Clarotyn ja JFrogin tutkijat ovat julkaisseet BusyBox-paketin tietoturvatarkastuksen tulokset. BusyBox-paketti on laajalti käytössä sulautetuissa laitteissa ja joka tarjoaa joukon standardinmukaisia UNIX-apuohjelmia, jotka on pakattu yhteen suoritettavaan tiedostoon. Tarkistuksen aikana tunnistettiin 14 haavoittuvuutta, jotka on jo korjattu elokuun BusyBox 1.34 -julkaisussa. Lähes kaikki ongelmat ovat vaarattomia ja kyseenalaisia todellisissa hyökkäyksissä käytön kannalta, koska ne edellyttävät apuohjelmien ajoa ulkopuolelta saaduilla argumenteilla.
Erillinen haavoittuvuus on CVE-2021-42374, jonka avulla voit aiheuttaa palveluneston, kun käsittelet erityisesti suunniteltua pakattua tiedostoa unlzma-apuohjelmalla ja CONFIG_FEATURE_SEAMLESS_LZMA-asetuksien kanssa, myös muiden BusyBox-komponenttien kanssa, mukaan lukien tar, unzip, rpm, dpkg, lzma ja man .
Haavoittuvuudet CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ja CVE-2021-42377 voivat aiheuttaa palvelun eston, mutta vaativat man, ash ja hush -apuohjelmien suorittamisen hyökkääjän määrittämillä parametreilla. Haavoittuvuudet CVE-2021-42378 - CVE-2021-42386 vaikuttavat awk-apuohjelmaan ja voivat mahdollisesti johtaa koodin suorittamiseen, mutta tätä varten hyökkääjän on varmistettava, että tietty malli suoritetaan awk:ssa (on välttämätöntä suorittaa awk vastaanotettujen tietojen kanssa hyökkääjältä).
Lisäksi voit myös huomata haavoittuvuuden (CVE-2021-43523) uclibc- ja uclibc-ng-kirjastoissa, mikä johtuu siitä, että kun käytät funktioita gethostbyname(), getaddrinfo(), gethostbyaddr() ja getnameinfo(), verkkotunnuksen nimeä ei tarkisteta ja DNS-palvelin palauttaa puhdistetun nimen. Esimerkiksi vastauksena tiettyyn ratkaisupyyntöön hyökkääjän hallitsema DNS-palvelin voi palauttaa isäntiä, kuten " alert(‘xss’) .attacker.com" ja ne palautetaan muuttumattomina johonkin ohjelmaan, joka ilman puhdistusta voi näyttää ne verkkokäyttöliittymässä. Ongelma korjattiin uclibc-ng 1.0.39:n julkaisussa lisäämällä koodia, jolla tarkistetaan palautettujen verkkotunnusten oikeellisuus, toteutettu samalla tavalla kuin Glibc.
Lähde: opennet.ru