ProHoster > ะ‘ะปะพะณ > เบ‚เปˆเบฒเบงโ€‹เบญเบดเบ™โ€‹เป€เบ•เบตโ€‹เป€เบ™เบฑเบ”โ€‹ > เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž BusyBox เป€เบ›เบตเบ”เป€เบœเบตเบ 14 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป€เบฅเบฑเบเบ™เป‰เบญเบ

เบเบฒเบ™เบงเบดเป€เบ„เบฒเบฐเบ„เบงเบฒเบกเบ›เบญเบ”เป„เบž BusyBox เป€เบ›เบตเบ”เป€เบœเบตเบ 14 เบŠเปˆเบญเบ‡เป‚เบซเบงเปˆเป€เบฅเบฑเบเบ™เป‰เบญเบ

ะ˜ััะปะตะดะพะฒะฐั‚ะตะปะธ ะธะท ะบะพะผะฟะฐะฝะธะน Claroty ะธ JFrog ะพะฟัƒะฑะปะธะบะพะฒะฐะปะธ ั€ะตะทัƒะปัŒั‚ะฐั‚ั‹ ะฐัƒะดะธั‚ะฐ ะฑะตะทะพะฟะฐัะฝะพัั‚ะธ ะฟะฐะบะตั‚ะฐ BusyBox, ัˆะธั€ะพะบะพ ะธัะฟะพะปัŒะทัƒะตะผะพะณะพ ะฒะพ ะฒัั‚ั€ะฐะธะฒะฐะตะผั‹ั… ัƒัั‚ั€ะพะนัั‚ะฒะฐั… ะธ ะฟั€ะตะดะปะฐะณะฐัŽั‰ะตะณะพ ะฝะฐะฑะพั€ ัั‚ะฐะฝะดะฐั€ั‚ะฝั‹ั… ัƒั‚ะธะปะธั‚ UNIX, ะพั„ะพั€ะผะปะตะฝะฝั‹ั… ะฒ ะฒะธะดะต ะตะดะธะฝะพะณะพ ะธัะฟะพะปะฝัะตะผะพะณะพ ั„ะฐะนะปะฐ. ะ’ ั…ะพะดะต ะฟั€ะพะฒะตั€ะบะธ ะฒั‹ัะฒะปะตะฝะพ 14 ัƒัะทะฒะธะผะพัั‚ะตะน, ะบะพั‚ะพั€ั‹ะต ัƒะถะต ัƒัั‚ั€ะฐะฝะตะฝั‹ ะฒ ะฐะฒะณัƒัั‚ะพะฒัะบะพะผ ะฒั‹ะฟัƒัะบะต BusyBox 1.34. ะŸะพั‡ั‚ะธ ะฒัะต ะฟั€ะพะฑะปะตะผั‹ ะฝะตะพะฟะฐัะฝั‹ ะธ ัะพะผะฝะธั‚ะตะปัŒะฝั‹ ั ั‚ะพั‡ะบะธ ะทั€ะตะฝะธั ะฟั€ะธะผะตะฝะตะฝะธั ะฒ ั€ะตะฐะปัŒะฝั‹ั… ะฐั‚ะฐะบะฐั…, ั‚ะฐะบ ะบะฐะบ ั‚ั€ะตะฑัƒัŽั‚ ะทะฐะฟัƒัะบะฐ ัƒั‚ะธะปะธั‚ ั ะฟะพะปัƒั‡ะตะฝะฝั‹ะผะธ ะธะทะฒะฝะต ะฐั€ะณัƒะผะตะฝั‚ะฐะผะธ.

ะžั‚ะดะตะปัŒะฝะพ ะฒั‹ะดะตะปัะตั‚ัั ัƒัะทะฒะธะผะพัั‚ัŒ CVE-2021-42374, ะบะพั‚ะพั€ะฐั ะฟะพะทะฒะพะปัะตั‚ ะฒั‹ะทะฒะฐั‚ัŒ ะพั‚ะบะฐะท ะฒ ะพะฑัะปัƒะถะธะฒะฐะฝะธะธ ะฟั€ะธ ะพะฑั€ะฐะฑะพั‚ะบะต ัะฟะตั†ะธะฐะปัŒะฝะพ ะพั„ะพั€ะผะปะตะฝะฝะพะณะพ ัะถะฐั‚ะพะณะพ ั„ะฐะนะปะฐ ัƒั‚ะธะปะธั‚ะพะน unlzma, ะฐ ะฒ ัะปัƒั‡ะฐะต ัะฑะพั€ะบะธ ั ะพะฟั†ะธะน CONFIG_FEATURE_SEAMLESS_LZMA, ั‚ะฐะบะถะต ะปัŽะฑั‹ะผะธ ะดั€ัƒะณะธะผะธ ะบะพะผะฟะพะฝะตะฝั‚ะฐะผะธ BusyBox, ะฒะบะปัŽั‡ะฐั tar, unzip, rpm, dpkg, lzma ะธ man.

