
Leírás
A DIR-890L és DIR-645 legfrissebb firmware verziója április 14-én jelent meg és egy HNAP (Home Network Administration Protocol) sérülékenység feloldására készítették, amelyet kihasználva tetszőleges kódot lehetett futtatni az útválasztókon előzetes hitelesítés nélkül.
Egy információbiztonsági szakértő megvizsgálta a kódot és arra a megállapításra jutott, hogy egy nem hitelesített felhasználó továbbra is képes kódbefecskendezésre, és azt követően adminisztratív HNAP funkciókvégrehajtására.
A rosszindulatú felhasználó módosíthatja továbbá a rendszerbeállításokat, vagy visszaállíthatja a gyári beállításokat.
Megoldás
IsmeretlenTámadás típusa
execute arbitrary codeHatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: news.softpedia.com
Egyéb referencia: www.devttys0.com