Riċerkaturi minn Claroty u JFrog ippubblikaw ir-riżultati ta 'verifika tas-sigurtà tal-pakkett BusyBox, użat ħafna f'apparat inkorporat u li joffri sett ta' utilitajiet UNIX standard ippakkjati f'fajl eżekutibbli wieħed. Matul l-iskan, ġew identifikati 14-il vulnerabbiltà, li diġà ġew iffissati fir-rilaxx ta 'Awwissu ta' BusyBox 1.34. Kważi l-problemi kollha ma jagħmlux ħsara u huma dubjużi mil-lat tal-użu f'attakki reali, peress li jeħtieġu t-tħaddim ta 'utilitajiet b'argumenti riċevuti minn barra.
Vulnerabilità separata hija CVE-2021-42374, li tippermettilek li tikkawża ċaħda ta' servizz meta tipproċessa fajl kompressat iddisinjat apposta bl-utilità unlzma, u fil-każ ta' assemblaġġ bl-għażliet CONFIG_FEATURE_SEAMLESS_LZMA, ukoll ma' kwalunkwe komponenti BusyBox oħra, inklużi qatran, unzip, rpm, dpkg, lzma u man .
Vulnerabbiltajiet CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 u CVE-2021-42377 jistgħu jikkawżaw ċaħda tas-servizz, iżda jeħtieġu t-tħaddim tal-utilitajiet man, ash and hush b'parametri speċifikati mill-attakkant. Il-vulnerabbiltajiet CVE-2021-42378 sa CVE-2021-42386 jaffettwaw l-utilità awk u jistgħu potenzjalment iwasslu għall-eżekuzzjoni tal-kodiċi, iżda għal dan l-attakkant jeħtieġ li jiżgura li ċertu mudell jiġi esegwit f'awk (huwa meħtieġ li titħaddem awk bid-dejta riċevuta mill-attakkant).
Barra minn hekk, ta’ min jinnota wkoll vulnerabbiltà (CVE-2021-43523) fil-libreriji uclibc u uclibc-ng. Din il-vulnerabbiltà hija relatata mal-fatt li meta ssejjaħ il-funzjonijiet gethostbyname(), getaddrinfo(), gethostbyaddr(), u getnameinfo(), l-isem tad-dominju rritornat mis-server DNS ma jiġix verifikat u mnaddaf. Pereżempju, b’reazzjoni għal ċerta talba ta’ riżoluzzjoni, server DNS ikkontrollat minn attakkant jista’ jirritorna hosts tal-forma " alert(‘xss’) .attacker.com" u se jintbagħtu lura mingħajr tibdil lil xi programm, li jista' jurihom fl-interfaċċja tal-web mingħajr ma jitnaddaf. Il-problema ġiet irranġata f'uclibc-ng 1.0.39 billi żdied kodiċi biex tiġi vverifikata l-korrettezza tad-dejta rritornata. ismijiet ta' dominji, implimentat b'mod simili għal Glibc.
Sors: opennet.ru
