D

В некоторых моделях беспроводных маршрутизаторов D-Link выявлен бэкдор (CVE-2024-6045), позволяющий неаутентифицированному пользователю из локальной сети активировать на устройстве сервис telnet, предоставляющий доступ к системе с правами администратора, используя логин и пароль, сохранённые в прошивке. Сервис включается через обращение к устройству по специальному URL, доступному без прохождения аутентификации. Пароль можно определить через анализ содержимого общедоступных прошивок. Предполагается, что бэкдор использовался для автоматизации тестирования устройств на этапе производства. https://www.opennet.ru/opennews/art.shtml?num=61381

В сетевых хранилищах D-Link выявлена проблема с безопасностью (CVE-2024-3273), позволяющая выполнить любые команды на устройстве, воспользовавшись предопределённой в прошивке учётной записью. Проблеме подвержены некоторые модели NAS производства D-Link, среди которых DNS-340L, DNS-320L, DNS-327L и DNS-325. https://www.opennet.ru/opennews/art.shtml?num=60954

Ассоциация K-D Lab открыла исходный код игрового движка qdEngine, предназначенного для создания квестов. Весь код, за исключением сторонних библиотек, опубликован под лицензией GPLv3. Движок поддерживает платформу Windows 10 и может быть протестирован с ресурсами из игры “Похождения бравого солдата Швейка”. https://www.opennet.ru/opennews/art.shtml?num=60752

В коммутаторах и межсетевых экранах Juniper серий EX и SRX, оснащённых операционной системой JunOS, выявлена критическая уязвимость (CVE-2024-21591), позволяющая удалённо вызвать переполнение буфера в доступном без прохождения аутентификации обработчике web-интерфейса J-Web и добиться выполнения своего кода с правами root на устройстве. https://www.opennet.ru/opennews/art.shtml?num=60438

Несколько опасных уязвимостей в сетевых устройствах, позволяющих выполнить свой код или получить управляющий доступ без прохождения аутентификации. https://www.opennet.ru/opennews/art.shtml?num=59773