Claroty மற்றும் JFrog இன் ஆராய்ச்சியாளர்கள் BusyBox தொகுப்பின் பாதுகாப்பு தணிக்கை முடிவுகளை வெளியிட்டுள்ளனர், இது உட்பொதிக்கப்பட்ட சாதனங்களில் பரவலாகப் பயன்படுத்தப்படுகிறது மற்றும் ஒரே இயங்கக்கூடிய கோப்பில் தொகுக்கப்பட்ட நிலையான UNIX பயன்பாடுகளின் தொகுப்பை வழங்குகிறது. ஸ்கேன் செய்யும் போது, 14 பாதிப்புகள் கண்டறியப்பட்டன, இவை ஏற்கனவே ஆகஸ்ட் வெளியீட்டில் பிஸிபாக்ஸ் 1.34 இல் சரி செய்யப்பட்டுள்ளன. உண்மையான தாக்குதல்களில் பயன்பாட்டின் பார்வையில் கிட்டத்தட்ட எல்லா சிக்கல்களும் பாதிப்பில்லாதவை மற்றும் சந்தேகத்திற்குரியவை, ஏனெனில் அவை வெளியில் இருந்து பெறப்பட்ட வாதங்களுடன் இயங்கும் பயன்பாடுகள் தேவைப்படுகின்றன.
ஒரு தனி பாதிப்பு CVE-2021-42374 ஆகும், இது unlzma பயன்பாட்டுடன் சிறப்பாக வடிவமைக்கப்பட்ட சுருக்கப்பட்ட கோப்பை செயலாக்கும் போது சேவை மறுப்பை ஏற்படுத்த உங்களை அனுமதிக்கிறது, மேலும் CONFIG_FEATURE_SEAMLESS_LZMA விருப்பங்கள், மேலும் பிஸிபாக்ஸ் கூறுகள் உட்பட, tar, unzip, rpm, dpkg, lzma மற்றும் man .
பாதிப்புகள் CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 மற்றும் CVE-2021-42377 ஆகியவை சேவை மறுப்பை ஏற்படுத்தலாம், ஆனால் தாக்குபவர்கள் குறிப்பிடப்பட்ட அளவுருக்களுடன் மேன், சாம்பல் மற்றும் ஹஷ் பயன்பாடுகளை இயக்க வேண்டும். பாதிப்புகள் CVE-2021-42378 முதல் CVE-2021-42386 வரை awk பயன்பாட்டினைப் பாதிக்கிறது மற்றும் குறியீடு செயலாக்கத்திற்கு வழிவகுக்கலாம், ஆனால் இதற்குத் தாக்குபவர் ஒரு குறிப்பிட்ட முறை awk இல் செயல்படுத்தப்படுவதை உறுதி செய்ய வேண்டும் (பெறப்பட்ட தரவுகளுடன் awk ஐ இயக்க வேண்டியது அவசியம். தாக்குபவர் இருந்து).
கூடுதலாக, uclibc மற்றும் uclibc-ng லைப்ரரிகளில் பாதிப்பு (CVE-2021-43523) இருப்பதையும் நீங்கள் கவனிக்கலாம், ஏனெனில் செயல்பாடுகளை அணுகும்போது gethostbyname(), getaddrinfo(), gethostbyaddr() மற்றும் getnameinfo(), டொமைன் பெயர் சரிபார்க்கப்படவில்லை மற்றும் சுத்தம் செய்யப்பட்ட பெயர் DNS சேவையகத்தால் திருப்பியளிக்கப்பட்டது. எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட தெளிவுத்திறன் கோரிக்கைக்கு பதிலளிக்கும் விதமாக, தாக்குபவர்களால் கட்டுப்படுத்தப்படும் DNS சேவையகம் "" போன்ற ஹோஸ்ட்களை வழங்கும் alert(‘xss’) .attacker.com" மற்றும் அவை சில நிரல்களுக்கு மாறாமல் திருப்பி அனுப்பப்படும், அவை சுத்தம் செய்யாமல், அவற்றை இணைய இடைமுகத்தில் காண்பிக்க முடியும். uclibc-ng 1.0.39 வெளியீட்டில், Glibc போலவே செயல்படுத்தப்பட்ட டொமைன் பெயர்களின் சரியான தன்மையை சரிபார்க்க குறியீட்டைச் சேர்ப்பதன் மூலம் சிக்கல் சரி செய்யப்பட்டது.
ஆதாரம்: opennet.ru