Hallo zusammen,
heute wurde in diesem Blogbeitrag eine Sicherheitslücke im opkg Paketmanager beschrieben, welche es einem Angreifer ermöglicht unsignierten Code bei Installation eines Paketes auszuführen.
Die dort beschriebene Sicherheitslücke betrifft nur opkg. Der Autoupdater ist hiervon nicht betroffen.
In unserer Firmware ist dieser Bug mit der Version 2.0.0 und höher geschlossen.
Die Sicherheitslücke kann nur ausgenutzt werden, wenn du via opkg ein Paket installierst. Im normalen Betrieb ohne Interaktion des Betreibers auf der shell mit opkg kann die Lücke nicht ausgenutzt werden.
Geräte mit 4MB Flash, welche kein Update auf 2.0.0 erhalten haben sind von dieser Lücke nicht betroffen, da der Paketmanager opkg aufgrund des geringen Flash Speichers nicht in der Firmware erhalten ist.