Claroty と JFrog の研究者は、BusyBox のセキュリティ監査の結果を発表しました。BusyBox は組み込みデバイスで広く使用されており、標準 UNIX ユーティリティのセットを 14 つの実行可能ファイルとしてパッケージ化して提供します。 監査では、BusyBox 1.34 の XNUMX 月リリースですでに修正されている XNUMX 件の脆弱性が特定されました。 ほとんどすべての問題は無害ですが、外部から受け取った引数を使用してユーティリティを実行する必要があるため、実際の攻撃で使用されるという観点からは疑わしいものです。
これとは別に、CVE-2021-42374 脆弱性が特定されており、特別に設計された圧縮ファイルを unlzma ユーティリティで処理するとき、および CONFIG_FEATURE_SEAMLESS_LZMA オプションからビルドする場合、また他の BusyBox によってビルドする場合に、サービス拒否が発生する可能性があります。 tar、unzip、rpm、dpkg、lzma、man などのコンポーネント。
脆弱性 CVE-2021-42373、CVE-2021-42375、CVE-2021-42376、および CVE-2021-42377 はサービス妨害を引き起こす可能性がありますが、攻撃者が指定したパラメーターを使用して man、ash、および Hush ユーティリティを実行する必要があります。 。 CVE-2021-42378 から CVE-2021-42386 までの脆弱性は awk ユーティリティに影響を与え、コードの実行につながる可能性がありますが、そのために攻撃者は awk で特定のパターンを実行させる必要があります (受信したデータで awk を起動する必要があります)攻撃者から)。
さらに、uclibc および uclibc-ng ライブラリの脆弱性 (CVE-2021-43523) も指摘されています。これは、gethostbyname()、getaddrinfo()、gethostbyaddr()、および getnameinfo() 関数にアクセスするときに、ドメイン名はチェックおよびクリーニングされず、DNS サーバーによって返された名前です。 たとえば、特定の解決リクエストに応じて、攻撃者が制御する DNS サーバーは、次の形式のホストを返す可能性があります。 alert(‘xss’) .攻撃者.com" と、それらはクリーンアップせずに Web インターフェイスに表示できるプログラムに変更されずに返されます。 この問題は、Glibc と同様に、返されたドメイン名を検証するコードを追加することにより、uclibc-ng 1.0.39 リリースで修正されました。
出所: オープンネット.ru