Výskumníci z Claroty a JFrog zverejnili výsledky bezpečnostného auditu BusyBox, balíka široko používaného vo vstavaných zariadeniach, ktorý ponúka sadu štandardných UNIXových utilít zabalených ako jeden spustiteľný súbor. Audit identifikoval 14 zraniteľností, ktoré už boli opravené v augustovom vydaní BusyBox 1.34. Takmer všetky problémy sú neškodné a diskutabilné z hľadiska použitia v skutočných útokoch, pretože vyžadujú spustenie utilít s argumentmi prijatými zvonku.
Samostatne je vyčlenená zraniteľnosť CVE-2021-42374, ktorá vám umožňuje spôsobiť odmietnutie služby pri spracovaní špeciálne navrhnutého komprimovaného súboru pomocou utility unlzma a v prípade zostavovania z možností CONFIG_FEATURE_SEAMLESS_LZMA aj pomocou akéhokoľvek iného BusyBoxu. komponenty vrátane tar, unzip, rpm, dpkg, lzma a man .
Chyby zabezpečenia CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 a CVE-2021-42377 môžu spôsobiť odmietnutie služby, ale vyžadujú, aby boli nástroje man, ash a hush spustené s parametrami špecifikovanými útočníkom . Chyby zabezpečenia od CVE-2021-42378 po CVE-2021-42386 ovplyvňujú pomôcku awk a môžu potenciálne viesť k spusteniu kódu, ale na to musí útočník spustiť určitý vzor v awk (je potrebné spustiť awk s prijatými údajmi od útočníka).
Okrem toho možno zaznamenať aj zraniteľnosť (CVE-2021-43523) v knižniciach uclibc a uclibc-ng, ktorá súvisí so skutočnosťou, že pri prístupe k funkciám gethostbyname(), getaddrinfo(), gethostbyaddr() a getnameinfo() názov domény nie je skontrolovaný a vyčistený. názov vrátený serverom DNS. Napríklad v reakcii na určitú požiadavku na vyriešenie môže server DNS kontrolovaný útočníkom vrátiť hostiteľov v tvare „ alert(‘xss’) .attacker.com“ a nezmenené sa vrátia nejakému programu, ktorý ich dokáže zobraziť vo webovom rozhraní bez čistenia. Problém bol vyriešený vo vydaní uclibc-ng 1.0.39 pridaním kódu na overenie vrátených názvov domén, podobne ako Glibc.
Zdroj: opennet.ru