搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內不再提示

      OpenWRT容易受中間人攻擊 更新通過未加密渠道傳輸

      汽車玩家 ? 來源:solidot ? 作者:solidot ? 2020-04-02 15:30 ? 次閱讀

      安全研究員報告,流行的路由器發(fā)行版 OpenWRT容易受到遠程代碼執(zhí)行攻擊,原因是它的更新是通過未加密渠道傳輸?shù)?,其?shù)字簽名驗證很容易繞過。OpenWRT 被廣泛用于路由器和其它嵌入式系統(tǒng)。

      安全研究員 Guido Vranken 發(fā)現(xiàn)它的更新和安裝文件是通過 HTTP 連接傳輸?shù)模菀资艿街虚g人攻擊,攻擊者可以用惡意更新文件去替換合法更新文件。

      除此之外,它的數(shù)字簽名檢查和驗證也很容易繞過,驗證函數(shù) checksum_hex2bin 存在 bug,在輸入字符串前加空格可繞過檢查,該 bug 是在 2017 年 2 月引入的。

      組合這兩個弱點攻擊者可以向設備發(fā)送惡意更新并自動安裝。OpenWRT 維護者已經(jīng)釋出了更新部分修復了問題。

      聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • OpenWrt
        +關注

        關注

        10

        文章

        123

        瀏覽量

        39229
      收藏 人收藏

        評論

        相關推薦

        在跨境電商中,如何確保網(wǎng)絡節(jié)點的安全性和合規(guī)性?

        的協(xié)議如HTTPS來保護數(shù)據(jù)免受中間人攻擊,并確保所有數(shù)據(jù)傳輸通過安全的網(wǎng)絡節(jié)點進行。 2、合規(guī)性:了解并遵守目標市場的法律法規(guī)是確保合規(guī)性的關鍵。這包括數(shù)據(jù)保護法規(guī)、消費者權益法、
        的頭像 發(fā)表于 09-25 13:45 ?196次閱讀

        開源物聯(lián)網(wǎng)技術--AES加密功能技術分享

        一、AES加密功能 在物聯(lián)網(wǎng)行業(yè)中的應用 AES加密功能在物聯(lián)網(wǎng)行業(yè)中有著廣泛的應用。隨著物聯(lián)網(wǎng)技術的不斷發(fā)展,越來越多的設備連接到互聯(lián)網(wǎng)上,這也增加了數(shù)據(jù)泄露和網(wǎng)絡攻擊的風險。為了保護物聯(lián)網(wǎng)設備
        的頭像 發(fā)表于 09-11 14:50 ?365次閱讀
        開源物聯(lián)網(wǎng)技術--AES<b class='flag-5'>加密</b>功能技術分享

        空調協(xié)議轉Modbus協(xié)議網(wǎng)關支持TSL/SSL加密傳輸

        TSL/SSL加密傳輸是一種通過在網(wǎng)絡通信中建立加密通道來保護數(shù)據(jù)安全性與完整性的重要技術,而我們鋇錸空調協(xié)議網(wǎng)關BL120AC所支持的數(shù)據(jù)加密傳輸也是TSL/SSL。 TSL/SSL
        的頭像 發(fā)表于 08-05 11:34 ?338次閱讀

        ESP8266 AT命令固件是否KRACK影響?

        19:34:38) SDK版本:2.1.0(116b762) 編譯時間:Sep 20, 2017 20:32:34 OK 此版本是否 KRACK(WPA2 攻擊)影響?
        發(fā)表于 07-16 06:07

        請問esp-now如何確定消息是否加密?

        使用 esp_now_add_peer(MAC1, ESP_NOW_ROLE_COMBO, CHANNEL, key, sizeof(key)); 現(xiàn)在的問題是,我仍然可以接收未加密的消息,例如廣播消息。而且我無法發(fā)現(xiàn)它們實際上是未加密的!因此,任何
        發(fā)表于 07-09 07:14

        DTU如何運用VPN加密技術提升數(shù)據(jù)傳輸安全?

