先前有捧油问梅林版是否受影响,昨天梅林更新380.66才写进
CVE-2017-5891, CVE-2017-5892, CVE-2017-6547
而CVE-2017-6548, CVE-2017-6549看纪录是在380.65_2 (10-Mar-2017)就已补上
应该很多人和我一样拿到机器第一件事就是刷梅林,请记得更新哦。
https://asuswrt.lostrealm.ca/changelog
380.66 (12-May-2017)
- NEW: Merged with GPL 380_7378
Notable changes:
* Port forwards can select a specific source IP
* Security fixes for CVE-2017-5891, CVE-2017-5892
and CVE-2017-6547
Note:
* If you are experiencing new wifi stability
issues, try disabling Airtime Fairness on
the Wireless -> Professional page (on all
bands).
※ 引述《hn9480412 (ilinker)》之铭言:
: https://goo.gl/dI7iCd
: 这个大约上个月就已经提供下载更新
: 目前统计出来的产品都是RT开头的网通产品。若不计同样型号的衍生产品有40种
: 这几个路由器存在下列安全性漏洞
: CVE-2017-5891 - ASUSWRT管理接口没有跨站请求伪造(CSRF)保护,导致远端攻击者可以
: 透过此手法进行攻击并取得路由器最高权限
: CVE-2017-5892 - 与上述漏洞类似,但这个是透过JSONP进行攻击。并会泄漏
: 外部IP、WebDAV数据等机密资讯
: CVE-2017-6547
: CVE-2017-6548
: CVE-2017-6549
: 如果在管理页面网址输入超过50个字就会触发此漏洞。远端攻击者可以使用跨网站指令码
: (XSS)执行JavaScript进行攻击
: 同时还有修正了一个XML函数漏洞
: 受影响产品清单
: RT-AC51U
: RT-AC52U B1
: RT-AC53
: RT-AC53U
: RT-AC55U
: RT-AC56R
: RT-AC56S
: RT-AC56U
: RT-AC66U
: RT-AC68U
: RT-AC68UF
: RT-AC66R
: RT-AC66U
: RT-AC66W
: RT-AC68W
: RT-AC68P
: RT-AC68R
: RT-AC68U
: RT-AC87R
: RT-AC87U
: RT-AC88U
: RT-AC1200
: RT-AC1750
: RT-AC1900P
: RT-AC3100
: RT-AC3200
: RT-AC5300
: RT-N11P
: RT-N12 (D1 version only)
: RT-N12+
: RT-N12E
: RT-N16
: RT-N18U
: RT-N56U
: RT-N66R
: RT-N66U (B1 version only)
: RT-N66W
: RT-N300
: RT-N600
: RT-4G-AC55U – [目前无韧体可更新]
: 如果有使用上述产品以及衍生型号,EX:RT-AC66U_B1(RT-AC66U+)的请从路由器设定或是
: 从官网下载v3.0.0.4.380.7378版本韧体
: 如果已经安装的韧体版本是v3.0.0.4.380.7378或是以上的话就代表没有问题