NVD-CVE-2024-54143
CVE-2024-54143Detalle
Esta vulnerabilidad se encuentra actualmente en espera de análisis.
Descripción
openwrt/asu es un servidor de imágenes bajo demanda para distribuciones basadas en OpenWrt. El mecanismo de hash de solicitud trunca los hashes SHA-256 a solo 12 caracteres. Esto reduce significativamente la entropía, lo que hace factible que un atacante genere colisiones. Al explotar esto, se puede servir una imagen maliciosa creada previamente en lugar de una legítima, lo que permite al atacante «envenenar» el caché de artefactos y entregar imágenes comprometidas a usuarios desprevenidos. Esto se puede combinar con otros ataques, como la inyección de comandos en Imagebuilder que permite a usuarios malintencionados inyectar comandos arbitrarios en el proceso de compilación, lo que da como resultado la producción de imágenes de firmware maliciosas firmadas con la clave de compilación legítima. Esto ha sido parcheado con 920c8a1.
Métrica
Los esfuerzos de enriquecimiento de NVD hacen referencia a información disponible públicamente para asociar cadenas de vectores. También se muestra información CVSS aportada por otras fuentes.
Referencias a avisos, soluciones y herramientas
Al seleccionar estos enlaces, abandonará el espacio web del NIST. Hemos proporcionado estos enlaces a otros sitios web porque pueden tener información que podría ser de su interés. No se deben sacar inferencias sobre si se hace referencia o no a otros sitios desde esta página. Es posible que existan otros sitios web que sean más apropiados para su propósito. El NIST no respalda necesariamente las opiniones expresadas ni está de acuerdo con los hechos presentados en estos sitios. Además, el NIST no respalda ningún producto comercial que pueda mencionarse en estos sitios. Por favor dirija sus comentarios sobre esta página a nvd@nist.gov.
Enumeración de debilidades
| CWE-ID | Nombre CWE | Fuente |
|---|---|---|
|
CWE-328 |
Uso de hash débil |
GitHub, Inc. |
Historial de cambios
1 registros de cambios encontrados mostrar cambios
Nuevo CVE recibido de GitHub, Inc. 06/12/2024 12:15:12
| Acción | Tipo | Valor antiguo | Nuevo valor |
|---|---|---|---|
| Agregado | Descripción |
|
Registro truncado, mostrando 500 de 749 caracteres. Ver todo el registro de cambios openwrt/asu is an image on demand server for OpenWrt based distributions. The request hashing mechanism truncates SHA-256 hashes to only 12 characters. This significantly reduces entropy, making it feasible for an attacker to generate collisions. By exploiting this, a previously built malicious image can be served in place of a legitimate one, allowing the attacker to "poison" the artifact cache and deliver compromised images to unsuspecting users. This can be combined with other attacks, such a
|
| Agregado | CVSS V4.0 |
|
AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
|
| Agregado | CWE |
|
CWE-328
|
| Agregado | Referencia |
|
https://github.com/openwrt/asu/commit/920c8a13d97b4d4095f0d939cf0aaae777e0f87e
|
| Agregado | Referencia |
|
https://github.com/openwrt/asu/security/advisories/GHSA-r3gq-96h6-3v7q
|
Información rápida
Entrada del diccionario CVE:
CVE-2024-54143
Fecha de publicación de NVD:
06/12/2024
NVD Última modificación:
06/12/2024
Fuente:
GitHub, Inc.