        在當前的物聯(lián)網(wǎng)時代,數(shù)據(jù)的安全傳輸顯得尤為重要。DTU作為一款通過無線通信網(wǎng)絡進行傳送的無線終端設備,其在氣象、水文水利、地質等行業(yè)的應用中,對于數(shù)據(jù)傳輸的安全性有著極高的要求。本文將探討如何
        的頭像 發(fā)表于 07-04 14:53 ?349次閱讀
        DTU如何運用VPN<b class='flag-5'>加密</b>技術提升數(shù)據(jù)<b class='flag-5'>傳輸</b>安全?

        ESP32對Flash加密后能否使用OTA進行后續(xù)的維護更新?

        ESP32對Flash加密后能否使用OTA進行后續(xù)的維護更新
        發(fā)表于 06-07 08:21

        基于 FPGA 的光纖混沌加密系統(tǒng)

        128 位組成(原因是我們每次加密的數(shù)據(jù)是 128 位)。對于每一個子幀,幀頭為起始的 16 位數(shù)據(jù),具有和其他 112 位數(shù)據(jù)不一樣 的脈寬長度,便于后續(xù)的幀解析。 通過我們的設計,即使傳輸
        發(fā)表于 04-26 17:18

        可以通過BLE將UART格式的數(shù)據(jù)從PSoC-4 BLE傳輸到PC,而不必在PC端使用Cypress BLE加密狗嗎?

        我想通過 BLE 將 UART 格式的數(shù)據(jù)從 PSoC-4 BLE 傳輸到 PC,而不必在 PC 端使用 Cypress BLE 加密狗。 我想知道這是否可能。 注意:我已經(jīng) 在 github 中試
        發(fā)表于 01-30 07:13

        即將推出的 OpenWrt One/AP-24.XY:OpenWrt官方 和 Banana Pi官方合作路由器板

        OpenWrt開發(fā)人員正在與Banana Pi合作開發(fā)OpenWrt One/AP-24.XY路由器板。OpenWrt 是一個輕量級嵌入式 Linux 操作系統(tǒng),支持近 1,800 個路由器和其他設備。然而,這將是第一塊由
        的頭像 發(fā)表于 01-15 18:02 ?763次閱讀
        即將推出的 <b class='flag-5'>OpenWrt</b> One/AP-24.XY:<b class='flag-5'>OpenWrt</b>官方 和 Banana Pi官方合作路由器板

        應用方案:實時數(shù)據(jù)加密

        方案使用了MCU的以太網(wǎng)MAC部分,以及CPLD部分,幫助客戶實現(xiàn)了圖像傳輸的實時加密。在以太網(wǎng)圖像傳輸上的應用,CPLD截取MAC傳輸的數(shù)據(jù),加上了自定義的CRC值,再
        發(fā)表于 01-15 08:57

        即將推出的 OpenWrt One/AP-24.XY:OpenWrt 和 Banana Pi 合作路由器板

        的制造和分銷。 截至OpenWrt 23.05 版本,近 1,800 個路由器和其他設備正式受到輕量級嵌入式 Linux 操作系統(tǒng)的支持,還有更多設備聲稱通過操作系統(tǒng)的分支運行 OpenWrt。但這些
        發(fā)表于 01-13 09:56

        微軟2024年首個補丁周二修復49項安全漏洞,其中2項為嚴重級別

        值得關注的是,編號為 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 評分為 9,可謂當之無愧的“年度最危險漏洞”。據(jù)悉,此漏洞可使黑客發(fā)動中間人攻擊,通過假冒 Kerberos 認證服務器欺
        的頭像 發(fā)表于 01-12 14:43 ?839次閱讀

        使用App盾方案加固移動應用

        擁有對企業(yè)數(shù)據(jù)訪問權限的易受攻擊的應用程序是此類威脅的潛在渠道,并且在與受限制的商業(yè)環(huán)境進行交互時很少受到監(jiān)控。大量的應用程序存儲在App Store中,其中很大一部分是未經(jīng)緩解的移動應用程序
        的頭像 發(fā)表于 01-08 15:09 ?315次閱讀

        ADC的輸入阻抗能達到多大,輸入阻抗很大是否更容易干擾?

        關于ADC的疑問: 1、ADC的輸入阻抗能達到多大,輸入阻抗很大是否更容易干擾? 2、從DATESHEET的技術指標如何獲得輸入阻抗大小? 3、一般,ADC的輸入能承受多大的負電壓信號,輸入伏電壓信號為什么會有輸出?
        發(fā)表于 12-20 07:25