Fuerscher vu Claroty a JFrog hunn d'Resultater vun engem Sécherheetsaudit vu BusyBox publizéiert, e Package dat wäit an embedded Geräter benotzt gëtt, deen e Set vu Standard UNIX Utilities ubitt, verpackt als eenzeg ausführbar Datei. Den Audit identifizéiert 14 Schwachstelle, déi schonn an der August Verëffentlechung vu BusyBox 1.34 fixéiert goufen. Bal all Probleemer sinn harmlos an zweifelhaft aus der Siicht fir an echte Attacke benotzt ze ginn, well se erfuerderen Utilities mat Argumenter, déi vu baussen kritt ginn.
Separat gëtt d'CVE-2021-42374 Schwachstelle ausgezeechent, wat Iech erlaabt e Verweigerung vum Service ze verursaachen wann Dir eng speziell entworf kompriméiert Datei mat der Unlzma Utility veraarbecht, an am Fall vum Bau vun den CONFIG_FEATURE_SEAMLESS_LZMA Optiounen, och duerch all aner BusyBox Komponenten, dorënner tar, unzip, rpm, dpkg, lzma a man .
Vulnerabilitéiten CVE-2021-42373, CVE-2021-42375, CVE-2021-42376, an CVE-2021-42377 kënnen e Verweigerung vum Service verursaachen, awer erfuerderen datt de Mann, Äschen an Hush Utilities mat Ugräifer spezifizéierte Parameteren lafen . Schwachstelle vu CVE-2021-42378 bis CVE-2021-42386 beaflossen den awk Utility a kënne potenziell zu Code Ausféierung féieren, awer dofir muss den Ugräifer e bestëmmt Muster an awk ausféieren (et ass néideg fir awk mat den empfangenen Donnéeën unzefänken vum Ugräifer).
Zousätzlech kann och eng Schwachstelle (CVE-2021-43523) an de uclibc an uclibc-ng Bibliothéike bemierkt ginn, am Zesummenhang mat der Tatsaach, datt wann Dir op d'gethostbyname(), getaddriinfo(), gethostbyaddr() an getnameinfo() Funktiounen zougitt, Domain Numm ass net iwwerpréift a gebotzt. den Numm vum DNS Server zréck. Zum Beispill, als Äntwert op eng bestëmmte Léisungsufro, kann en DNS-Server, deen vun engem Ugräifer kontrolléiert gëtt, Hoste vun der Form zréckginn " alert(‘xss’) .attacker.com" a si ginn onverännert an e puer Programm zréck, deen se an der Webinterface ouni Botzen affichéiere kann. D'Thema gouf an der uclibc-ng 1.0.39 Verëffentlechung fixéiert andeems de Code bäigefüügt gëtt fir zréckginn Domain Nimm ze validéieren, ähnlech wéi Glibc.
Source: opennet.ru