Kritische Sicherheitslücke in Router-Firmware

Korrigierte DD-WRT-Version bereits erschienen

In der freien Router-Firmware DD-WRT v24-SP1 ist eine Sicherheitslücke, durch die Angreifer Programme mit Root-Rechten auf dem Router ausführen können. Der Fehler sitzt in DD-WRTs Webserver.

Artikel veröffentlicht am , Julius Stiebert

DD-WRT ist eine alternative Firmware für Router von Linksys, D-Link und anderen Firmen, die sich viele Nutzer installieren, um mehr Funktionen zu erhalten, als die Standardfirmware bietet. Durch eine fehlende Metazeichenbehandlung im Webserver von DD-WRT lässt sich so ein Kommando an den Router übergeben. Das soll schon über einen manipulierten IMG-Tag in Foren möglich sein und ausreichen, um ein Programm mit Root-Rechten auf dem Router zu starten. Eine Anmeldung auf dem Webserver ist dafür nicht nötig.

Behoben sein soll der Fehler bereits in DD-WRT v24-preSP2, die über das Projektforum heruntergeladen werden kann. Dort finden sich auch weitere Informationen zu dem Problem.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Schnarchnase 23. Jul 2009

Es entstand nicht nur als solches, es ist immer noch ein Webfrontend für OpenWRT, nicht...

hmmm 23. Jul 2009

also ich bin kein kenner der materie aber kozeptionell schein openwrt (kamikazze) einfach...

wkjdfhskdf 23. Jul 2009

The exploit can also be stopped, using a firewall rule: Go to your router's admin...



Aktuell auf der Startseite von Golem.de
Energiewende
Akkupreise steigen wegen zu hohen Rohstoffkosten

Die Party ist vorbei. Statt billiger, sollen Akkus durch neue Rekorde beim Lithiumpreis und anderen Rohstoffen im Jahr 2022 sogar teurer werden.
Eine Analyse von Frank Wunderlich-Pfeiffer

Energiewende: Akkupreise steigen wegen zu hohen Rohstoffkosten
Artikel
  1. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  2. Gaming-Monitore bei Amazon bis zu 330 Euro reduziert
     
    Gaming-Monitore bei Amazon bis zu 330 Euro reduziert

    Der November und der Black Friday sind vorbei. Doch schon die nächsten Angebote stehen vor der Tür: die Last-Minute-Angebote bei Amazon.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
    Razer Zephyr im Test
    Gesichtsmaske mit Stil bringt nicht viel

    Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /