புரோஹோஸ்டர் > Блог > இணைய செய்தி > BusyBox பாதுகாப்பு பகுப்பாய்வு 14 சிறிய பாதிப்புகளை வெளிப்படுத்துகிறது

BusyBox பாதுகாப்பு பகுப்பாய்வு 14 சிறிய பாதிப்புகளை வெளிப்படுத்துகிறது

Claroty மற்றும் JFrog இன் ஆராய்ச்சியாளர்கள் BusyBox தொகுப்பின் பாதுகாப்பு தணிக்கை முடிவுகளை வெளியிட்டுள்ளனர், இது உட்பொதிக்கப்பட்ட சாதனங்களில் பரவலாகப் பயன்படுத்தப்படுகிறது மற்றும் ஒரே இயங்கக்கூடிய கோப்பில் தொகுக்கப்பட்ட நிலையான UNIX பயன்பாடுகளின் தொகுப்பை வழங்குகிறது. ஸ்கேன் செய்யும் போது, ​​14 பாதிப்புகள் கண்டறியப்பட்டன, இவை ஏற்கனவே ஆகஸ்ட் வெளியீட்டில் பிஸிபாக்ஸ் 1.34 இல் சரி செய்யப்பட்டுள்ளன. உண்மையான தாக்குதல்களில் பயன்பாட்டின் பார்வையில் கிட்டத்தட்ட எல்லா சிக்கல்களும் பாதிப்பில்லாதவை மற்றும் சந்தேகத்திற்குரியவை, ஏனெனில் அவை வெளியில் இருந்து பெறப்பட்ட வாதங்களுடன் இயங்கும் பயன்பாடுகள் தேவைப்படுகின்றன.

ஒரு தனி பாதிப்பு CVE-2021-42374 ஆகும், இது unlzma பயன்பாட்டுடன் சிறப்பாக வடிவமைக்கப்பட்ட சுருக்கப்பட்ட கோப்பை செயலாக்கும் போது சேவை மறுப்பை ஏற்படுத்த உங்களை அனுமதிக்கிறது, மேலும் CONFIG_FEATURE_SEAMLESS_LZMA விருப்பங்கள், மேலும் பிஸிபாக்ஸ் கூறுகள் உட்பட, tar, unzip, rpm, dpkg, lzma மற்றும் man .

பாதிப்புகள் CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 மற்றும் CVE-2021-42377 ஆகியவை சேவை மறுப்பை ஏற்படுத்தலாம், ஆனால் தாக்குபவர்கள் குறிப்பிடப்பட்ட அளவுருக்களுடன் மேன், சாம்பல் மற்றும் ஹஷ் பயன்பாடுகளை இயக்க வேண்டும். பாதிப்புகள் CVE-2021-42378 முதல் CVE-2021-42386 வரை awk பயன்பாட்டினைப் பாதிக்கிறது மற்றும் குறியீடு செயலாக்கத்திற்கு வழிவகுக்கலாம், ஆனால் இதற்குத் தாக்குபவர் ஒரு குறிப்பிட்ட முறை awk இல் செயல்படுத்தப்படுவதை உறுதி செய்ய வேண்டும் (பெறப்பட்ட தரவுகளுடன் awk ஐ இயக்க வேண்டியது அவசியம். தாக்குபவர் இருந்து).

கூடுதலாக, uclibc மற்றும் uclibc-ng லைப்ரரிகளில் பாதிப்பு (CVE-2021-43523) இருப்பதையும் நீங்கள் கவனிக்கலாம், ஏனெனில் செயல்பாடுகளை அணுகும்போது gethostbyname(), getaddrinfo(), gethostbyaddr() மற்றும் getnameinfo(), டொமைன் பெயர் சரிபார்க்கப்படவில்லை மற்றும் சுத்தம் செய்யப்பட்ட பெயர் DNS சேவையகத்தால் திருப்பியளிக்கப்பட்டது. எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட தெளிவுத்திறன் கோரிக்கைக்கு பதிலளிக்கும் விதமாக, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் DNS சேவையகம் "" போன்ற ஹோஸ்ட்களை வழங்கும் alert(‘xss’) .attacker.com" மற்றும் அவை சில நிரல்களுக்கு மாறாமல் திருப்பி அனுப்பப்படும், அவை சுத்தம் செய்யாமல், அவற்றை இணைய இடைமுகத்தில் காண்பிக்க முடியும். uclibc-ng 1.0.39 வெளியீட்டில், Glibc போலவே செயல்படுத்தப்பட்ட டொமைன் பெயர்களின் சரியான தன்மையை சரிபார்க்க குறியீட்டைச் சேர்ப்பதன் மூலம் சிக்கல் சரி செய்யப்பட்டது.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்