சமீபத்தில் இல் உள்ள நான்கு பாதிப்புகள் பற்றிய முக்கியமான தகவல்கள் வெளியிடப்பட்டன ரியல்டெக் SDK இன் கூறுகள், பல்வேறு வயர்லெஸ் சாதன உற்பத்தியாளர்கள் தங்கள் ஃபார்ம்வேரில் பயன்படுத்துகின்றனர். கண்டறியப்பட்ட சிக்கல்கள் அங்கீகரிக்கப்படாத தாக்குபவர் ஒரு உயர்ந்த சாதனத்தில் குறியீட்டை தொலைவிலிருந்து இயக்க அனுமதிக்கிறது.
என்று மதிப்பிடப்பட்டுள்ளது சிக்கல்கள் 200 வெவ்வேறு விற்பனையாளர்களிடமிருந்து குறைந்தது 65 சாதன மாதிரிகளை பாதிக்கின்றன, ஆசஸ், ஏ-லிங்க், பீலைன், பெல்கின், எருமை, டி-லிங்க், எடிசன், ஹவாய், எல்ஜி, லாஜிடெக், எம்டி-லிங்க், நெட்ஜியர், ரியல்டெக், ஸ்மார்ட்லிங்க், யுபிவெல், இசட்இ மற்றும் ஜிக்ஸல் பிராண்டுகளின் வயர்லெஸ் ரவுட்டர்களின் பல்வேறு மாதிரிகள் உட்பட.
பிரச்சனை RTL8xxx SoC- அடிப்படையிலான வயர்லெஸ் சாதனங்களின் பல்வேறு வகுப்புகளை உள்ளடக்கியதுவயர்லெஸ் ரவுட்டர்கள் மற்றும் வைஃபை பெருக்கிகள் முதல் ஐபி கேமராக்கள் மற்றும் லைட்டிங் கட்டுப்பாட்டிற்கான ஸ்மார்ட் சாதனங்கள் வரை.
RTL8xxx சில்லுகளை அடிப்படையாகக் கொண்ட சாதனங்கள் இரண்டு SoC களின் நிறுவலை உள்ளடக்கிய ஒரு கட்டமைப்பைப் பயன்படுத்துகின்றன: முதலாவது லினக்ஸ் அடிப்படையிலான உற்பத்தியாளரின் ஃபார்ம்வேரை நிறுவுகிறது, இரண்டாவது அணுகல் புள்ளி செயல்பாடுகளை செயல்படுத்துவதன் மூலம் தனி மெலிந்த லினக்ஸ் சூழலை இயக்குகிறது. இரண்டாவது சூழலின் மக்கள் தொகை SDK இல் Realtek வழங்கிய வழக்கமான கூறுகளை அடிப்படையாகக் கொண்டது. இந்த கூறுகள், மற்றவற்றுடன், வெளிப்புற கோரிக்கைகளை அனுப்பியதன் விளைவாக பெறப்பட்ட தரவை செயலாக்குகின்றன.
பாதிப்புகள் Realtek SDK v2.x, Realtek "Jungle" SDK v3.0-3.4 மற்றும் Realtek "Luna" ஐப் பயன்படுத்தி தயாரிப்புகளை பாதிக்கும் SDK பதிப்பு 1.3.2 வரை.
அடையாளம் காணப்பட்ட பாதிப்புகளின் விளக்கத்தின் பகுதியைப் பொறுத்தவரை, முதல் இரண்டு பேருக்கு 8.1 என்ற தீவிர நிலை மற்றும் மீதமுள்ளவை 9.8 என ஒதுக்கப்பட்டது.
- சி.வி.இ -2021-35392: "WiFi Simple Config" செயல்பாட்டைச் செயல்படுத்தும் mini_upnpd மற்றும் wscd செயல்முறைகளில் இடையக வழிதல் இந்த வழியில், அழைப்பாளர் புலத்தில் மிக அதிகமான போர்ட் எண்ணுடன் சிறப்பாக வடிவமைக்கப்பட்ட UPnP சந்தா கோரிக்கைகளை அனுப்புவதன் மூலம் தாக்குபவர் உங்கள் குறியீட்டை செயல்படுத்த முடியும்.
