ะััะปะตะดะพะฒะฐัะตะปะธ ะธะท ะบะพะผะฟะฐะฝะธะน Claroty ะธ JFrog ะพะฟัะฑะปะธะบะพะฒะฐะปะธ ัะตะทัะปััะฐัั ะฐัะดะธัะฐ ะฑะตะทะพะฟะฐัะฝะพััะธ ะฟะฐะบะตัะฐ BusyBox, ัะธัะพะบะพ ะธัะฟะพะปัะทัะตะผะพะณะพ ะฒะพ ะฒัััะฐะธะฒะฐะตะผัั ััััะพะนััะฒะฐั ะธ ะฟัะตะดะปะฐะณะฐััะตะณะพ ะฝะฐะฑะพั ััะฐะฝะดะฐััะฝัั ััะธะปะธั UNIX, ะพัะพัะผะปะตะฝะฝัั ะฒ ะฒะธะดะต ะตะดะธะฝะพะณะพ ะธัะฟะพะปะฝัะตะผะพะณะพ ัะฐะนะปะฐ. ะ ั ะพะดะต ะฟัะพะฒะตัะบะธ ะฒััะฒะปะตะฝะพ 14 ััะทะฒะธะผะพััะตะน, ะบะพัะพััะต ัะถะต ััััะฐะฝะตะฝั ะฒ ะฐะฒะณัััะพะฒัะบะพะผ ะฒัะฟััะบะต BusyBox 1.34. ะะพััะธ ะฒัะต ะฟัะพะฑะปะตะผั ะฝะตะพะฟะฐัะฝั ะธ ัะพะผะฝะธัะตะปัะฝั ั ัะพัะบะธ ะทัะตะฝะธั ะฟัะธะผะตะฝะตะฝะธั ะฒ ัะตะฐะปัะฝัั ะฐัะฐะบะฐั , ัะฐะบ ะบะฐะบ ััะตะฑััั ะทะฐะฟััะบะฐ ััะธะปะธั ั ะฟะพะปััะตะฝะฝัะผะธ ะธะทะฒะฝะต ะฐัะณัะผะตะฝัะฐะผะธ.
ะัะดะตะปัะฝะพ ะฒัะดะตะปัะตััั ััะทะฒะธะผะพััั CVE-2021-42374, ะบะพัะพัะฐั ะฟะพะทะฒะพะปัะตั ะฒัะทะฒะฐัั ะพัะบะฐะท ะฒ ะพะฑัะปัะถะธะฒะฐะฝะธะธ ะฟัะธ ะพะฑัะฐะฑะพัะบะต ัะฟะตัะธะฐะปัะฝะพ ะพัะพัะผะปะตะฝะฝะพะณะพ ัะถะฐัะพะณะพ ัะฐะนะปะฐ ััะธะปะธัะพะน unlzma, ะฐ ะฒ ัะปััะฐะต ัะฑะพัะบะธ ั ะพะฟัะธะน CONFIG_FEATURE_SEAMLESS_LZMA, ัะฐะบะถะต ะปัะฑัะผะธ ะดััะณะธะผะธ ะบะพะผะฟะพะฝะตะฝัะฐะผะธ BusyBox, ะฒะบะปััะฐั tar, unzip, rpm, dpkg, lzma ะธ man.
