Badacze z Claroty i JFrog opublikowali wyniki audytu bezpieczeństwa pakietu BusyBox, szeroko stosowanego w urządzeniach wbudowanych i oferującego zestaw standardowych narzędzi UNIX spakowanych w jednym pliku wykonywalnym. Podczas skanowania zidentyfikowano 14 luk, które zostały już naprawione w sierpniowym wydaniu BusyBox 1.34. Prawie wszystkie problemy są nieszkodliwe i wątpliwe z punktu widzenia wykorzystania w prawdziwych atakach, ponieważ wymagają uruchomienia narzędzi z argumentami otrzymanymi z zewnątrz.
Osobną luką jest CVE-2021-42374, która pozwala spowodować odmowę usługi podczas przetwarzania specjalnie zaprojektowanego skompresowanego pliku narzędziem unlzma, a w przypadku montażu z opcją CONFIG_FEATURE_SEAMLESS_LZMA także z dowolnymi innymi komponentami BusyBox, w tym tar, rozpakuj, obr/min, dpkg, lzma i man .
Luki CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 i CVE-2021-42377 mogą spowodować odmowę usługi, ale wymagają uruchomienia narzędzi man, ash i hush z parametrami określonymi przez atakującego. Luki od CVE-2021-42378 do CVE-2021-42386 wpływają na narzędzie awk i mogą potencjalnie prowadzić do wykonania kodu, ale w tym celu osoba atakująca musi upewnić się, że określony wzorzec zostanie wykonany w awk (konieczne jest uruchomienie awk z otrzymanymi danymi od napastnika).
Dodatkowo, warto zwrócić uwagę na lukę w zabezpieczeniach (CVE-2021-43523) w bibliotekach uclibc i uclibc-ng. Luka ta jest związana z faktem, że podczas wywołania funkcji gethostbyname(), getaddrinfo(), gethostbyaddr() i getnameinfo() nazwa domeny zwrócona przez serwer DNS nie jest weryfikowana ani czyszczona. Na przykład, w odpowiedzi na określone żądanie rozwiązania, kontrolowany przez atakującego serwer DNS może zwrócić hosty w postaci „ alert(‘xss’) .attacker.com” i zostaną one zwrócone w niezmienionej postaci do programu, który może je wyświetlić w interfejsie internetowym bez konieczności czyszczenia. Problem został rozwiązany w wersji uclibc-ng 1.0.39 poprzez dodanie kodu sprawdzającego poprawność zwróconych danych. nazwy domen, zaimplementowano podobnie do Glibc.
Źródło: opennet.ru
