В развиваемом проектом OpenWrt инструментарии ASU (Attended SysUpgrade) выявлены критические уязвимости (CVE-2024-54143), позволяющие скомпрометировать сборочные артефакты, распространяемые через сервис sysupgrade.openwrt.org или сторонние ASU-серверы, и добиться установки модифицированных злоумышленником образов прошивок на системы...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62371
кто нибудь посоветуйте m2 wifi 5,6,7 что бы из коробки сразу работал на opewrt... а то две карты купил а они не подошли(
Под какое железо искал то? Это ж не программная проблема. А вообще тут писали статью о Banana Pi OpenWRT ONE, можно статьи поискать: https://docs.banana-pi.org/en/OpenWRT-One/BananaPi_OpenWRT-One
Впрочем оговорюсь - возможно что проблема то и программная, если вы удостоверились что ваш тип M2 поддерживается. Тогда вам нужно всего-то установить драйвера, если их нет и все настроить. Но судя по вопросу, я лично подумал что вопрос в аппаратной части.
https://github.com/morrownr/USB-WiFi/blob/main/home/PCIe_WiF...
Смотреть то что Linux In-Kernel Driver & AP Mode
У что OpenWRT HCL не ведет?
m2 бывает USB и PCI, вы заранее уточните что ваш хост умеет.
Я себе брал AsiaRF AW7916-NPD (mini PCI) к x86 мини компьютеру, но у них были опции на m2.
Меня ждало разочарование т.к. частота 6ghz не работает.Видел много тем на форумах banana pi со сборкой 6e роутеров на базе адаптеров AsiaRF.
Wifi7 нет поддержки в owrt совсем никакой. Даже если карта поддерживает и есть драйвер 7 не заработает.
Почитал гайды по сборке и установке этого нечто и пришёл к выводу, что проще взять нормальную железку и поставить туда alpine.
Надо dd-wrt
Удачи тебе взгромоздить alpine на циску или джунипер, если уж мы про нормальное сетевое железо говорим, а не про очередной нескучный китайский хлам на rk3568 или что там сейчас модно?
А на какие реально железки циски openwrt можно?
3064pq, asr1001?https://openwrt.org/toh/hwdata/cisco/start
https://openwrt.org/toh/start
Список настолько скуден, что даже смешно
Нет бы занять нижу EOL железок, отбоя бы не было
Ксо-жалению у большинства цисок железо настолько in-house и проприетарное, что стороннему разработчику просто нереально в адекватные сроки что-либо реверсировать.
Смысл сабжа только для китайцев которые на его основе клепают готовые вэбморды. В профессиональном сегменте никто не будет использоваться openwrt (мы не говорим про локалxoсты и каптёрки в конторе рога & копыта), на худой конец возьмут микротик.
Ну не скажите
есть кучу железок за дофига деняк, которые eol и с уязвимостями
А микротики не живут под нагрузкой, от слова совсем, даже официальные цифры на топах у них это слезы, а их на полтора делить нужно
Нареканий с BGP тоже хватает
ну и незабывайте что Mikrotik это недружественные люди пишут и лицензируют
Мне досталось несколько checkpoint u-5, у которых уже не было лицензии и обновлений. Благо там х86 железо «под капотом». Накатил debian и железки зажили новой жизнью. Из плюсов - появилась возможность использовать гигабитный порт для аплинка, на стоковой ос gaia такой возможности не было. Безусловно ковыряние в терминале после удобной GUI больно, но терпимо.
> есть кучу железок за дофига деняк, которые eol и с уязвимостямиВидно сразу, что вы никогда не работали в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПО.
> это недружественные люди пишут и лицензируют
А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми.
> в крупной компании, где всё строго завязано на официальную техподдержку и официально сертифицированное ПОГде вы были? Как думаете, сколько Cisco устройств уже давно без поддержки в крупных российских компаниях сегодня? Они есть точно.
>А кто вам виноват, что вы хотите дружить с Никаpaгуа и KНДP, а не с нормальными стpaнами и людьми."Нормальные страны и люди" уже показали себя как грязь. Лучше с КНДР-вот надежные и благородные люди.
Если ты берешь нормальную железку, можно любой Linux катить. Alpine для экономии ресурсов железки ставят, но ты же сам сказал, что нормальную берешь.
А тот же OpenWrt, говорят, в LXC неплохо работает. Но если железка тянет VM-ки, можно рассмотреть Opensense.
> пользователям ASU рекомендуется на своих устройствах заменить прошивки OpenWrt на ту же версию.Вот это забавно звучит. Дописали бы: если вдруг заменятель прошивки у вас не забэкдорен и на самом деле что-то там заменяет, или копирует бэкдоры после прошивки в новую тоже.
>Уязвимость вызвана отсутствием должной проверки спецсимволов в именах пакетов перед их использованием в числе аргументов утилиты makeУж сколько раз твердили миру: make, как и любые скрипты через командную строку - это рак. Любая интеграция сборочных систем должна делаться переводом пакетов на нормальную сборочную систему, после чего вызова её через API. Если апстрим дебил - то да, придётся поддерживать свой патч. К счастью патчи апстрима наложение патча не попортят.
