Cilmi-baarayaasha Claroty iyo JFrog ayaa daabacay natiijooyinka baaritaanka amniga ee BusyBox, oo ah xirmo si ballaaran loo isticmaalo qalabyada ku dhex jira oo bixiya qalabyada UNIX ee caadiga ah oo loo soo duubay hal fayl oo la fulin karo. Hantidhawrku waxa uu aqoonsaday 14 dayacan oo mar hore la hagaajiyay siidaynta Agoosto ee BusyBox 1.34. Ku dhawaad dhammaan dhibaatooyinka waa kuwo aan waxyeello lahayn oo su'aal la iska waydiin karo marka loo eego aragtida loo adeegsado weerarrada dhabta ah, maadaama ay u baahan yihiin qalabyo ay wataan doodo dibadda laga keenay.
Si gooni ah, dayacanka CVE-2021-42374 waa la soocaa, kaas oo kuu ogolaanaya inaad keento diidmo adeeg markaad farsamaynayso fayl si gaar ah loo qaabeeyey oo leh utility unlzma, iyo xaalad ka dhisitaanka CONFIG_FEATURE_SEAMLESS_LZMA fursadaha, iyo sidoo kale BusyBox kale qaybaha, oo ay ku jiraan daamur, unzip, rpm, dpkg, lzma iyo man .
Nuglaanta CVE-2021-42373, CVE-2021-42375, CVE-2021-42376, iyo CVE-2021-42377 waxay keeni karaan diidmo adeeg, laakiin waxay u baahan yihiin ninka, dambaska, iyo yutiilitida xashiishka in lagu maamulo cabirro gaar ah weerarka . Nuglaanta laga bilaabo CVE-2021-42378 ilaa CVE-2021-42386 waxay saameeyaan utility awk waxayna u horseedi kartaa inay horseeddo fulinta code, laakiin tan weeraryahanku wuxuu u baahan yahay inuu sameeyo qaab gaar ah oo lagu fuliyo awk (waa lagama maarmaan in la bilaabo awk xogta la helay). ka soo weeraray).
Intaa waxaa dheer, nuglaanta (CVE-2021-43523) ee uclibc iyo uclibc-ng maktabadaha sidoo kale waa la xusi karaa, oo la xiriirta xaqiiqda ah in marka la gelayo gethostbyname (), getaddrinfo (), gethostbyaddr () iyo getnameinfo () shaqooyinka, Magaca domain lama hubiyo lamana nadiifin magaca uu soo celiyay server-ka DNS. Tusaale ahaan, iyada oo laga jawaabayo codsi xalin gaar ah, server-ka DNS ee uu gacanta ku hayo weeraryahanku wuxuu soo celin karaa martigaliyayaasha foomka " alert(‘xss’) weeraryahan Arrinka waxaa lagu hagaajiyay uclibc-ng 1.0.39 siideynta iyadoo lagu daray kood si loo ansixiyo magacyada domain ee la soo celiyay, oo la mid ah Glibc.
Source: opennet.ru