Mae ymchwilwyr o Claroty a JFrog wedi cyhoeddi canlyniadau archwiliad diogelwch o becyn BusyBox, a ddefnyddir yn eang mewn dyfeisiau wedi'u mewnosod ac sy'n cynnig set o gyfleustodau UNIX safonol wedi'u pecynnu mewn un ffeil gweithredadwy. Yn ystod y sgan, nodwyd 14 o wendidau, sydd eisoes wedi'u pennu yn natganiad Awst o BusyBox 1.34. Mae bron pob problem yn ddiniwed ac yn amheus o safbwynt defnydd mewn ymosodiadau go iawn, gan fod angen iddynt redeg cyfleustodau gyda dadleuon a dderbyniwyd o'r tu allan.
Gwendid ar wahân yw CVE-2021-42374, sy'n eich galluogi i achosi gwrthod gwasanaeth wrth brosesu ffeil gywasgedig a ddyluniwyd yn arbennig gyda'r cyfleustodau unlzma, ac yn achos cydosod gyda'r opsiynau CONFIG_FEATURE_SEAMLESS_LZMA, hefyd gydag unrhyw gydrannau BusyBox eraill, gan gynnwys tar, dadsipio, rpm, dpkg, lzma a dyn .
Gall gwendidau CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 a CVE-2021-42377 achosi gwrthod gwasanaeth, ond mae angen rhedeg y cyfleustodau dyn, lludw a thawel gyda pharamedrau a bennir gan yr ymosodwr. Mae gwendidau CVE-2021-42378 i CVE-2021-42386 yn effeithio ar y cyfleustodau awk a gallant o bosibl arwain at weithredu cod, ond ar gyfer hyn mae angen i'r ymosodwr sicrhau bod patrwm penodol yn cael ei weithredu yn lletchwith (mae angen rhedeg awk gyda'r data a dderbyniwyd rhag ymosodwr).
Yn ogystal, gallwch hefyd nodi bregusrwydd (CVE-2021-43523) yn y llyfrgelloedd uclibc ac uclibc-ng, oherwydd y ffaith wrth gyrchu'r swyddogaethau gethostbyname(), getaddrinfo(), gethostbyaddr() a getnameinfo(), y nid yw enw parth yn cael ei wirio a'r enw wedi'i lanhau wedi'i ddychwelyd gan y gweinydd DNS. Er enghraifft, mewn ymateb i gais datrysiad penodol, gall gweinydd DNS a reolir gan ymosodwr ddychwelyd gwesteiwyr fel “ alert(‘xss’) .attacker.com" a byddant yn cael eu dychwelyd heb eu newid i raglen sydd, heb lanhau, yn gallu eu harddangos yn y rhyngwyneb gwe. Cafodd y broblem ei datrys wrth ryddhau uclibc-ng 1.0.39 trwy ychwanegu cod i wirio cywirdeb yr enwau parth a ddychwelwyd, a weithredwyd yn debyg i Glibc.
Ffynhonnell: opennet.ru