+
Ο φορητός SDK για τη βιβλιοθήκη UPnP συσκευές libupnp περιέχει πολλαπλές ευπάθειες υπερχείλισης buffer. Οι συσκευές που χρησιμοποιούν libupnp μπορεί επίσης να δεχθεί ερωτήματα UPnP μέσω της διασύνδεσης WAN. Ως εκ τούτου, εκθέτοντας τα τρωτά σημεία στο διαδίκτυο. Περιγραφή Universal Plug and Play (UPnP) είναι ένα σύνολο πρωτοκόλλων δικτύου σχεδιαστεί για να υποστηρίξει την αυτόματη ανακάλυψη και τη διαμόρφωση των υπηρεσιών. Ο φορητός SDK για συσκευές UPnP (libupnp) είναι ένα έργο ανοικτού πηγαίου κώδικα που έχει τις ρίζες του στο SDK Linux για συσκευές UPnP και λογισμικού της Intel (Intel Εργαλεία για UPnP Τεχνολογίες και αργότερα Εργαλεία για προγραμματιστές για UPnP Technologies). Η Intel υποστηρίζει πλέον ή υποστηρίζει αυτά τα εργαλεία. Πολλοί διαφορετικοί προμηθευτές παράγουν UPnP-enabled συσκευές που χρησιμοποιούν libupnp. Ως μέρος ενός μεγάλου ερευνητικού προγράμματος ασφάλειας κλίμακα, Rapid7 διερευνηθεί internet-συνδεδεμένων συσκευών UPnP και διαπίστωσε, μεταξύ άλλων θεμάτων ασφάλειας, πολλαπλές ευπάθειες υπερχείλισης buffer στην υλοποίηση libupnp του Simple Service Discovery πρωτόκολλο (SSDP). Rapid7 έκθεση συνοψίζει αυτές τις ευπάθειες: Φορητό SDK για συσκευές UPnP unique_service_name () υπερχειλίσεις Η libupnp βιβλιοθήκη είναι ευπαθές σε πολλαπλές στοίβα με βάση το ρυθμιστικό υπερχειλίσεις κατά το χειρισμό κακόβουλο αιτήματα SSDP. Αυτή η βιβλιοθήκη χρησιμοποιείται από δεκάδες εκατομμύρια αναπτυχθεί συσκευές δικτύου, εκ των οποίων περίπου είκοσι εκατομμύρια εκτίθενται άμεσα στο διαδίκτυο. Εκτός από τις συσκευές του δικτύου, πολλές ροής πολυμέσων και εφαρμογές διαμοιρασμού αρχείων είναι επίσης εκτεθειμένοι σε επιθέσεις μέσω αυτής της βιβλιοθήκης. Η συμβουλευτική αυτή δεν εξετάζει το ιστορικό ή την τρέχουσα τρωτά σημεία του HTTP και SOAP κωδικός επεξεργασία libupnp. Οι επηρεαζόμενες εκδόσεις Οι εκδόσεις 1.2 (Intel SDK) και 1.2.1a - 1.8.0 (Portable SDK) επηρεάζονται από τουλάχιστον τρία απομακρυσμένα εκμεταλλεύσιμο υπερχειλίσεις μνήμης στη λειτουργία unique_service_name (), η οποία καλείται να επεξεργαστεί τα εισερχόμενα αιτήματα SSDP στη θύρα UDP 1900. Επιπλέον, εκδόσεις πριν από την 1.6.17 είναι ευάλωτες στις πρόσθετων θεμάτων στην ίδια λειτουργία. Δείτε το Παράρτημα A για επανεξέταση των ευάλωτων κώδικα έκδοση. Επηρεάζονται Προμηθευτές Εκατοντάδες πωλητές έχουν χρησιμοποιήσει το libupnp βιβλιοθήκη στα προϊόντα τους, πολλά από τα οποία δρουν ως δρομολογητές σπίτι για δίκτυα καταναλωτών. Κάθε αίτηση σύνδεσης στο libupnp είναι πιθανό να επηρεαστεί και ένας κατάλογος των επιβεβαιωμένων προμηθευτές και τα προϊόντα παρέχεται στο Παράρτημα Β Πρόσθετες λεπτομέρειες μπορούν να βρεθούν σε ένα χαρτί και συμβουλευτικών Rapid7.
masinformacionaquiargentinap.blogspot.com
No comments:
Post a Comment