日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一名國外安全研究人員本月6日在網(wǎng)上披露，多款華碩路由器的固件中存在嚴(yán)重漏洞，該漏洞允許執(zhí)行未授權(quán)的命令，并可能存在于所有當(dāng)前版本的華碩路由器固件中。目前，已經(jīng)有一個漏洞利用程序發(fā)布。

發(fā)現(xiàn)此漏洞的約書亞·德里克(Joshua Drake)表示，問題出在一個名為infosvr的服務(wù)中，這個服務(wù)用來幫助管理員在網(wǎng)段中找到并配置路由器。解決這個漏洞的***辦法就是從設(shè)備中刪除遠(yuǎn)程命令執(zhí)行功能。

“幾款華碩路由器包含了infosvr的服務(wù)，該服務(wù)開放UDP端口9999，用于在本地子網(wǎng)中自動定位和調(diào)整路由器的配置。該服務(wù)以root權(quán)限運行，含有一個未授權(quán)的命令執(zhí)行漏洞，”德里克在漏洞警告中寫道。

據(jù)認(rèn)為，此漏洞存在于華碩路由器所有版本的固件中，具體位于與進程包(processPacket)功能有關(guān)的一段代碼中。

“這段代碼以排除幾個OpCode值開始，據(jù)推測設(shè)計上沒有強制授權(quán)。這樣，它調(diào)用內(nèi)存拷貝(memcpy)并且用不可靠的手段檢測返回值。這無疑證明了編碼者想使用的是內(nèi)存拷貝，也就意味著即使正確的實施了檢測，命令執(zhí)行也幾乎得不到足夠的授權(quán)?！?/p>

禁止infosvr的服務(wù)進程，不失為一種有效的方法，但需要在每次路由器啟動后都要做一次操作。

“***還是移除遠(yuǎn)程命令執(zhí)行功能，即便有著強力的認(rèn)證保護，把密碼在整個局域網(wǎng)進行廣播也不是件好事。如果的確需要命令執(zhí)行功能，應(yīng)該通過SSH或類似的安全機制來實施，”德瑞克表示。

原文地址：http://www.aqniu.com/threat-alert/6317.html

本文題目：華碩路由器曝Root權(quán)限命令執(zhí)行漏洞
分享路徑：http://m.5511xx.com/article/cdeoiid.html