Raziskovalci iz podjetij Claroty in JFrog so objavili rezultate varnostne revizije programa BusyBox, paketa, ki se pogosto uporablja v vgrajenih napravah in ponuja nabor standardnih pripomočkov za UNIX, pakiranih kot ena sama izvedljiva datoteka. Revizija je odkrila 14 ranljivosti, ki so bile že odpravljene v avgustovski izdaji BusyBox 1.34. Skoraj vse težave so neškodljive in vprašljive za uporabo v napadih v resničnem svetu, saj zahtevajo zagon pripomočkov z zunanjimi argumenti.
Ločena ranljivost je CVE-2021-42374, ki omogoča, da pride do zavrnitve storitve pri obdelavi posebej izdelane stisnjene datoteke z uporabo pripomočka unlzma, in če je zgrajena z možnostmi CONFIG_FEATURE_SEAMLESS_LZMA, tudi s strani drugih komponent BusyBoxa, vključno s tar, unzip, rpm, dpkg, lzma in man.
Ranljivosti CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 in CVE-2021-42377 omogočajo zavrnitev storitve, vendar zahtevajo zagon pripomočkov man, ash in hush s parametri, ki jih določi napadalec. Ranljivosti od CVE-2021-42378 do CVE-2021-42386 vplivajo na pripomoček awk in lahko potencialno vodijo do izvajanja kode, vendar to od napadalca zahteva, da v awk izvede določen vzorec (z zagonom awk s podatki, ki jih določi napadalec, kot prvim argumentom ukazne vrstice).
Poleg tega je treba omeniti tudi ranljivost (CVE-2021-43523) v knjižnicah uclibc in uclibc-ng. Ta ranljivost je povezana z dejstvom, da pri klicanju funkcij gethostbyname(), getaddrinfo(), gethostbyaddr() in getnameinfo() ime domene, ki ga vrne strežnik DNS, ni preverjeno in očiščeno. Na primer, strežnik DNS, ki ga nadzoruje napadalec, bi lahko v odgovor na določeno zahtevo za razrešitev vrnil gostitelje oblike " alert(‘xss’) .attacker.com" in bodo nespremenjene vrnjene nekemu programu, ki jih lahko prikaže v spletnem vmesniku brez čiščenja. Težava je bila odpravljena v uclibc-ng 1.0.39 z dodajanjem kode za preverjanje pravilnosti vrnjenih podatkov. domenska imena, implementiran podobno kot Glibc.
Vir: opennet.ru
