Pētnieki no Claroty un JFrog ir publicējuši BusyBox pakotnes drošības audita rezultātus, ko plaši izmanto iegultās ierīcēs un piedāvā standarta UNIX utilītu komplektu, kas iesaiņots vienā izpildāmā failā. Skenēšanas laikā tika konstatētas 14 ievainojamības, kas jau ir novērstas BusyBox 1.34 augusta laidienā. Gandrīz visas problēmas ir nekaitīgas un apšaubāmas no izmantošanas viedokļa reālos uzbrukumos, jo tām ir jāpalaiž utilītas ar argumentiem, kas saņemti no ārpuses.
Atsevišķa ievainojamība ir CVE-2021-42374, kas ļauj izraisīt pakalpojuma atteikumu, apstrādājot īpaši izstrādātu saspiestu failu ar utilītu unlzma, un montāžas gadījumā ar opcijām CONFIG_FEATURE_SEAMLESS_LZMA arī ar jebkuru citu BusyBox komponentu, t.sk. darva, unzip, rpm, dpkg, lzma un cilvēks .
Ievainojamības CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 un CVE-2021-42377 var izraisīt pakalpojuma atteikumu, taču ir jāpalaiž man, ash un hush utilītas ar uzbrucēja norādītajiem parametriem. Ievainojamības no CVE-2021-42378 līdz CVE-2021-42386 ietekmē awk utilītu un, iespējams, var izraisīt koda izpildi, taču šim uzbrucējam ir jānodrošina, lai awk tiktu izpildīts noteikts modelis (ir nepieciešams palaist awk ar saņemtajiem datiem no uzbrucēja).
Turklāt varat arī atzīmēt ievainojamību (CVE-2021-43523) bibliotēkās uclibc un uclibc-ng, jo, piekļūstot funkcijām gethostbyname(), getaddrinfo(), gethostbyaddr() un getnameinfo(), domēna vārds netiek pārbaudīts un DNS serveris atgriezts notīrītais nosaukums. Piemēram, atbildot uz noteiktu atrisinājuma pieprasījumu, DNS serveris, ko kontrolē uzbrucējs, var atgriezt saimniekdatorus, piemēram, “alert('xss').attacker.com”, un tie tiks atgriezti nemainīti kādai programmai. kas bez tīrīšanas var tos parādīt tīmekļa saskarnē. Problēma tika novērsta uclibc-ng 1.0.39 izlaidumā, pievienojot kodu, lai pārbaudītu atgriezto domēna nosaukumu pareizību, kas ieviesta līdzīgi kā Glibc.
Avots: opennet.ru