Forscher von Claroty und JFrog haben die Ergebnisse einer Sicherheitsüberprüfung von BusyBox veröffentlicht, einem in eingebetteten Geräten weit verbreiteten Paket, das eine Reihe von Standard-UNIX-Dienstprogrammen in einer einzigen ausführbaren Datei bietet. Bei der Prüfung wurden 14 Schwachstellen identifiziert, die bereits in der August-Version von BusyBox 1.34 behoben wurden. Fast alle Probleme sind im Hinblick auf den Einsatz in echten Angriffen harmlos und fragwürdig, da sie den Betrieb von Dienstprogrammen mit von außen erhaltenen Argumenten erfordern.
Separat wird die Schwachstelle CVE-2021-42374 herausgegriffen, die es Ihnen ermöglicht, einen Denial-of-Service zu verursachen, wenn Sie eine speziell entwickelte komprimierte Datei mit dem Dienstprogramm unlzma verarbeiten, und im Falle der Erstellung aus den Optionen CONFIG_FEATURE_SEAMLESS_LZMA auch durch jede andere BusyBox Komponenten, einschließlich tar, unzip, rpm, dpkg, lzma und man .
Die Sicherheitslücken CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 und CVE-2021-42377 können einen Denial-of-Service verursachen, erfordern jedoch die Ausführung der Dienstprogramme man, ash und hush mit vom Angreifer angegebenen Parametern . Die Sicherheitslücken von CVE-2021-42378 bis CVE-2021-42386 wirken sich auf das Dienstprogramm awk aus und können möglicherweise zur Codeausführung führen. Dazu muss der Angreifer jedoch ein bestimmtes Muster in awk ausführen lassen (es ist erforderlich, awk mit den empfangenen Daten zu starten). vom Angreifer).
Darüber hinaus kann auch eine Schwachstelle (CVE-2021-43523) in den Bibliotheken uclibc und uclibc-ng festgestellt werden, die damit zusammenhängt, dass beim Zugriff auf die Funktionen gethostbyname(), getaddrinfo(), gethostbyaddr() und getnameinfo() die Der Domänenname wird nicht überprüft und bereinigt. Der vom DNS-Server zurückgegebene Name. Beispielsweise kann ein von einem Angreifer kontrollierter DNS-Server als Reaktion auf eine bestimmte Auflösungsanforderung Hosts der Form „ zurückgeben. alert(‘xss’) .attacker.com“ und sie werden unverändert an ein Programm zurückgegeben, das sie ohne Reinigung in der Weboberfläche anzeigen kann. Das Problem wurde in der Version uclibc-ng 1.0.39 behoben, indem Code zur Validierung zurückgegebener Domänennamen hinzugefügt wurde, ähnlich wie bei Glibc.
Source: opennet.ru