Даследнікі з кампаній Claroty і JFrog апублікавалі вынікі аўдыту бяспекі пакета BusyBox, шырока выкарыстоўванага ва ўбудавальных прыладах і які прапануе набор стандартных утыліт UNIX, аформленых у выглядзе адзінага выкананага файла. У ходзе праверкі выяўлена 14 уразлівасцей, якія ўжо ліквідаваны ў жнівеньскім выпуску BusyBox 1.34. Амаль усе праблемы бяспечныя і сумнеўныя з пункта гледжання ўжывання ў рэальных нападах, бо патрабуюць запуску ўтыліт з атрыманымі звонку аргументамі.
Асобна вылучаецца ўразлівасць CVE-2021-42374, якая дазваляе выклікаць адмову ў абслугоўванні пры апрацоўцы адмыслова аформленага сціснутага файла ўтылітай unlzma, а ў выпадку зборкі з опцый CONFIG_FEATURE_SEAMLESS_LZMA, таксама любымі іншымі кампанентамі BusyBox, уключаючы tar .
Уразлівасці CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 і CVE-2021-42377 дазваляюць выклікаць адмову ў абслугоўванні, але патрабуюць запуску ўтыліт man, ash і hush з параметрамі, зададзенымі атакавалым. Уразлівасці з CVE-2021-42378 па CVE-2021-42386 закранаюць утыліту awk і патэнцыйна могуць прывесці да запуску кода, але для гэтага атакаваламу патрабуецца дамагчыся выкананні ў awk вызначанага шаблону (неабходна запусціць awk з перадачай у першым аргументе атакавалага).
Дадаткова таксама можна адзначыць уразлівасць (CVE-2021-43523) у бібліятэках uclibc і uclibc-ng, злучаную з тым, што пры звароце да функцый gethostbyname(), getaddrinfo(), gethostbyaddr() і getnameinfo() не выконваецца праверка і чыстка хатняга імя, вернутага DNS-серверам. Напрыклад, у адказ на пэўны запыт рэзалінгу падкантрольны зламысніку DNS-сервер можа вярнуць хасты выгляду. alert(‘xss’) .attacker.com» і яны будуць у нязменным выглядзе вернуты нейкай праграме, якая без чысткі можа адлюстраваць іх web-інтэрфейсе. Праблема ўхіленая ў выпуску uclibc-ng 1.0.39 праз даданне кода для праверкі карэктнасці якія вяртаюцца даменных імёнаў, рэалізаваным па аналогіі з Glibc.
Крыніца: opennet.ru