Dziurawy Livebox tp

W oprogramowaniu LiveBoksa (jednego z urządzeń dostępowych oferowanych w ramach usługi Neostrada Telekomunikacji Polskiej) wykryto błąd, który może posłużyć do przeprowadzenia ataku DoS - donosi CERT Polska.

Specjaliści z CERT-u poinformowali, że luka znaleziona dostała w standardowo zainstalowanej w Liveboksie aplikacji Galaxy FTP Server (wersja 1.0 - patrz też "Livebox tp zabezpieczony"). Znajduje się ona w funkcji odpowiedzialnej za przetwarzanie danych wprowadzanych przez użytkownika i pozwala na wywołanie błędu przepełnienia bufora i przeprowadzanie ataku Denial of Service (jego efektem może być zawieszenie urządzenia). Niewykluczone, że luka umożliwia także zdalne uruchomienie złośliwego kodu.

Na szczęście niebezpieczeństwo jest ograniczone, ponieważ taki atak może zostać przeprowadzony jedynie z lokalnej sieci. Na razie nie ma dostępnej aktualizacji rozwiązującej problem - w związku z tym CERT zaleca skonfigurowanie urządzenia tak, by nie było możliwe zarządzanie nim spoza sieci LAN oraz włączenie w sieci bezprzewodowej standardu WPA lub WPA2.

Więcej informacji: CERT Polska.


Zobacz również