Муҳаққиқон аз Claroty ва JFrog натиҷаҳои аудити амниятии BusyBox-ро нашр карданд, бастае, ки дар дастгоҳҳои дарунсохт васеъ истифода мешавад, маҷмӯи хидматҳои стандартии UNIX-ро пешниҳод мекунад, ки ҳамчун як файли иҷрошаванда баста шудаанд. Аудит 14 осебпазириро муайян кард, ки аллакай дар нашри моҳи августи BusyBox 1.34 ислоҳ шудаанд. Қариб ҳама мушкилот аз нуқтаи назари истифода шудан дар ҳамлаҳои воқеӣ безарар ва шубҳаоваранд, зеро онҳо хидматрасониҳои коммуналиро бо далелҳои аз берун гирифташуда талаб мекунанд.
Алоҳида, осебпазирии CVE-2021-42374 ҷудо карда шудааст, ки ба шумо имкон медиҳад, ки ҳангоми коркарди файли фишурдашудаи махсус тарҳрезишуда бо утилитаи unlzma ва дар сурати сохтан аз имконоти CONFIG_FEATURE_SEAMLESS_LZMA, инчунин аз ҷониби ҳама гуна дигар BusyBox боиси радди хидмат гардад. ҷузъҳо, аз ҷумла қатрон, unzip, rpm, dpkg, lzma ва man .
Осебиятҳои CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ва CVE-2021-42377 метавонанд радди хидматро ба вуҷуд оранд, аммо талаб мекунанд, ки утилитаҳои man, ash ва hush бо параметрҳои мушаххаси ҳамлакунанда кор кунанд. . Осебиятҳо аз CVE-2021-42378 то CVE-2021-42386 ба утилитаи awk таъсир мерасонанд ва эҳтимолан ба иҷроиши код оварда мерасонанд, аммо барои ин ҳамлакунанда бояд намунаи муайянеро дар awk иҷро кунад (бо маълумоти гирифташуда awk-ро оғоз кардан лозим аст. аз ҳамлагар).
Илова бар ин, осебпазириро (CVE-2021-43523) дар китобхонаҳои uclibc ва uclibc-ng низ метавон қайд кард, ки ба он вобаста аст, ки ҳангоми дастрасӣ ба функсияҳои gethostbyname(), getaddrinfo(), gethostbyaddr() ва getnameinfo() номи домен тафтиш ва тоза карда нашудааст. номе, ки сервери DNS баргардондааст. Масалан, дар посух ба дархости муайяни ҳалкунанда, сервери DNS, ки аз ҷониби ҳамлагар идора мешавад, метавонад ҳостҳои формаро баргардонад. alert(‘xss’) .attacker.com" ва онҳо бетағйир ба баъзе барномаҳое баргардонида мешаванд, ки метавонанд онҳоро дар интерфейси веб бе тозакунӣ намоиш диҳанд. Масъала дар версияи uclibc-ng 1.0.39 тавассути илова кардани код барои тасдиқи номҳои доменҳои баргардонидашуда, шабеҳи Glibc ҳал карда шуд.
Манбаъ: opennet.ru