CVE-2020-7982

Versões do OpenWrt 18.06.0 a 18.06.6

Versão 19.07.0 do OpenWrt

Versões do LEDE 17.01.0 a 17.01.7

Um bug no fork do gerenciador de pacotes opkg impede a análise correta das somas de verificação incorporadas no índice do repositório assinado, permitindo que um invasor do tipo man-in-the-middle injete cargas de pacotes arbitrárias, que são instaladas sem verificação. Este problema está relacionado a uma falha no código que verifica as somas de verificação SHA-256 presentes no índice de assinatura digital dos pacotes, permitindo que um invasor crie condições nas quais essas somas de verificação sejam ignoradas, contornando assim os mecanismos de verificação de integridade dos recursos ipk baixados.

Para as versões 18.06.0 a 18.06.6 do OpenWrt, atualize para a versão 18.06.7.

Para a versão 19.07.0 do OpenWrt, atualize para a versão 19.07.1.

Para as versões 17.01.0 a 17.01.7 do LEDE, não há correção específica disponível; considere atualizar para uma versão mais recente do OpenWrt.

Como solução temporária, considere desativar o uso do gerenciador de pacotes opkg até que um patch esteja disponível.

Restrinja o acesso ao repositório de pacotes para minimizar o risco de exploração.