Portál AbcLinuxu, 10. května 2025 23:27

Bezpečnostní chyby v nástroji fwupd pro aktualizaci firmwarů

Justin Steven zveřejnil informace o dvou bezpečnostních chybách v nástroji fwupd pro aktualizaci firmwarů zařízení na počítačích s Linuxem. Útočník je mohl zneužít k distribuci firmwarů s malwarem. Verze fwupd 0.7.3 až 1.0.5 stahují firmware z s3.amazonaws.com/lvfsbucket. Verze 1.0.6 a novější z cdn.fwupd.org. První chybou bylo, že v listopadu 2019 byl nepotřebný lvfsbucket z Amazonu S3 smazán a kdokoli si jej mohl zaregistrovat. Justin Steven to udělal a v průběhu 26 dnů zaznamenal 2,5 milionu požadavků na lvfsbucket z 500 tisíc unikátních adres. Druhou chybou byla chyba CVE-2020-10759 přímo v fwupd při ověřování digitálního podpisu. Digitální podpis nebyl potřeba.

11.6.2020 07:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.