Riċerkaturi minn Claroty u JFrog ippubblikaw ir-riżultati ta 'verifika tas-sigurtà tal-pakkett BusyBox, użat ħafna f'apparat inkorporat u li joffri sett ta' utilitajiet UNIX standard ippakkjati f'fajl eżekutibbli wieħed. Matul l-iskan, ġew identifikati 14-il vulnerabbiltà, li diġà ġew iffissati fir-rilaxx ta 'Awwissu ta' BusyBox 1.34. Kważi l-problemi kollha ma jagħmlux ħsara u huma dubjużi mil-lat tal-użu f'attakki reali, peress li jeħtieġu t-tħaddim ta 'utilitajiet b'argumenti riċevuti minn barra.
Vulnerabilità separata hija CVE-2021-42374, li tippermettilek li tikkawża ċaħda ta' servizz meta tipproċessa fajl kompressat iddisinjat apposta bl-utilità unlzma, u fil-każ ta' assemblaġġ bl-għażliet CONFIG_FEATURE_SEAMLESS_LZMA, ukoll ma' kwalunkwe komponenti BusyBox oħra, inklużi qatran, unzip, rpm, dpkg, lzma u man .
Vulnerabbiltajiet CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 u CVE-2021-42377 jistgħu jikkawżaw ċaħda tas-servizz, iżda jeħtieġu t-tħaddim tal-utilitajiet man, ash and hush b'parametri speċifikati mill-attakkant. Il-vulnerabbiltajiet CVE-2021-42378 sa CVE-2021-42386 jaffettwaw l-utilità awk u jistgħu potenzjalment iwasslu għall-eżekuzzjoni tal-kodiċi, iżda għal dan l-attakkant jeħtieġ li jiżgura li ċertu mudell jiġi esegwit f'awk (huwa meħtieġ li titħaddem awk bid-dejta riċevuta mill-attakkant).
Barra minn hekk, tista’ wkoll tinnota vulnerabbiltà (CVE-2021-43523) fil-libreriji uclibc u uclibc-ng, minħabba l-fatt li meta taċċessa l-funzjonijiet gethostbyname(), getaddrinfo(), gethostbyaddr() u getnameinfo(), il- isem tad-dominju ma jiġix iċċekkjat u mnaddaf isem lura mis-server DNS. Pereżempju, bi tweġiba għal ċerta talba ta’ riżoluzzjoni, server DNS ikkontrollat minn attakkant jista’ jirritorna hosts bħal “ alert(‘xss’) .attacker.com" u se jiġu rritornati mhux mibdula għal xi programm li, mingħajr tindif, jista 'jurihom fl-interface tal-web. Il-problema ġiet irranġata fir-rilaxx ta 'uclibc-ng 1.0.39 billi żżid kodiċi biex tiċċekkja l-korrettezza tal-ismijiet tad-dominju rritornati, implimentati b'mod simili għal Glibc.
Sors: opennet.ru