ProHoster > Pūnaewele > nūhou pūnaewele > Hōʻike ka nānā ʻana i ka palekana o ka pūʻolo BusyBox he 14 mau nāwaliwali liʻiliʻi

Hōʻike ka nānā ʻana i ka palekana o ka pūʻolo BusyBox he 14 mau nāwaliwali liʻiliʻi

Ua hoʻopuka nā mea noiʻi mai Claroty a me JFrog i nā hopena o ka loiloi palekana o ka pūʻolo BusyBox, hoʻohana nui ʻia i nā mea i hoʻopili ʻia a hāʻawi i kahi pūʻulu o nā pono UNIX maʻamau i hoʻopili ʻia i loko o kahi faila hiki ke hoʻokō. I ka wā o ka scan, ua ʻike ʻia nā vulnerabilities 14, i hoʻopaʻa ʻia i ka hoʻokuʻu ʻana o ʻAukake o BusyBox 1.34. Aneane nā pilikia āpau ʻaʻole pilikia a nīnau ʻia mai ka manaʻo o ka hoʻohana ʻana i nā hoʻouka kaua maoli, no ka mea, koi lākou i nā pono hana me nā hoʻopaʻapaʻa i loaʻa mai waho.

ʻO kahi haʻahaʻa ʻokoʻa ʻo CVE-2021-42374, kahi e hiki ai iā ʻoe ke hana i ka hōʻole ʻana i ka lawelawe i ka wā e hoʻoponopono ai i kahi faila i hoʻopaʻa ʻia i hoʻolālā ʻia me ka pono unlzma, a ma ke ʻano o ka hui pū ʻana me nā koho CONFIG_FEATURE_SEAMLESS_LZMA, pū kekahi me nā mea BusyBox ʻē aʻe. tar, unzip, rpm, dpkg, lzma a me ke kanaka .

Hiki i nā Vulnerabilities CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 a me CVE-2021-42377 ke hōʻole i ka lawelawe, akā koi i ka holo ʻana i ke kanaka, ka lehu a me ka hush pono me nā ʻāpana i kuhikuhi ʻia e ka mea hoʻouka. Nā Vulnerabilities CVE-2021-42378 i CVE-2021-42386 pili i ka pono awk a hiki ke alakaʻi i ka hoʻokō code, akā no kēia pono ka mea hoʻouka e hōʻoia i ka hoʻokō ʻia ʻana o kekahi ʻano ma awk (pono e holo awk me ka ʻikepili i loaʻa. mai ka mea hoʻouka kaua).

Eia hou, hiki iā ʻoe ke nānā i kahi nāwaliwali (CVE-2021-43523) i loko o nā hale waihona puke uclibc a me uclibc-ng, ma muli o ke komo ʻana i nā hana gethostbyname(), getaddrinfo(), gethostbyaddr() a me getnameinfo(), ka ʻAʻole nānā ʻia ka inoa inoa a hoʻomaʻemaʻe ʻia ka inoa e ka server DNS. No ka laʻana, i ka pane ʻana i kekahi noi hoʻoholo, hiki i kahi kikowaena DNS i hoʻomalu ʻia e ka mea hoʻouka ke hoʻihoʻi i nā pūʻali e like me " alert(‘xss’) .attacker.com" a e hoʻihoʻi ʻia lākou me ka loli ʻole i kekahi papahana i hiki ke hōʻike iā lākou me ka ʻole o ka hoʻomaʻemaʻe. Ua hoʻopaʻa ʻia ka pilikia ma ka hoʻokuʻu ʻana o uclibc-ng 1.0.39 ma ka hoʻohui ʻana i ke code e nānā i ka pololei o nā inoa domain i hoʻihoʻi ʻia, hoʻokō like me Glibc.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka