Výzkumníci z Claroty a JFrog zveřejnili výsledky bezpečnostního auditu balíčku BusyBox, který je široce používán ve vestavěných zařízeních a nabízí sadu standardních unixových utilit zabalených do jediného spustitelného souboru. Během kontroly bylo identifikováno 14 zranitelností, které již byly opraveny v srpnové verzi BusyBox 1.34. Téměř všechny problémy jsou neškodné a diskutabilní z hlediska použití při skutečných útocích, protože vyžadují spuštění utilit s argumenty přijatými zvenčí.
Samostatnou chybou zabezpečení je CVE-2021-42374, která umožňuje způsobit odmítnutí služby při zpracování speciálně navrženého komprimovaného souboru pomocí nástroje unlzma a v případě sestavení pomocí možností CONFIG_FEATURE_SEAMLESS_LZMA také s jakýmikoli dalšími komponenty BusyBox, včetně tar, unzip, rpm, dpkg, lzma a man .
Chyby zabezpečení CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 a CVE-2021-42377 mohou způsobit odmítnutí služby, ale vyžadují spuštění obslužných programů man, ash a hush s parametry určenými útočníkem. Chyby zabezpečení CVE-2021-42378 až CVE-2021-42386 ovlivňují obslužný program awk a mohou potenciálně vést ke spuštění kódu, ale k tomu musí útočník zajistit provedení určitého vzoru v awk (je nutné spustit awk s přijatými daty od útočníka).
Kromě toho si také můžete všimnout zranitelnosti (CVE-2021-43523) v knihovnách uclibc a uclibc-ng související se skutečností, že při přístupu k funkcím gethostbyname(), getaddrinfo(), gethostbyaddr() a getnameinfo() název domény není zkontrolován a server DNS vrací vyčištěný název. Například v reakci na určitý požadavek na rozlišení může server DNS ovládaný útočníkem vrátit hostitele jako „ alert(‘xss’) .attacker.com“ a budou vráceny beze změny nějakému programu, který je bez čištění dokáže zobrazit ve webovém rozhraní. Problém byl opraven ve vydání uclibc-ng 1.0.39 přidáním kódu pro kontrolu správnosti vrácených doménových jmen, implementovaného podobně jako Glibc.
Zdroj: opennet.ru