Ang mga tigdukiduki gikan sa Claroty ug JFrog nagpatik sa mga resulta sa usa ka pag-audit sa seguridad sa BusyBox nga pakete, kaylap nga gigamit sa mga naka-embed nga mga himan ug naghalad sa usa ka set sa standard UNIX utilities nga giputos sa usa ka executable file. Atol sa pag-scan, nahibal-an ang 14 nga mga kahuyangan, nga naayo na sa pagpagawas sa Agosto sa BusyBox 1.34. Hapit tanan nga mga problema dili makadaot ug kuwestiyonable gikan sa punto sa panglantaw sa paggamit sa tinuod nga mga pag-atake, tungod kay sila nagkinahanglan sa running utilities uban sa mga argumento nga nadawat gikan sa gawas.
Ang usa ka bulag nga kahuyang mao ang CVE-2021-42374, nga nagtugot kanimo sa pagdumili sa serbisyo kung giproseso ang usa ka espesyal nga gidisenyo nga compressed file gamit ang unlzma utility, ug sa kaso sa pag-assemble nga adunay mga kapilian nga CONFIG_FEATURE_SEAMLESS_LZMA, usab sa bisan unsang ubang mga sangkap sa BusyBox, lakip ang tar, unzip, rpm, dpkg, lzma ug man .
Ang mga vulnerabilities nga CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ug CVE-2021-42377 mahimong hinungdan sa pagdumili sa serbisyo, apan gikinahanglan ang pagpadagan sa man, ash ug hush utilities nga adunay mga parameter nga gitakda sa tig-atake. Ang mga vulnerabilities nga CVE-2021-42378 hangtod sa CVE-2021-42386 makaapekto sa awk utility ug mahimo’g mosangput sa pagpatuman sa code, apan alang niini kinahanglan nga sigurohon sa tig-atake nga ang usa ka piho nga sumbanan gipatuman sa awk (kinahanglan nga magpadagan sa awk nga adunay nadawat nga datos. gikan sa tig-atake).
Dugang pa, mahimo nimong matikdan ang usa ka pagkahuyang (CVE-2021-43523) sa mga librarya sa uclibc ug uclibc-ng, tungod sa kamatuoran nga sa pag-access sa mga function gethostbyname(), getaddrinfo(), gethostbyaddr() ug getnameinfo(), ang Ang ngalan sa domain wala gisusi ug gilimpyohan ang ngalan nga gibalik sa DNS server. Pananglitan, agig tubag sa usa ka piho nga hangyo sa resolusyon, ang usa ka DNS server nga kontrolado sa usa ka tig-atake mahimong makabalik sa mga host sama sa " alert(‘xss’) .attacker.com" ug ibalik sila nga wala mausab sa pipila ka programa nga, kung wala’y paglimpyo, mahimong ipakita kini sa interface sa web. Ang problema naayo sa pagpagawas sa uclibc-ng 1.0.39 pinaagi sa pagdugang code aron masusi ang pagkahusto sa gibalik nga mga ngalan sa domain, gipatuman parehas sa Glibc.
Source: opennet.ru