Claroty සහ JFrog හි පර්යේෂකයන් විසින් BusyBox පැකේජයේ ආරක්ෂක විගණනයක ප්රතිඵල ප්රකාශයට පත් කර ඇත, එය කාවැද්දූ උපාංගවල බහුලව භාවිතා වන අතර තනි ක්රියාත්මක කළ හැකි ගොනුවක ඇසුරුම් කර ඇති සම්මත UNIX උපයෝගිතා කට්ටලයක් ඉදිරිපත් කරයි. ස්කෑන් කිරීමේදී, දුර්වලතා 14 ක් හඳුනාගෙන ඇති අතර, ඒවා දැනටමත් අගෝස්තු මාසයේ BusyBox 1.34 නිකුතුවේ නිරාකරණය කර ඇත. පිටතින් ලැබෙන තර්ක සමඟින් ධාවනය වන උපයෝගිතා අවශ්ය වන බැවින්, සැබෑ ප්රහාරවල භාවිතයේ දෘෂ්ටි කෝණයෙන් සියලුම ගැටලු පාහේ හානිකර සහ සැක සහිත ය.
වෙනම අවදානමක් වන්නේ CVE-2021-42374, එය unlzma උපයෝගිතා සමඟ විශේෂයෙන් නිර්මාණය කරන ලද සම්පීඩිත ගොනුවක් සැකසීමේදී සහ CONFIG_FEATURE_SEAMLESS_LZMA විකල්පයන් සමඟ එකලස් කිරීමේදී සේවා ප්රතික්ෂේප කිරීමක් ඇති කිරීමට ඔබට ඉඩ සලසයි. tar, unzip, rpm, dpkg, lzma සහ මිනිසා .
අවදානම් CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 සහ CVE-2021-42377 සේවාව ප්රතික්ෂේප කිරීමට හේතු විය හැක, නමුත් ප්රහාරකයින් විසින් නිශ්චිතව දක්වා ඇති මිනිසා, අළු සහ හිස් උපයෝගිතා ධාවනය කිරීම අවශ්ය වේ. අවදානම් CVE-2021-42378 සිට CVE-2021-42386 දක්වා awk උපයෝගීතාවයට බලපාන අතර කේත ක්රියාත්මක වීමට හේතු විය හැක, නමුත් මේ සඳහා ප්රහාරකයා යම් රටාවක් awk තුළ ක්රියාත්මක වන බව සහතික කළ යුතුය (ලැබෙන දත්ත සමඟ awk ධාවනය කිරීම අවශ්ය වේ. ප්රහාරකයාගෙන්).
මීට අමතරව, ඔබට gethostbyname(), getaddrinfo(), gethostbyaddr() සහ getnameinfo(), යන ශ්රිතවලට ප්රවේශ වීම නිසා uclibc සහ uclibc-ng පුස්තකාලවල අවදානමක් (CVE-2021-43523) සටහන් කළ හැක. වසම් නාමය පරීක්ෂා කර නැති අතර පිරිසිදු කළ නම DNS සේවාදායකය විසින් ආපසු ලබා දෙනු ලැබේ. උදාහරණයක් ලෙස, නිශ්චිත විභේදන ඉල්ලීමකට ප්රතිචාර වශයෙන්, ප්රහාරකයෙකු විසින් පාලනය කරන ලද DNS සේවාදායකයකට “alert('xss').attacker.com” වැනි ධාරක ආපසු ලබා දිය හැකි අතර ඒවා යම් වැඩසටහනකට නොවෙනස්ව ආපසු ලබා දෙනු ඇත. එනම්, පිරිසිදු කිරීමකින් තොරව ඒවා වෙබ් අතුරු මුහුණතෙහි පෙන්විය හැක. uclibc-ng 1.0.39 නිකුතුවේදී ගැටළුව විසඳන ලද්දේ Glibc හා සමානව ක්රියාත්මක කරන ලද ආපසු ලබා දුන් වසම් නාමවල නිවැරදි බව පරීක්ෂා කිරීම සඳහා කේතය එක් කිරීමෙනි.
මූලාශ්රය: opennet.ru