Claroty eta JFrog-eko ikertzaileek BusyBox paketearen segurtasun auditoretzaren emaitzak argitaratu dituzte, gailu txertatuetan oso erabilia eta fitxategi exekutagarri bakarrean bildutako UNIX utilitate estandar multzo bat eskaintzen duena. Eskaneatu bitartean, 14 ahultasun identifikatu ziren, BusyBox 1.34 abuztuko bertsioan jada konponduta daudenak. Arazo ia guztiak kaltegabeak eta zalantzagarriak dira benetako erasoetan erabileraren ikuspuntutik, kanpotik jasotako argumentuak dituzten utilitateak exekutatzea eskatzen baitute.
Aparteko ahultasun bat CVE-2021-42374 da, eta horri esker, bereziki diseinatutako fitxategi konprimitu bat prozesatzen baduzu unlzma utilitatearekin, eta CONFIG_FEATURE_SEAMLESS_LZMA aukerekin muntatzen denean, BusyBox-eko beste edozein osagairekin ere tar, unzip, rpm, dpkg, lzma eta man .
CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 eta CVE-2021-42377 ahultasunek zerbitzua ukatzea eragin dezakete, baina erasotzaileak zehaztutako parametroekin man, ash eta hush utilitateak exekutatzea eskatzen dute. CVE-2021-42378 eta CVE-2021-42386 bitarteko ahultasunek awk erabilgarritasunari eragiten diote eta baliteke kode exekuzioa ekar dezakete, baina, horretarako, erasotzaileak eredu jakin bat awk-en exekutatzen dela ziurtatu behar du (beharrezkoa da jasotako datuekin awk exekutatu. erasotzailetik).
Gainera, uclibc eta uclibc-ng liburutegietan ahultasun bat ere nabari dezakezu (CVE-2021-43523), gethostbyname(), getaddrinfo(), gethostbyaddr() eta getnameinfo() funtzioetara sartzean. domeinu-izena ez da egiaztatu eta garbitu izena DNS zerbitzariak itzuli. Esate baterako, ebazpen-eskaera jakin bati erantzunez, erasotzaile batek kontrolatutako DNS zerbitzari batek "" bezalako ostalariak itzul ditzake. alert(βxssβ) .attacker.com" eta aldatu gabe itzuliko dira, garbitu gabe, web interfazean bistaratu ditzakeen programa batera. Arazoa uclibc-ng 1.0.39 bertsioan konpondu zen itzulitako domeinu-izenen zuzentasuna egiaztatzeko kodea gehituz, Glibc-en antzera inplementatuta.
Iturria: opennet.ru