Istraživači iz Clarotyja i JFrog-a objavili su rezultate sigurnosne revizije paketa BusyBox, koji se široko koristi u ugrađenim uređajima i nudi skup standardnih UNIX uslužnih programa upakovanih u jednu izvršnu datoteku. Tokom skeniranja, identifikovano je 14 ranjivosti, koje su već ispravljene u avgustovskom izdanju BusyBox 1.34. Gotovo svi problemi su bezopasni i upitni sa stanovišta upotrebe u stvarnim napadima, jer zahtijevaju pokretanje uslužnih programa sa argumentima primljenim izvana.
Posebna ranjivost je CVE-2021-42374, koja vam omogućava da izazovete uskraćivanje usluge prilikom obrade posebno dizajnirane komprimirane datoteke uslužnim programom unlzma, a u slučaju sklapanja s opcijama CONFIG_FEATURE_SEAMLESS_LZMA, također sa bilo kojom drugom komponentom BusyBoxa, uključujući tar, unzip, rpm, dpkg, lzma i man .
Ranjivosti CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 i CVE-2021-42377 mogu uzrokovati uskraćivanje usluge, ali zahtijevaju pokretanje uslužnih programa man, ash i hush sa parametrima koje je odredio napadač. Ranjivosti CVE-2021-42378 do CVE-2021-42386 utiču na awk uslužni program i potencijalno mogu dovesti do izvršenja koda, ali za to napadač mora osigurati da se određeni obrazac izvršava u awk-u (neophodno je pokrenuti awk sa primljenim podacima od napadača).
Osim toga, možete primijetiti i ranjivost (CVE-2021-43523) u bibliotekama uclibc i uclibc-ng, zbog činjenice da kada pristupate funkcijama gethostbyname(), getaddrinfo(), gethostbyaddr() i getnameinfo(), ime domena nije provjereno i očišćeno ime koje vraća DNS server. Na primjer, kao odgovor na određeni zahtjev za rješavanje, DNS server koji kontroliše napadač može vratiti hostove poput “alert('xss').attacker.com” i oni će biti vraćeni nepromijenjeni nekom programu da ih bez čišćenja može prikazati u web interfejsu. Problem je rešen u izdanju uclibc-ng 1.0.39 dodavanjem koda za provjeru ispravnosti vraćenih imena domena, implementiranog slično Glibc-u.
izvor: opennet.ru