نشر باحثون من Claroty وJFrog نتائج التدقيق الأمني لحزمة BusyBox، المستخدمة على نطاق واسع في الأجهزة المدمجة وتقدم مجموعة من أدوات UNIX القياسية المجمعة في ملف واحد قابل للتنفيذ. أثناء الفحص، تم تحديد 14 نقطة ضعف، والتي تم إصلاحها بالفعل في إصدار أغسطس من BusyBox 1.34. تقريبا جميع المشاكل غير ضارة ومشكوك فيها من وجهة نظر الاستخدام في الهجمات الحقيقية، لأنها تتطلب تشغيل المرافق مع الحجج الواردة من الخارج.
هناك ثغرة أمنية منفصلة هي CVE-2021-42374، والتي تسمح لك بالتسبب في رفض الخدمة عند معالجة ملف مضغوط مصمم خصيصًا باستخدام الأداة المساعدة unlzma، وفي حالة التجميع باستخدام خيارات CONFIG_FEATURE_SEAMLESS_LZMA، وكذلك مع أي مكونات BusyBox أخرى، بما في ذلك tar وunzip وrpm وdpkg وlzma وman .
يمكن أن تتسبب الثغرات الأمنية CVE-2021-42373 وCVE-2021-42375 وCVE-2021-42376 وCVE-2021-42377 في رفض الخدمة، ولكنها تتطلب تشغيل الأدوات المساعدة man وash وhush بمعلمات يحددها المهاجم. تؤثر الثغرات الأمنية من CVE-2021-42378 إلى CVE-2021-42386 على الأداة المساعدة awk ويمكن أن تؤدي إلى تنفيذ التعليمات البرمجية، ولكن لهذا يحتاج المهاجم إلى التأكد من تنفيذ نمط معين في awk (من الضروري تشغيل awk مع البيانات المستلمة من المهاجم).
بالإضافة إلى ذلك، يمكنك أيضًا ملاحظة وجود ثغرة أمنية (CVE-2021-43523) في مكتبات uclibc وuclibc-ng، نظرًا لأنه عند الوصول إلى الوظائف gethostbyname() وgetaddrinfo() وgethostbyaddr() وgetnameinfo()، فإن لم يتم التحقق من اسم المجال وتم إرجاع الاسم المنظف بواسطة خادم DNS. على سبيل المثال، استجابة لطلب حل معين، يمكن لخادم DNS الذي يتحكم فيه أحد المهاجمين إرجاع مضيفين مثل "alert('xss').attacker.com" وسيتم إعادتهم دون تغيير إلى بعض البرامج أنه بدون تنظيف يمكن عرضها في واجهة الويب. تم إصلاح المشكلة في إصدار uclibc-ng 1.0.39 عن طريق إضافة تعليمات برمجية للتحقق من صحة أسماء النطاقات التي تم إرجاعها، والتي تم تنفيذها بشكل مشابه لـ Glibc.
المصدر: opennet.ru