ניתוח אבטחה של חבילת BusyBox חושף 14 נקודות תורפה קלות

חוקרים מ-Cleroty ו-JFrog פרסמו תוצאות של ביקורת אבטחה של חבילת BusyBox, בשימוש נרחב בהתקנים משובצים ומציעה קבוצה של כלי עזר סטנדרטיים של UNIX ארוזים בקובץ הפעלה יחיד. במהלך הסריקה זוהו 14 נקודות תורפה, שכבר תוקנו במהדורת אוגוסט של BusyBox 1.34. כמעט כל הבעיות אינן מזיקות ומפוקפקות מנקודת מבט של שימוש בהתקפות אמיתיות, מכיוון שהן דורשות הפעלת כלי עזר עם טיעונים שמתקבלים מבחוץ.

פגיעות נפרדת היא CVE-2021-42374, המאפשרת לך לגרום למניעת שירות בעת עיבוד קובץ דחוס שתוכנן במיוחד עם כלי השירות unlzma, ובמקרה של הרכבה עם אפשרויות CONFIG_FEATURE_SEAMLESS_LZMA, גם עם כל רכיבי BusyBox אחרים, כולל tar, unzip, rpm, dpkg, lzma ו-man .

נקודות תורפה CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ו-CVE-2021-42377 עלולות לגרום למניעת שירות, אך מחייבות הפעלת כלי השירות 'איש, אש והשתק' עם פרמטרים שצוינו על ידי התוקף. פגיעויות CVE-2021-42378 עד CVE-2021-42386 משפיעות על כלי השירות awk ועלולות להוביל לביצוע קוד, אך לשם כך התוקף צריך לוודא שדפוס מסוים מבוצע ב-awk (יש צורך להפעיל awk עם הנתונים שהתקבלו מהתוקף).

בנוסף, אתה יכול גם לציין פגיעות (CVE-2021-43523) בספריות uclibc ו-uclibc-ng, בשל העובדה שכאשר ניגש לפונקציות gethostbyname(), getaddriinfo(), gethostbyaddr() ו-getnameinfo(), שם הדומיין לא נבדק והשם הניקה מוחזר על ידי שרת ה-DNS. לדוגמה, בתגובה לבקשת פתרון מסוימת, שרת DNS הנשלט על ידי תוקף יכול להחזיר מארחים כמו " alert(‘xss’) .attacker.com" והם יוחזרו ללא שינוי לתוכנית כלשהי שבלי ניקוי תוכל להציג אותן בממשק האינטרנט. הבעיה תוקנה במהדורת uclibc-ng 1.0.39 על ידי הוספת קוד כדי לבדוק את נכונות שמות הדומיין שהוחזרו, מיושם בדומה ל-Glibc.

מקור: OpenNet.ru