Все так, но переделать OpenWRT не представляется возможным. Там не просто autotools и make, там kconfig/kbuild для настройки и сборки всей ОС, не только ядра...
Всё очень даже возможно. Более того, нужно и в ядре линкс переделать. Вчера пытался собрать ядерный модуль с помощью связки ядерных мейкфайлов, ckati и ninja - нихрена хорошего не вышло. Вообще за использование make и присущих ему грязных хаков и говнокода гнать из профессии надо взашей. Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей. Это у меня несколько дней упорной работы заняло, где каждую строчку приходилось растаскивать по пяти присваиваниям, и каждое верифицировать на эквивалентность поведения. А для конструкций без эквивалента приходилось глубоко вникать и придумывать эквиваленты. Теперь это говно придётся рефакторить. К сожалению злые люди - владельцы lmarena решили прикрыть богадельню, и повесили вредоносное ПО reCAPTCHA (в коде также есть следы вредоносного ПО hCAPTCHA, но она пока не энфорсится, но рекатча тоже некоторое время не энфорсилась, и принимала ответы вроде "recaptcha_is_malware_stop_that" вместо оригинальных аттестаций от рекапчи, что пользователь - хорошая годная скотина). Лучше бы полностью прикрыли, чем так, поэтому злые люди. а не потому что богадельню решили прикрыть. Там вообще не богадельня, они дейтасеты для цензуры ИИ собирают, и хотя на сайте висит "резервируем право опубликовать всё написанное в паблике под свободной лицензией", это не знатит, что они на стороне добра, это даже не обещание и не гарантия опубликовать (то есть ничто не мешает им это всё в проприетарный дейтасет запишнуть, который они продавать будут, или на котором свою компанию будут строить). Мне одного не понятно, откуда деньги, Зин! При их популярности расходы на оплату API-запросов для васянов должны миллионами исчисляться (на каждую из компаний).
Мне кажется, у вас скорее раздражение от того что плохие люди в Makefile пихают нечто страшное. Потму что у меня, например, опыт взаимодействия с ними довольно позитивный.> Недавно переделывал навороченный мейкфайл на питон с помощью нейросетей.
Это какой-то кринж реально - питон в мейкфайле, да ещё и с нейросетями. Зачем??
Частично согласен, однако openwrt в данном случае - исключение.
Тут система сборки частично само-писная, как правильно понял, но при этом ОЧЕНЬ лёгкая в плане использования и модификации.
Надо всё-таки учитывать, что здесь крайне специфичный случай для разных систем сборок. И далеко не факт, что их конфиги будут понятны для чтения и модификации. Например, с трудом себе представляю использование cmake для этого проекта (конкретно репозиторий openwrt/openwrt).
> нормальную сборочную системуВы же идеальный человек, зачем Вам нормальную сборочную систему?
Вам надо идеальную сборочную систему ;)
Ну конечно командная строка - рак. Си - дыряшка. И тут хоп!...> Уязвимость в библиотеке util.py, вызванная тем, что хэши SHA-256, используемые для проверки наличия в кэше уже готовых образов прошивок, обрезались до 12 символов
И ни Си, ни командной строки. А оно вот как...
Это, типа, каждый васян может заказать с доставкой на дом уникальный, неповторимый, индивидуальный имидж, с перламутровыми пуговицами?
Не хочу показаться душным меркантильным кю, но за чей счёт банкет?
Сижу на dlink dir 320 nru и менять не собираюсь. Роутер за nat провайдера, а максимальная скорость по тарифу итак 25 мегабит. Просто нет смысла.
А у меня симметричный гигабит по оптике без провайдерского ната, с публичными v4 и v6, и провайдерская железка v6 никак не фильтрует вообще по умолчанию, и паролей настроить что-то отличное от названия и пароля вайфай не дают. Пришлось на ибее циску покупать вместо того недоразумения чтобы хоть как-то с этим бардаком совладать. А потом ещё оказалось, что провайдерская чепуха максимум 850 мегабит может прокачать... Проапгрейдил интернет, спасибо.
У меня тоже оптоволокно, Gpon, но скорость 30Мбит, потому что провайдер один на село и цены у него кусаются.
Я тоже в селе на двадцать три дома живу. Правда провайдеров больше одного, есть из чего выбрать.
> Роутер за nat провайдераЗа NAT или нет, роутер и так наружу не светит WebUI обычно.
А нормальные провайдеры предоставляют белые IPv4 и IPv6, хотя бы динамические, если такого нет, лучше искать нормального провайдера.
Если не секрет, сколько километров до ближайшего населенного пункта со скоростью 100Мб или выше?
Мой провайдер и гигабитные скорости предоставляет. Просто у меня самый дешевый тариф, т.к. не вижу смысла в таких скоростях, я ничего не качаю особо, фильмы и игры не интересуют. А для работы этого за глаза. Для быстрой загрузки сайтов гораздо важнее пинг, а не гигабиты. Всё равно просмотр большинства сайтов осложняется медленными каналами за пределами сети провайдера и тупняком всяких клаудфларей.
У меня вся Европа(все основные столицы от Португалии до Турции доступны со скоростью 2.5Gbps, Москва на большей части спидтеста выдает 1.2-1.5Gbps. 40 евро в месяц.
Роутер intel n100 4x i225 на openwrt.