ProHoster > Blog > balita sa internet > Ang Pagsusuri sa Seguridad ng BusyBox ay Nagpapakita ng 14 Maliliit na Kahinaan

Ang Pagsusuri sa Seguridad ng BusyBox ay Nagpapakita ng 14 Maliliit na Kahinaan

Ang mga mananaliksik mula sa Claroty at JFrog ay nag-publish ng mga resulta ng isang security audit ng BusyBox, isang package na malawakang ginagamit sa mga naka-embed na device na nag-aalok ng isang set ng mga karaniwang UNIX utilities na naka-package bilang isang executable file. Tinukoy ng audit ang 14 na mga kahinaan na naayos na sa paglabas ng BusyBox 1.34 sa Agosto. Halos lahat ng mga problema ay hindi nakakapinsala at kaduda-dudang mula sa punto ng view ng paggamit sa mga tunay na pag-atake, dahil nangangailangan sila ng pagpapatakbo ng mga utility na may mga argumentong natanggap mula sa labas.

Hiwalay, ang CVE-2021-42374 na kahinaan ay ibinukod, na nagbibigay-daan sa iyong magdulot ng pagtanggi sa serbisyo kapag nagpoproseso ng espesyal na idinisenyong naka-compress na file gamit ang unlzma utility, at sa kaso ng pagbuo mula sa mga opsyon na CONFIG_FEATURE_SEAMLESS_LZMA, gayundin ng anumang iba pang BusyBox mga bahagi, kabilang ang tar, unzip, rpm, dpkg, lzma at man .

Ang mga kahinaan na CVE-2021-42373, CVE-2021-42375, CVE-2021-42376, at CVE-2021-42377 ay maaaring magdulot ng pagtanggi sa serbisyo, ngunit nangangailangan ng man, ash, at hush utility na patakbuhin ang mga parameter na tinukoy ng attacker . Ang mga kahinaan mula sa CVE-2021-42378 hanggang CVE-2021-42386 ay nakakaapekto sa awk utility at posibleng humantong sa code execution, ngunit para dito kailangan ng attacker na gumawa ng isang partikular na pattern na isakatuparan sa awk (kinakailangan na simulan ang awk gamit ang data na natanggap mula sa umaatake).

Bilang karagdagan, ang isang kahinaan (CVE-2021-43523) sa uclibc at uclibc-ng mga aklatan ay maaari ding mapansin, na nauugnay sa katotohanan na kapag ina-access ang mga function ng gethostbyname(), getaddrinfo(), gethostbyaddr() at getnameinfo(), ang hindi sinusuri at nililinis ang pangalan ng domain. ang pangalan na ibinalik ng DNS server. Halimbawa, bilang tugon sa isang partikular na kahilingan sa paglutas, ang isang DNS server na kinokontrol ng isang umaatake ay maaaring magbalik ng mga host ng form na " alert(β€˜xss’) .attacker.com" at ibabalik ang mga ito nang hindi nagbabago sa ilang program na maaaring magpakita sa kanila sa web interface nang hindi nililinis. Naayos na ang isyu sa uclibc-ng 1.0.39 na release sa pamamagitan ng pagdaragdag ng code para ma-validate ang mga ibinalik na domain name, katulad ng Glibc.

Pinagmulan: opennet.ru

Magdagdag ng komento