ะฃัะทะฒะธะผะพััะธ CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ะธ CVE-2021-42377 ะฟะพะทะฒะพะปััั ะฒัะทะฒะฐัั ะพัะบะฐะท ะฒ ะพะฑัะปัะถะธะฒะฐะฝะธะธ, ะฝะพ ััะตะฑััั ะทะฐะฟััะบะฐ ััะธะปะธั man, ash ะธ hush ั ะฟะฐัะฐะผะตััะฐะผะธ, ะทะฐะดะฐะฝะฝัะผะธ ะฐัะฐะบัััะธะผ. ะฃัะทะฒะธะผะพััะธ ั CVE-2021-42378 ะฟะพ CVE-2021-42386 ะทะฐััะฐะณะธะฒะฐัั ััะธะปะธัั awk ะธ ะฟะพัะตะฝัะธะฐะปัะฝะพ ะผะพะณัั ะฟัะธะฒะตััะธ ะบ ะทะฐะฟััะบั ะบะพะดะฐ, ะฝะพ ะดะปั ััะพะณะพ ะฐัะฐะบัััะตะผั ััะตะฑัะตััั ะดะพะฑะธัััั ะฒัะฟะพะปะฝะตะฝะธั ะฒ awk ะพะฟัะตะดะตะปัะฝะฝะพะณะพ ัะฐะฑะปะพะฝะฐ (ะฝะตะพะฑั ะพะดะธะผะพ ะทะฐะฟัััะธัั awk ั ะฟะตัะตะดะฐัะตะน ะฒ ะฟะตัะฒะพะผ ะฐัะณัะผะตะฝัะต ะบะพะผะฐะฝะดะฝะพะน ัััะพะบะธ ะดะฐะฝะฝัั , ะฟะพะปััะตะฝะฝัั ะพั ะฐัะฐะบัััะตะณะพ).
ะะพะฟะพะปะฝะธัะตะปัะฝะพ ัะฐะบะถะต ะผะพะถะฝะพ ะพัะผะตัะธัั ััะทะฒะธะผะพััั (CVE-2021-43523) ะฒ ะฑะธะฑะปะธะพัะตะบะฐั
uclibc ะธ uclibc-ng, ัะฒัะทะฐะฝะฝัั ั ัะตะผ, ััะพ ะฟัะธ ะพะฑัะฐัะตะฝะธะธ ะบ ััะฝะบัะธัะผ gethostbyname(), getaddrinfo(), gethostbyaddr() ะธ getnameinfo() ะฝะต ะฒัะฟะพะปะฝัะตััั ะฟัะพะฒะตัะบะฐ ะธ ัะธััะบะฐ ะดะพะผะตะฝะฝะพะณะพ ะธะผะตะฝะธ, ะฒะพะทะฒัะฐััะฝะฝะพะณะพ DNS-ัะตัะฒะตัะพะผ. ะะฐะฟัะธะผะตั, ะฒ ะพัะฒะตั ะฝะฐ ะพะฟัะตะดะตะปัะฝะฝัะน ะทะฐะฟัะพั ัะตะทะพะปะฒะธะฝะณะฐ ะฟะพะดะบะพะฝััะพะปัะฝัะน ะทะปะพัะผััะปะตะฝะฝะธะบั DNS-ัะตัะฒะตั ะผะพะถะตั ะฒะตัะฝััั ั
ะพััั ะฒะธะดะฐ ยซ<script>alert(โxssโ)</script>.attacker.comยป ะธ ะพะฝะธ ะฑัะดัั ะฒ ะฝะตะธะทะผะตะฝะฝะพะผ ะฒะธะดะต ะฒะพะทะฒัะฐัะตะฝั ะบะฐะบะพะน-ัะพ ะฟัะพะณัะฐะผะผะต, ะบะพัะพัะฐั ะฑะตะท ัะธััะบะธ ะผะพะถะตั ะพัะพะฑัะฐะทะธัั ะธั
web-ะธะฝัะตััะตะนัะต. ะัะพะฑะปะตะผะฐ ััััะฐะฝะตะฝะฐ ะฒ ะฒัะฟััะบะต uclibc-ng 1.0.39 ัะตัะตะท ะดะพะฑะฐะฒะปะตะฝะธะต ะบะพะดะฐ ะดะปั ะฟัะพะฒะตัะบะธ ะบะพััะตะบัะฝะพััะธ ะฒะพะทะฒัะฐัะฐะตะผัั
ะดะพะผะตะฝะฝัั
ะธะผัะฝ, ัะตะฐะปะธะทะพะฒะฐะฝะฝะพะผ ะฟะพ ะฐะฝะฐะปะพะณะธะธ ั Glibc.
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru