Claroty və JFrog tədqiqatçıları daxili qurğularda geniş istifadə edilən və bir icra edilə bilən faylda paketlənmiş standart UNIX utilitləri dəsti təklif edən BusyBox paketinin təhlükəsizlik auditinin nəticələrini dərc ediblər. Skan zamanı 14 boşluq müəyyən edilib ki, onlar artıq BusyBox 1.34-ün avqust buraxılışında aradan qaldırılıb. Demək olar ki, bütün problemlər real hücumlarda istifadə nöqteyi-nəzərindən zərərsiz və şübhəlidir, çünki onlar kənardan alınan arqumentlərlə işləyən kommunalları tələb edir.
Ayrı bir zəiflik CVE-2021-42374-dir ki, bu da unlzma yardım proqramı ilə xüsusi hazırlanmış sıxılmış faylı emal edərkən və CONFIG_FEATURE_SEAMLESS_LZMA seçimləri ilə, həmçinin hər hansı digər BusyBox komponentləri ilə yığıldıqda xidmətdən imtina etməyə imkan verir. tar, unzip, rpm, dpkg, lzma və man .
CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 və CVE-2021-42377 boşluqları xidmətdən imtinaya səbəb ola bilər, lakin hücumçu tərəfindən müəyyən edilmiş parametrlərlə man, ash və hush utilitlərinin işə salınmasını tələb edir. CVE-2021-42378-in CVE-2021-42386 boşluqları awk yardım proqramına təsir edir və potensial olaraq kodun icrasına səbəb ola bilər, lakin bunun üçün təcavüzkar awk-da müəyyən nümunənin icrasını təmin etməlidir (alınan məlumatlarla awk-ı işə salmaq lazımdır) təcavüzkardan).
Bundan əlavə, siz həmçinin uclibc və uclibc-ng kitabxanalarında zəifliyi (CVE-2021-43523) qeyd edə bilərsiniz, çünki gethostbyname(), getaddrinfo(), gethostbyaddr() və getnameinfo() funksiyalarına daxil olarkən domen adı yoxlanılmır və təmizlənmiş ad DNS server tərəfindən qaytarılır. Məsələn, müəyyən həll sorğusuna cavab olaraq, təcavüzkar tərəfindən idarə olunan DNS serveri “alert('xss').attacker.com” kimi hostları qaytara bilər və onlar bəzi proqrama dəyişdirilmədən qaytarılacaq. ki, təmizlənmədən onları veb interfeysində göstərə bilər. Problem uclibc-ng 1.0.39-un buraxılışında Glibc-ə bənzər şəkildə həyata keçirilən qaytarılmış domen adlarının düzgünlüyünü yoxlamaq üçün kod əlavə edilməklə aradan qaldırıldı.
Mənbə: opennet.ru