【TechWeb】12月10日音书，近日，开源路由系统OpenWrt被收集安全参议东谈主员揭露存在一个严重的安全罅隙，该罅隙被分派了CVE-2024-54143编号，并取得了9.3/10的高风险评级（CVSS4.0）。

参议东谈主员RyotaK在为自家路由器进行老例升级时发现了这个罅隙，它触及到号召注入和哈希截断的问题。OpenWrt的Attended Sysupgrade劳动允许用户定制固件映像，但该劳动的劳动器代码中存在不安全的make号召使用，导致了输入机制的漏洞，使得攻击者不错通过软件包称号施行苟且号召。

此外，该劳动使用的SHA-256哈希仅限于12个字符的缓存，相称于48位哈希，这使得暴力破解成为可能。攻击者不错运用Hashcat用具在RTX 4090显卡上修改固件，向用户提供坏心版块。

OpenWrt阵势组在接到通报后赶紧活动，仅在数小时内就完成了罅隙成就，并关闭了升级劳动器以驻扎进一步的安全胁迫。成就责任于2024年12月4日完成，并规复了升级劳动器的运转。

尽管OpenWrt团队暗示，当今莫得凭证标明有东谈主运用了该罅隙，且映像被破损的可能性极低，但用户仍被漠视下载壮盛成的映像以替换可能存在风险的旧映像。此外，关于使用第三方诱骗者提供的编译版块的用户，需要善良第三方诱骗者的更新动态，以便实时获取成就后的固件。

OpenWrt团队强调，尽管日记纪录仅限于畴昔7天，但为了安全起见世博体育app下载，用户应当施行马飞腾级替换，以排斥潜在的安全风险。