KF

Я просто это оставлю здесь )))

"В процессе изучения содержимого прошивки маршрутизатора D-Link DIR-100 один из исследователей безопасности выявил наличие скрытого входа, позволяющего получить доступ с правами администратора без ввода пароля, передав при обращении к web-интерфейсу специальную строку идентификации браузера (User-Agent: "xmlset_roodkcableoj28840ybtide"). Более того, в реализации web-интерфейса из состава прошивки была выявлена уязвимость, позволяющая не только войти в web-интерфейс, но и выполнить произвольные команды в системе (прошивки D-Link основаны на Linux).

Изучение прошивок для других устройств показало, что проблема скорее всего также затрагивает модели D-Link DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240, DIR-615 и построенные на той же платформе маршрутизаторы Planex BRL-04UR и BRL-04CW. Дальнейший разбор показал, что бэкдор используется системной утилитой /bin/xmlsetc для автоматического изменения некоторых параметров через web-интерфейс, например, в процессе переконфигурации динамического DNS.
" http://www.opennet.ru/opennews/art.shtml?num=38196

"Крейг Хеффнер (Craig Heffner), на днях выявивший наличие инженерного входа в некоторые маршрутизаторы D-Link, опубликовал новые сведения о наличии бэкдора в беспроводных маршрутизаторах Tenda и Medialink, выявленных после анализа содержимого прошивки. Бэкдор интегрирован в процесс httpd, основанный на коде http-сервера GoAhead, и даёт возможность выполнить любой код путём отправки специально оформленного UDP-пакета на порт 7329.

Активирующий бэкдор пакет начинается с ключевого слова w302r_mfg, после которого можно указать любую команду, которая будет выполнена на устройстве с правами суперпользователя. В частности, можно запустить демон с сервисом telnet и получить доступ к shell без пароля. Запросы на UDP-порт 7329 не принимаются с WAN-интерфейса, т.е. совершение атаки возможно только из локальной или беспроводной сети. Бэкдор присутствует в нескольких десятках моделей беспроводных маршрутизаторов, выпускаемых под брендами Tenda и Medialink." http://www.opennet.ru/opennews/art.shtml?num=38208

Ну и так...до кучи ))) Случайно наткнулся, сканя сетки местных провайдырей )))

(http://s2.ipicture.ru/uploads/20131027/p5UCSTUS.jpg) (http://s2.ipicture.ru/Gallery/Viewfull/32825333.html)

Вообще же, сканя местные сетки попадаешь в страну непуганых идиотов )))

Цом, этой новости уже месяц. Все эти зюки Дэлинка мне известны. Ну решили ребята сделать инженерный вход в устройство, кто им мешает?

)))

Я так думаю никто им не мешает, да ))) Колхоз, хуле )))

Мне вот интересно, где блять миллионы дизей 6 лет были ? С святым ЧМО СПО )))

Ну, во-первых, мои слова в цитатах не переиначивай, во-вторых, носки постирай, а в-третьих, что сказать-то хотел?

Хы-хы!!! Название темы прочитай ))) И сорцы своих поделий проинспектируй на сон грядущий ))) Неровён час твои хоумвидео, с жемчужины, на телевизоре площади с монументом выложат )))

Ну и помолись штоле, жопаэли с козлиной мордой ))) А то всё в бубен колотишь )))

(http://s1.ipicture.ru/uploads/20131027/gW2TVSlj.jpg) (http://s1.ipicture.ru/Gallery/Viewfull/32838942.html)

Т.е. огромная дырень в защите, которая предоставляет любому желающему доступ, Дисю никак не волнует? Понятно.

Хы-хы!!!


Полный пиздетс !!! И эти ипанутые тут что то про священый ёпенсорц с миллионами дизей с открытыми сорцами трямкали ))) Красавцы!!! )))

Цом, тебя возмущает, что Линуксовые системы можно запрограммировать на инженерный вход? Поверь, это нормальная фича. Вопрос только в том, как ей распорядится программист, программирующий систему. Но это вопросы не к системе, а к программисту.

А тебя судьба негров в Африке не волнует? Вот так же и меня... Это их проблемы.

Какой-то гнилой отмаз, Дися. Эти роутеры - они не в африке стоят, а у вполне себе доступных юзеров.
Возможно, даже у тех, кем занимаешься ты. Рассказы про Африку - это или от дурости, или от не желания признать очевидное.

