Дослідники з компаній Claroty та JFrog опублікували результати аудиту безпеки пакету BusyBox, що широко використовується у вбудовуваних пристроях і пропонує набір стандартних утиліт UNIX, оформлених у вигляді єдиного файлу, що виконується. У ході перевірки виявлено 14 уразливостей, які вже усунуті у серпневому випуску BusyBox 1.34. Майже всі проблеми є безпечними і сумнівними з точки зору застосування в реальних атаках, оскільки вимагають запуску утиліт з отриманими ззовні аргументами.
Окремо виділяється вразливість CVE-2021-42374, яка дозволяє викликати відмову в обслуговуванні при обробці спеціально оформленого стисненого файлу утилітою unlzma, а у разі збирання з опцій CONFIG_FEATURE_SEAMLESS_LZMA, також будь-якими іншими компонентами BusyBox, включаючи tar, .
Вразливості CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 та CVE-2021-42377 дозволяють викликати відмову в обслуговуванні, але вимагають запуску утиліт man, ash та hush з параметрами, заданими атакуючим. Вразливості з CVE-2021-42378 по CVE-2021-42386 зачіпають утиліту awk і потенційно можуть призвести до запуску коду, але для цього атакуючому потрібно домогтися виконання в awk певного шаблону (необхідно запустити awk з передачею в першому аргументі атакуючого).
Додатково також можна відзначити вразливість (CVE-2021-43523) у бібліотеках uclibc та uclibc-ng, пов'язану з тим, що при зверненні до функцій gethostbyname(), getaddrinfo(), gethostbyaddr() та getnameinfo() не виконується перевірка та чищення будинку імені, повернутий DNS-сервером. Наприклад, у відповідь на певний запит резолвінгу підконтрольний зловмиснику DNS-сервер може повернути хости виду alert(‘xss’) .attacker.com» і вони будуть у незмінному вигляді повернуті якійсь програмі, яка без чищення може відобразити їхній web-інтерфейс. Проблема усунена у випуску uclibc-ng 1.0.39 через додавання коду для перевірки коректності доменних імен, що повертаються, реалізованому за аналогією з Glibc.
Джерело: opennet.ru