Forskere fra Claroty og JFrog har offentliggjort resultaterne af en sikkerhedsrevision af BusyBox, en pakke, der er meget udbredt i indlejrede enheder, der tilbyder et sæt standard UNIX-værktøjer pakket som en enkelt eksekverbar fil. Revisionen identificerede 14 sårbarheder, der allerede er blevet rettet i augustudgivelsen af BusyBox 1.34. Næsten alle problemer er harmløse og tvivlsomme ud fra et synspunkt om at blive brugt i rigtige angreb, da de kræver at køre hjælpeprogrammer med argumenter modtaget udefra.
Separat udskilles CVE-2021-42374-sårbarheden, hvilket giver dig mulighed for at forårsage et lammelsesangreb, når du behandler en specialdesignet komprimeret fil med unlzma-værktøjet, og i tilfælde af bygning fra CONFIG_FEATURE_SEAMLESS_LZMA-indstillingerne, også af enhver anden BusyBox komponenter, herunder tar, unzip, rpm, dpkg, lzma og man .
Sårbarheder CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 og CVE-2021-42377 kan forårsage lammelsesangreb, men kræver, at man-, aske- og hush-værktøjerne køres med angriber-specificerede parametre . Sårbarheder fra CVE-2021-42378 til CVE-2021-42386 påvirker awk-værktøjet og kan potentielt føre til kodeudførelse, men for dette skal angriberen få et bestemt mønster til at køre i awk (det er nødvendigt at starte awk med de modtagne data fra angriberen).
Derudover kan en sårbarhed (CVE-2021-43523) i bibliotekerne uclibc og uclibc-ng også bemærkes, relateret til det faktum, at når man får adgang til funktionerne gethostbyname(), getaddriinfo(), gethostbyaddr() og getnameinfo(), domænenavn er ikke kontrolleret og renset.navnet returneret af DNS-serveren. For eksempel, som svar på en bestemt løsningsanmodning, kan en DNS-server styret af en angriber returnere værter med formen " alert(‘xss’) .attacker.com", og de vil blive returneret uændret til et program, der kan vise dem i webgrænsefladen uden at blive renset. Problemet er løst i uclibc-ng 1.0.39-udgivelsen ved at tilføje kode for at validere returnerede domænenavne, svarende til Glibc.
Kilde: opennet.ru