Признать очевидное что? Что меня мало заботят проблемы юзеров, купивших себе Дэлинки? Они мне братья или сёстры,что-ли? Очевидным является то, что эти проблемы от меня так же далеки, как проблемы негров в Африке. Каждый должен жить своими мозгами.
Проблемы юзеров, не умеющих настраивать свою технику и держащих её открытой в сети? Тоже как до негров в Африке. Вон Цом нашёл в сети видеорегистратор, в котором настройщик даже пароль админской учётки не изменил (admin-admin там по умолчанию и 888888-888888), и радуется. Теперь он может, например, отключить запись видеокамер, что бы побезобразничать перед ними и это не было сохранено. Это тоже меня должно волновать? Нет уж, пусть об этом волнуются негры в Африке.

вот вас не берёт то

Цом, ты лучше графики вспышек солнечных выложи

Он сам такой график. Видишь, как вспыхнул? Хрен потушишь.

http://habrahabr.ru/post/199294/

Не ты ли тут осанны пел с поклонами по пояс, святому ёпенсорцу, и всё про бизапасность хуйню нёс, забывая в порыве расовой верности про бревнища в глазу ? ))) Смешной ты Дизя, как и твоё колхозное стадо, ололокающее на каждом углу тырнета про святые сорцы и паганую винду, с "закладками", глупых хомячков, не знающих dd, которая им и на хуй не нужна  )))  А когда тебе, пенгванутому на всю голову, задают вопрос, почему ты, сцуко, вместе с своим колхозным саопчеством, весь такой правильный и писдатый, тыкающий всем в нос священными сорцами , на которых сделано это уёбище дэлинк, то ты как последний идиот несёшь пургу про негров )))

Ну не пенгванутый ле? )))

Да тебе просто цены нет !!! И ведь времени потратил немало, чтобы про модельку регистратора почитать ))) А сорцы то, сорцы??? )))

Дурак ты, Цом. С RVi оборудованием я очень даже плотно работаю, так что дополнительного времени не надо было.
Сходи к врачу, сделай укол от бешенства, а то укусы от ДэЛинка они такие, заразить могут.

Ну тем более значит просветилсо ))) А сорцы то, сорцы священные ???!!! ))) Ведь опять кто нибудь реверснёт воё поделиё (заметь реверснёт, но не будет читать вашу тухлятину, которой колхозное садо в морду тычет) и будут твои хоумвидео в свободном доступе )))

Там написано, что был сделан реверс? Что-то я этого не заметил. Сказано было, что "В процессе изучения содержимого прошивки", и не сказано, что изучал он бинарник. Да и глупо предположить, что кто-то будет заморачиваться с реверс-инжинирингом, если исходники в наличии. Это только предположение твоего воспалённого разума обострённого очередной солнечной вспышкой.

Какова была мотивировка программистов, писавших функции "инженерного входа"? Тоже хрен их знает. От банального распи--йсва и желания облегчить себе жизнь, до заказа со стороны АНБ.

Только всё это, Цом, реализация конкретной возможности, на конкретной платформе.

У меня, вон, ФТП-шник с открытым доступом в сети торчит, на нестандартном порту только - это что, тоже дыра в безопасности всего опенсорса? Нет, просто мне так понадобилось. А если этот ФТП-шник не на опене?

Так что туши вспышку на солнце.

Да ты тупее, чем я думал ))) Шписиалист ёпенсорца ))) Даже школота умеет по сцылкам переходить )))

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Да быть этого не может!!! ))) Святой ёпенсорц он же бизапасный, а тот кто в коншольке, тот ниипацца шписиалист )))

Может просто у меня не так много времени всякую херню отслеживать, чем у тебя? Назначаю тебя своим личным информатором.

Можешь звать меня просто и ласково - Хозяин )))

Тогда уж Хозяйко...

Не перестаю удивляться глубине познаний, чес слово :)
Сам бы хоть гуглом перевел да почитал по ссылке чтоли, секурити-аналитег из чулана :)
Там в прошивке измененный thttpd, а оригинальный под BSD-like license, если чо.
Квест тебе до выходных - добыть исходники изменений :), а мы поржём :)
Жги есчо короче :)

Цыц! наш маленький четвероногий друк ))) Ты бы тогда уж и посмотрел даты ))) Как же вы, оба два, с миллионами других красных глаз, несколько лет подобное петросянство святага ёпенсорца не уследили ? ))) А паганый дэлинк на тойже базе забульбенил вам, нашим маленьким четвероногим друзьям, ещё несколько девайсов )))

Вперёд нах, проверять, пенгванутое племя !!! А не петросянить на углах тырнета про ниипическую силу святага иёпенсорца ))) Правда петросянить и обсираться прилюдно у вас больше и лучше выходит )))

еще раз для аналитегов: где исходники?
времени тебе до выходных - а там и будет ясно кто тут главный петросян
или уж сразу признавайся, что слил

Цом, ой, извиняюсь, Хозяйко... А давай забубеним маршрутизатор на Винде, без инженерных входов, дыр и глюков. Исходники после этого уничтожим, а его будем продавать. Коммерческий успех гарантирован. И пользователю удобнее, как-никак привычный интерфейс и всё такое...