ะฃัะทะฒะธะผะพัั‚ะธ CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ะธ CVE-2021-42377 ะฟะพะทะฒะพะปััŽั‚ ะฒั‹ะทะฒะฐั‚ัŒ ะพั‚ะบะฐะท ะฒ ะพะฑัะปัƒะถะธะฒะฐะฝะธะธ, ะฝะพ ั‚ั€ะตะฑัƒัŽั‚ ะทะฐะฟัƒัะบะฐ ัƒั‚ะธะปะธั‚ man, ash ะธ hush ั ะฟะฐั€ะฐะผะตั‚ั€ะฐะผะธ, ะทะฐะดะฐะฝะฝั‹ะผะธ ะฐั‚ะฐะบัƒัŽั‰ะธะผ. ะฃัะทะฒะธะผะพัั‚ะธ ั CVE-2021-42378 ะฟะพ CVE-2021-42386 ะทะฐั‚ั€ะฐะณะธะฒะฐัŽั‚ ัƒั‚ะธะปะธั‚ัƒ awk ะธ ะฟะพั‚ะตะฝั†ะธะฐะปัŒะฝะพ ะผะพะณัƒั‚ ะฟั€ะธะฒะตัั‚ะธ ะบ ะทะฐะฟัƒัะบัƒ ะบะพะดะฐ, ะฝะพ ะดะปั ัั‚ะพะณะพ ะฐั‚ะฐะบัƒัŽั‰ะตะผัƒ ั‚ั€ะตะฑัƒะตั‚ัั ะดะพะฑะธั‚ัŒัั ะฒั‹ะฟะพะปะฝะตะฝะธั ะฒ awk ะพะฟั€ะตะดะตะปั‘ะฝะฝะพะณะพ ัˆะฐะฑะปะพะฝะฐ (ะฝะตะพะฑั…ะพะดะธะผะพ ะทะฐะฟัƒัั‚ะธั‚ัŒ awk ั ะฟะตั€ะตะดะฐั‡ะตะน ะฒ ะฟะตั€ะฒะพะผ ะฐั€ะณัƒะผะตะฝั‚ะต ะบะพะผะฐะฝะดะฝะพะน ัั‚ั€ะพะบะธ ะดะฐะฝะฝั‹ั…, ะฟะพะปัƒั‡ะตะฝะฝั‹ั… ะพั‚ ะฐั‚ะฐะบัƒัŽั‰ะตะณะพ).

ะ”ะพะฟะพะปะฝะธั‚ะตะปัŒะฝะพ ั‚ะฐะบะถะต ะผะพะถะฝะพ ะพั‚ะผะตั‚ะธั‚ัŒ ัƒัะทะฒะธะผะพัั‚ัŒ (CVE-2021-43523) ะฒ ะฑะธะฑะปะธะพั‚ะตะบะฐั… uclibc ะธ uclibc-ng, ัะฒัะทะฐะฝะฝัƒัŽ ั ั‚ะตะผ, ั‡ั‚ะพ ะฟั€ะธ ะพะฑั€ะฐั‰ะตะฝะธะธ ะบ ั„ัƒะฝะบั†ะธัะผ gethostbyname(), getaddrinfo(), gethostbyaddr() ะธ getnameinfo() ะฝะต ะฒั‹ะฟะพะปะฝัะตั‚ัั ะฟั€ะพะฒะตั€ะบะฐ ะธ ั‡ะธัั‚ะบะฐ ะดะพะผะตะฝะฝะพะณะพ ะธะผะตะฝะธ, ะฒะพะทะฒั€ะฐั‰ั‘ะฝะฝะพะณะพ DNS-ัะตั€ะฒะตั€ะพะผ. ะะฐะฟั€ะธะผะตั€, ะฒ ะพั‚ะฒะตั‚ ะฝะฐ ะพะฟั€ะตะดะตะปั‘ะฝะฝั‹ะน ะทะฐะฟั€ะพั ั€ะตะทะพะปะฒะธะฝะณะฐ ะฟะพะดะบะพะฝั‚ั€ะพะปัŒะฝั‹ะน ะทะปะพัƒะผั‹ัˆะปะตะฝะฝะธะบัƒ DNS-ัะตั€ะฒะตั€ ะผะพะถะตั‚ ะฒะตั€ะฝัƒั‚ัŒ ั…ะพัั‚ั‹ ะฒะธะดะฐ ยซ<script>alert(โ€˜xssโ€™)</script>.attacker.comยป ะธ ะพะฝะธ ะฑัƒะดัƒั‚ ะฒ ะฝะตะธะทะผะตะฝะฝะพะผ ะฒะธะดะต ะฒะพะทะฒั€ะฐั‰ะตะฝั‹ ะบะฐะบะพะน-ั‚ะพ ะฟั€ะพะณั€ะฐะผะผะต, ะบะพั‚ะพั€ะฐั ะฑะตะท ั‡ะธัั‚ะบะธ ะผะพะถะตั‚ ะพั‚ะพะฑั€ะฐะทะธั‚ัŒ ะธั… web-ะธะฝั‚ะตั€ั„ะตะนัะต. ะŸั€ะพะฑะปะตะผะฐ ัƒัั‚ั€ะฐะฝะตะฝะฐ ะฒ ะฒั‹ะฟัƒัะบะต uclibc-ng 1.0.39 ั‡ะตั€ะตะท ะดะพะฑะฐะฒะปะตะฝะธะต ะบะพะดะฐ ะดะปั ะฟั€ะพะฒะตั€ะบะธ ะบะพั€ั€ะตะบั‚ะฝะพัั‚ะธ ะฒะพะทะฒั€ะฐั‰ะฐะตะผั‹ั… ะดะพะผะตะฝะฝั‹ั… ะธะผั‘ะฝ, ั€ะตะฐะปะธะทะพะฒะฐะฝะฝะพะผ ะฟะพ ะฐะฝะฐะปะพะณะธะธ ั Glibc.

เปเบซเบผเปˆเบ‡เบ‚เปเป‰เบกเบนเบ™: opennet.ru

เป€เบžเบตเปˆเบกเบ„เบงเบฒเบกเบ„เบดเบ”เป€เบซเบฑเบ™