Vísindamenn frá Claroty og JFrog hafa birt niðurstöður öryggisúttektar á BusyBox pakkanum, sem er mikið notaður í innbyggðum tækjum og býður upp á sett af stöðluðum UNIX tólum pakkað í einni keyrsluskrá. Við skönnunina fundust 14 veikleikar sem þegar hafa verið lagaðir í ágústútgáfu BusyBox 1.34. Næstum öll vandamál eru skaðlaus og vafasöm frá sjónarhóli notkunar í raunverulegum árásum, þar sem þau þurfa að keyra tól með rökum sem berast utan frá.
Sérstakur varnarleysi er CVE-2021-42374, sem gerir þér kleift að valda afneitun á þjónustu þegar unnið er með sérhannaða þjappaða skrá með unlzma tólinu, og ef um er að ræða samsetningu með CONFIG_FEATURE_SEAMLESS_LZMA valmöguleikum, einnig með öllum öðrum BusyBox íhlutum, þ.m.t. tar, unzip, rpm, dpkg, lzma og man .
Veikleikar CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 og CVE-2021-42377 geta valdið afneitun á þjónustu, en krefjast þess að keyra mann-, ösku- og þöggunartækin með breytum sem árásarmaðurinn tilgreinir. Veikleikar CVE-2021-42378 til CVE-2021-42386 hafa áhrif á awk tólið og geta hugsanlega leitt til keyrslu kóða, en til þess þarf árásarmaðurinn að tryggja að ákveðið mynstur sé keyrt í awk (það er nauðsynlegt að keyra awk með gögnum sem berast frá árásarmanninum).
Að auki geturðu einnig tekið eftir varnarleysi (CVE-2021-43523) í uclibc og uclibc-ng bókasöfnunum, vegna þess að þegar þú opnar aðgerðirnar gethostbyname(), getaddriinfo(), gethostbyaddr() og getnameinfo(), lén er ekki athugað og hreinsað nafn skilað af DNS þjóninum. Til dæmis, sem svar við ákveðinni upplausnarbeiðni, getur DNS-þjónn sem er stjórnað af árásarmanni skilað hýslum eins og „alert('xss').attacker.com“ og þeim verður skilað óbreyttum í eitthvert forrit. að án þess að þrífa getur sýnt þær í vefviðmótinu. Vandamálið var lagað í útgáfu uclibc-ng 1.0.39 með því að bæta við kóða til að athuga réttmæti skilaðra lénanna, útfært á svipaðan hátt og Glibc.
Heimild: opennet.ru