Chèchè ki soti nan Claroty ak JFrog te pibliye rezilta yo nan yon odit sekirite nan BusyBox, yon pake lajman ki itilize nan aparèy entegre ki ofri yon seri sèvis piblik estanda UNIX pake kòm yon sèl dosye ègzèkutabl. Odit la te idantifye 14 vilnerabilite ki te deja ranje nan lage Out BusyBox 1.34. Prèske tout pwoblèm yo inofansif ak dout nan pwen de vi yo te itilize nan atak reyèl, depi yo mande pou kouri sèvis piblik ak agiman yo te resevwa soti nan deyò.
Separeman, se vilnerabilite CVE-2021-42374, ki pèmèt ou lakòz yon refi sèvis lè w ap trete yon fichye konprese ki fèt espesyalman ak sèvis piblik unlzma, ak nan ka bati nan opsyon CONFIG_FEATURE_SEAMLESS_LZMA, tou pa nenpòt lòt BusyBox. konpozan, ki gen ladan goudwon, unzip, rpm, dpkg, lzma ak man .
Vilnerabilite CVE-2021-42373, CVE-2021-42375, CVE-2021-42376, ak CVE-2021-42377 ka lakòz yon refi sèvis, men mande pou moun, sann, ak sèvis piblik silans yo dwe kouri ak paramèt atakè yo espesifye. . Vilnerabilite soti nan CVE-2021-42378 rive nan CVE-2021-42386 afekte sèvis piblik awk la epi yo ka potansyèlman mennen nan ekzekisyon kòd, men pou sa atakè a bezwen fè yon sèten modèl egzekite nan awk (li nesesè yo kòmanse awk ak done yo resevwa yo. soti nan atakè).
Anplis de sa, yon vilnerabilite (CVE-2021-43523) nan bibliyotèk uclibc ak uclibc-ng yo ka remake tou, ki gen rapò ak lefèt ke lè w ap jwenn aksè nan fonksyon gethostbyname(), getaddrinfo(), gethostbyaddr() ak getnameinfo(), la non domèn pa tcheke epi netwaye non sèvè dns la retounen. Pou egzanp, an repons a yon demann pou rezoud sèten, yon sèvè DNS kontwole pa yon atakè ka retounen lame nan fòm lan " alert(‘xss’) .attacker.com" epi yo pral retounen san okenn chanjman nan kèk pwogram ki ka montre yo nan koòdone entènèt la san yo pa netwaye. Pwoblèm lan te fikse nan lage uclibc-ng 1.0.39 lè w ajoute kòd pou valide non domèn retounen, menm jan ak Glibc.
Sous: opennet.ru