Claroty ja JFrogi teadlased on avaldanud BusyBoxi paketi turbeauditi tulemused, mida kasutatakse laialdaselt manustatud seadmetes ja mis pakub standardsete UNIX-i utiliitide komplekti, mis on pakitud ühte käivitatavasse faili. Skaneerimise käigus tuvastati 14 turvaauku, mis on BusyBox 1.34 augustikuu väljalaskes juba parandatud. Peaaegu kõik probleemid on reaalsetes rünnakutes kasutamise seisukohast kahjutud ja küsitavad, kuna need nõuavad väljastpoolt saadud argumentidega utiliitide käivitamist.
Eraldi haavatavus on CVE-2021-42374, mis võimaldab teil tekitada teenuse keelamise, kui töödeldakse spetsiaalselt loodud tihendatud faili utiliidi unlzma abil ja CONFIG_FEATURE_SEAMLESS_LZMA suvanditega koostamisel ka mis tahes muude BusyBoxi komponentidega, sealhulgas tar, unzip, rpm, dpkg, lzma ja man .
Haavatavused CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ja CVE-2021-42377 võivad põhjustada teenuse keelamise, kuid nõuavad ründaja määratud parameetritega utiliitide man, ash ja vaish käivitamist. Haavatavused CVE-2021-42378 kuni CVE-2021-42386 mõjutavad awk-utiliiti ja võivad potentsiaalselt viia koodi täitmiseni, kuid selleks peab ründaja tagama, et awk-is täidetaks teatud muster (saadud andmetega on vaja käivitada awk ründajalt).
Lisaks võite märgata haavatavust (CVE-2021-43523) teekides uclibc ja uclibc-ng, mis on tingitud asjaolust, et funktsioonidele gethostbyname(), getaddrinfo(), gethostbyaddr() ja getnameinfo() pääsemisel domeeninime ei kontrollita ja DNS-server tagastab puhastatud nime. Näiteks vastusena teatud lahendustaotlusele võib ründaja juhitav DNS-server tagastada hostid, nagu "alert('xss').attacker.com" ja need tagastatakse muutmata kujul mõnele programmile. mis saab neid ilma puhastamiseta veebiliideses kuvada. Probleem lahendati uclibc-ng 1.0.39 väljalaskes, lisades koodi tagastatud domeeninimede õigsuse kontrollimiseks, mida rakendati sarnaselt Glibciga.
Allikas: opennet.ru