Raziskovalci iz Claroty in JFrog so objavili rezultate varnostne revizije BusyBoxa, paketa, ki se pogosto uporablja v vgrajenih napravah in ponuja nabor standardnih pripomočkov UNIX, pakiranih v eno samo izvršljivo datoteko. Revizija je odkrila 14 ranljivosti, ki so bile že odpravljene v avgustovski izdaji BusyBox 1.34. Skoraj vse težave so neškodljive in vprašljive z vidika uporabe v resničnih napadih, saj zahtevajo izvajanje pripomočkov z argumenti, prejetimi od zunaj.
Ločeno je izpostavljena ranljivost CVE-2021-42374, ki vam omogoča, da povzročite zavrnitev storitve pri obdelavi posebej oblikovane stisnjene datoteke s pripomočkom unlzma in v primeru gradnje iz možnosti CONFIG_FEATURE_SEAMLESS_LZMA tudi s katerim koli drugim BusyBoxom komponente, vključno s tar, unzip, rpm, dpkg, lzma in man.
Ranljivosti CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 in CVE-2021-42377 lahko povzročijo zavrnitev storitve, vendar zahtevajo, da se pripomočki man, ash in hush izvajajo s parametri, ki jih določi napadalec . Ranljivosti od CVE-2021-42378 do CVE-2021-42386 vplivajo na pripomoček awk in lahko vodijo do izvajanja kode, vendar mora napadalec za to izvesti določen vzorec, ki se izvede v awk (potrebno je zagnati awk s prejetimi podatki od napadalca).
Poleg tega je mogoče opaziti tudi ranljivost (CVE-2021-43523) v knjižnicah uclibc in uclibc-ng, povezano z dejstvom, da pri dostopu do funkcij gethostbyname(), getaddrinfo(), gethostbyaddr() in getnameinfo() ime domene ni preverjeno in očiščeno ime, ki ga vrne strežnik DNS. Na primer, kot odgovor na določeno zahtevo za reševanje lahko strežnik DNS, ki ga nadzoruje napadalec, vrne gostitelje v obliki " alert(‘xss’) .attacker.com" in bodo nespremenjeni vrnjeni nekemu programu, ki jih lahko prikaže v spletnem vmesniku brez čiščenja. Težava je bila odpravljena v izdaji uclibc-ng 1.0.39 z dodajanjem kode za preverjanje vrnjenih domenskih imen, podobno kot Glibc.
Vir: opennet.ru