ProHoster > Блог > rongo ipurangi > Ko te Tirohanga Haumarutanga a BusyBox e whakaatu ana i nga Whakaraeraetanga Iti 14

Ko te Tirohanga Haumarutanga a BusyBox e whakaatu ana i nga Whakaraeraetanga Iti 14

Kua whakaputahia e nga Kairangahau mai i Claroty me JFrog nga hua o te arotakenga haumarutanga o te kete BusyBox, e whakamahia whanuitia ana i roto i nga taputapu whakauru me te tuku i te huinga taputapu UNIX paerewa kua whakaemihia ki te konae kotahi. I te wa o te karapa, i kitea nga whakaraeraetanga 14, kua oti te whakarite i te tukunga o Akuhata o BusyBox 1.34. Tata ki nga raru katoa kaore he kino me te paatai ​​​​mai i te tirohanga o te whakamahi i nga whakaeke tuuturu, na te mea e hiahia ana ratou ki te whakahaere taputapu me nga tautohetohe i whakawhiwhia mai i waho.

Ko te whakaraeraetanga motuhake ko te CVE-2021-42374, ka taea e koe te whakakore i te ratonga i te wa e tukatuka ana i tetahi konae kua oti te whakarite me te whaipainga unlzma, me te huihuinga me nga whiringa CONFIG_FEATURE_SEAMLESS_LZMA, me etahi atu waahanga BusyBox, tae atu ki tar, wetewete, rpm, dpkg, lzma me te tangata.

Ko nga whakaraeraetanga CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 me CVE-2021-42377 ka taea te whakakore i te ratonga, engari me whakahaere te tangata, te pungarehu me nga taputapu wahangu me nga tawhā kua tohua e te kaipatu. Ko nga whakaraeraetanga CVE-2021-42378 ki te CVE-2021-42386 ka pa ki te whaipainga awk ka arahi pea ki te mahi waehere, engari mo tenei me whakarite e te kaitukino ka mahia tetahi tauira i roto i te awk (he mea tika kia whakahaere awk me nga raraunga kua riro. mai i te kaitukino).

I tua atu, ka taea hoki e koe te kite i te whakaraeraetanga (CVE-2021-43523) i roto i nga whare pukapuka uclibc me uclibc-ng, na te mea ka uru ki nga mahi gethostbyname(), getaddrinfo(), gethostbyaddr() me getnameinfo(), te Ko te ingoa rohe kaore i te tirohia, ka horoia te ingoa i whakahokia mai e te tūmau DNS. Hei tauira, hei whakautu ki tetahi tono whakatau, ka taea e te tūmau DNS e whakahaeretia ana e te kaitukino te whakahoki i nga kaihautu penei i te "alert('xss').attacker.com" a ka whakahokia mai ki etahi papatono. e, kahore horoi taea whakaatu ratou i roto i te atanga tukutuku. I whakatikahia te raru i te tukunga o te uclibc-ng 1.0.39 ma te taapiri i te waehere hei tirotiro i te tika o nga ingoa rohe kua whakahokia mai, he rite tonu te whakatinana ki a Glibc.

Source: opennet.ru

Tāpiri i te kōrero