- சி.வி.இ -2021-35393: "WiFi Simple Config" இயக்கிகளில் உள்ள பாதிப்பு, SSDP நெறிமுறையைப் பயன்படுத்தும் போது வெளிப்படுகிறது (UDP மற்றும் HTTP போன்ற கோரிக்கை வடிவத்தைப் பயன்படுத்துகிறது). நெட்வொர்க்கில் சேவைகள் கிடைப்பதைத் தீர்மானிக்க வாடிக்கையாளர்களால் அனுப்பப்பட்ட M-SEARCH செய்திகளில் "ST: upnp" அளவுருவை செயலாக்கும்போது 512-பைட் நிலையான பஃப்பரைப் பயன்படுத்துவதால் சிக்கல் ஏற்படுகிறது.
- சி.வி.இ -2021-35394: இது எம்பி டீமான் செயல்பாட்டில் ஒரு பாதிப்பு ஆகும், இது கண்டறியும் செயல்பாடுகளை (பிங், ட்ரேசோரூட்) செய்வதற்கு பொறுப்பாகும். வெளிப்புற பயன்பாடுகளை இயக்கும் போது வாதங்களின் போதுமான சரிபார்ப்பு காரணமாக உங்கள் கட்டளைகளை மாற்றுவதற்கு சிக்கல் அனுமதிக்கிறது.
- சி.வி.இ -2021-35395: http / bin / வலைகள் மற்றும் / பின் / போவா சேவையகங்களை அடிப்படையாகக் கொண்ட இணைய இடைமுகங்களில் தொடர்ச்சியான பாதிப்புகள் ஆகும். கணினி () செயல்பாட்டைப் பயன்படுத்தி வெளிப்புறப் பயன்பாடுகளைச் செயல்படுத்துவதற்கு முன் வாத சரிபார்ப்பு இல்லாததால் ஏற்படும் பொதுவான பாதிப்புகள் இரு சேவையகங்களிலும் அடையாளம் காணப்பட்டன. வெவ்வேறு API களின் தாக்குதலுக்கு மட்டுமே வேறுபாடுகள் வரும்.
இரண்டு டிரைவர்களும் சிஎஸ்ஆர்எஃப் தாக்குதல்களுக்கு எதிரான பாதுகாப்பையும் "டிஎன்எஸ் ரீபைண்டிங்" நுட்பத்தையும் சேர்க்கவில்லை, இது உள் நெட்வொர்க்கிற்கு மட்டுமே இடைமுகத்திற்கான அணுகலை கட்டுப்படுத்தும் போது வெளிப்புற நெட்வொர்க்கிலிருந்து கோரிக்கைகளை அனுப்ப அனுமதிக்கிறது. செயல்முறைகள் முன்னறிவிக்கப்பட்ட மேற்பார்வையாளர் / மேற்பார்வையாளர் கணக்கையும் இயல்பாகப் பயன்படுத்தின.
ரியல்டெக் "லூனா" எஸ்டிகே அப்டேட் 1.3.2 ஏ -யில் இந்த பிழைத்திருத்தம் ஏற்கனவே வெளியிடப்பட்டுள்ளது, மேலும் ரியல் டெக் "ஜங்கிள்" எஸ்டிகே இணைப்புகளும் வெளியீட்டிற்கு தயாராகி வருகின்றன. Realtek SDK 2.x க்கான திருத்தங்கள் எதுவும் திட்டமிடப்படவில்லை, ஏனெனில் இந்த கிளையின் பராமரிப்பு ஏற்கனவே நிறுத்தப்பட்டுள்ளது. அனைத்து பாதிப்புகளுக்கும் செயல்பாட்டு சுரண்டல் முன்மாதிரிகள் வழங்கப்பட்டுள்ளன, அவை சாதனத்தில் தங்கள் குறியீட்டை இயக்க அனுமதிக்கிறது.
கூடுதலாக, UDPServer செயல்பாட்டில் மேலும் பல பாதிப்புகள் அடையாளம் காணப்படுகிறது. அது முடிந்தவுடன், பிரச்சனைகளில் ஒன்று ஏற்கனவே 2015 இல் மற்ற ஆராய்ச்சியாளர்களால் கண்டுபிடிக்கப்பட்டது, ஆனால் அது முழுமையாக சரி செய்யப்படவில்லை. கணினி () செயல்பாட்டிற்கு அனுப்பப்பட்ட வாதங்களின் சரியான சரிபார்ப்பு இல்லாததால் சிக்கல் ஏற்படுகிறது மற்றும் 'orf போன்ற ஒரு வரியை அனுப்புவதன் மூலம் சுரண்டப்படலாம்; ls 'நெட்வொர்க் போர்ட் 9034 க்கு.
மூல: https://www.iot-inspector.com