Forskere fra Claroty og JFrog har publisert resultatene av en sikkerhetsrevisjon av BusyBox, en pakke som er mye brukt i innebygde enheter som tilbyr et sett med standard UNIX-verktøy pakket som en enkelt kjørbar fil. Tilsynet identifiserte 14 sårbarheter som allerede er fikset i augustutgivelsen av BusyBox 1.34. Nesten alle problemer er ufarlige og tvilsomme med tanke på å bli brukt i virkelige angrep, siden de krever å kjøre verktøy med argumenter mottatt utenfra.
Separat er CVE-2021-42374-sårbarheten skilt ut, noe som lar deg forårsake tjenestenekt når du behandler en spesialdesignet komprimert fil med unlzma-verktøyet, og i tilfelle bygging fra CONFIG_FEATURE_SEAMLESS_LZMA-alternativene, også av andre BusyBox komponenter, inkludert tar, unzip, rpm, dpkg, lzma og man .
Sårbarheter CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 og CVE-2021-42377 kan forårsake tjenestenekt, men krever at man-, ash- og hush-verktøyene kjøres med angriperspesifiserte parametere . Sårbarheter fra CVE-2021-42378 til CVE-2021-42386 påvirker awk-verktøyet og kan potensielt føre til kodekjøring, men for dette må angriperen få et bestemt mønster til å kjøre i awk (det er nødvendig å starte awk med dataene som mottas fra angriperen).
I tillegg kan en sårbarhet (CVE-2021-43523) i uclibc- og uclibc-ng-bibliotekene også noteres, relatert til det faktum at når du får tilgang til funksjonene gethostbyname(), getaddriinfo(), gethostbyaddr() og getnameinfo() domenenavn er ikke sjekket og renset.navnet returnert av DNS-serveren. For eksempel, som svar på en bestemt løsningsforespørsel, kan en DNS-server kontrollert av en angriper returnere verter av skjemaet " alert(‘xss’) .attacker.com" og de vil bli returnert uendret til et program som kan vise dem i nettgrensesnittet uten rengjøring. Problemet er løst i uclibc-ng 1.0.39-utgivelsen ved å legge til kode for å validere returnerte domenenavn, lik Glibc.
Kilde: opennet.ru