Ааа, красноглазенький ты наш ))) Так значит паганая D-Link обула  и зачморила бедное и швабодное саопчество, опустив их ниже плинтуса? ))) А полудурок Штульман, обязаный защищать их права со своей артелью "Напрасный труд" FSF и своей жопаэлью и козлиной мордой GNU тупо соссал связываться? ))) Стало быть, кто пишет под этой филькиной грамотой, изображающую лицензию, просто  дебилы? )))  И на деле никто их права не защитит и тем более бабла не даст ? )))

Собственно вам, идиотам от саопчиства, тогда уже и нечего обижаться, что вас зовут колхозным стадом ))) И это ...))) Исходники на поделия дэлинка ищи на ихнем сцайте, dir100 там правда нет, ибо давно снят с производства С ДЫРАМИ, хуле пенгванутым пох было 6 лет!!!!, зато на другие найдёшь ))) Мне они и нах не нужны  ;) Это вам, на ёпенсорц дрочащим, нужны, на ночь почитать )))

И еще раз для дебилов:  thttpd - под BSD-like

Кстати вот еще тебе квест до конца недели - нагуглить отличие BSD от GPL. А если тут вкратце расскажешь чо нагуглил, вобще будем безмерно благодарны :)

Фрося ))) Да соси ты свою жопаэль в рогатую козлиную морду ))) На здоровье !!! ))) Только вот даже твоя BSD это:

«Новая» лицензия BSD
Автор   
Регенты Калифорнийского университета
Издатель   
Общественное достояние
Опубликована   
1983[1]
Совместима с DFSG   
Да
Свободное программное обеспечение   
Да
Одобрена OSI   
Да
Совместима с GPL   
Да
Копилефт   
Нет
Позволяет коду под другой лицензией линковаться (http://ru.wikipedia.org/wiki/%D0%9B%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%8F_BSD)

И идите на куй мелкими шажками ))) С своим святым и дебиловатым ёпенсорцем с козлиной мордой в обнимку )))

молодец, похвально, очень оперативно :)
не зря мы в тебя верили :)
сути ты не уловил как обычно, ну да ладно. тебе простительно

Ёпть, как же я ошибался!!!  Дэлинки же встроили паганую проприентарщину ))) Ну и соответственно швабодный ёпенсорц, с миллионами глаз, с донатами за доширак, вычислил сие безобразие ))) Да! Спустя несколько лет...из прошивки))) Святой ёпенсорц жэ непогрешим, с священными сорцами, как сучка в период течки )))

Вот честно - красноглазики-Люнпусоиди совсем долбанулись со своими лицензиями. Один альтернативно одаренный чуть чуть изменил текст стандартной лицензии, поменяв "The freedom to run the program for any purpose." на "The Software shall be used for Good, not Evil." из за чего из дистрибутива PHP пришлось удалять написанный этим альтернативно-одаренным расширение PHP-JSON и в результате обновления систем до PHP 5.5 весь функционал, заточенный на использование PHO-JSON перестаёт работать ( http://habrahabr.ru/post/198312/ ). Это даже не война остроконечников и тупоконечников, это просто говно в мозгах какое то, извините.

Так халява же - она всегда Just for Fun. И никто, сука, никому ничо не должен :). Это надо постоянно помнить, когда с ней работаешь.
Или покрывай тестами или запасайся валидолом/вазелином :)

Покрывай тестами - это понятно, тут ноу куэшшнз. ТДД наше всё.

Стесняюсь спросить,кто такой,этот Джаст?

Это значит что разработчики СПО делают это в основном не денег для а исключительно суходрочки ради. И результат зачастую соответствует.

А Jast - это кто?

Jast Just for Fun

Какая милая у него фамилия, Фофан.

Joint Advanced Strike Technology

Цом под столом танцует гопака!!! Взломана вебка (http://www.opennet.ru/opennews/art.shtml?num=38323) ещё одного школярного дистрибутива Линукса, коих over 100500.

Цом, запасайся орешками, чипсами, сеном или чего ты там потребляешь с пивом. Объявлена патентная война. (http://lenta.ru/news/2013/11/01/rockstar/)

Дизя ))) Тып компильнул, штоле, чо нибудь ))) Да священые сорцы от дэлинка почетал, на сон грядущий ))) Всё бы, от тебя, светоча святага ёпенсорца здесь, польза была )))