Awọn oniwadi lati Claroty ati JFrog ti ṣe atẹjade awọn abajade ti iṣayẹwo aabo ti package BusyBox, ti a lo ni lilo pupọ ni awọn ẹrọ ti a fi sii ati fifun ni ipilẹ ti awọn ohun elo UNIX boṣewa ti a ṣajọpọ ni faili ṣiṣe kan. Lakoko ọlọjẹ naa, a ṣe idanimọ awọn ailagbara 14, eyiti o ti wa titi tẹlẹ ni idasilẹ Oṣu Kẹjọ ti BusyBox 1.34. Fere gbogbo awọn iṣoro jẹ laiseniyan ati ibeere lati oju-ọna ti lilo ni awọn ikọlu gidi, nitori wọn nilo awọn ohun elo ṣiṣe pẹlu awọn ariyanjiyan ti o gba lati ita.
Ailagbara ti o yatọ jẹ CVE-2021-42374, eyiti o fun ọ laaye lati fa kiko iṣẹ nigbati o ba n ṣiṣẹ faili fisinuirindigbindigbin ni pataki pẹlu ohun elo unlzma, ati ninu ọran apejọ pẹlu awọn aṣayan CONFIG_FEATURE_SEAMLESS_LZMA, pẹlu pẹlu awọn paati BusyBox miiran, pẹlu tar, unzip, rpm, dpkg, lzma ati okunrin.
Vulnerabilities CVE-2021-42373, CVE-2021-42375, CVE-2021-42376 ati CVE-2021-42377 le fa kiko ti iṣẹ, sugbon nilo nṣiṣẹ ọkunrin, ẽru ati hush awọn ohun elo pẹlu awọn paramita pàtó kan nipa awọn attacker. Awọn ailagbara CVE-2021-42378 si CVE-2021-42386 ni ipa lori ohun elo awk ati pe o le ja si ipaniyan koodu, ṣugbọn fun eyi ikọlu nilo lati rii daju pe ilana kan ti ṣiṣẹ ni awk (o jẹ dandan lati ṣiṣẹ awk pẹlu data ti o gba. lati ọdọ ikọlu).
Ni afikun, o tun le ṣe akiyesi ailagbara kan (CVE-2021-43523) ninu uclibc ati awọn ile-ikawe uclibc-ng, ti o ni nkan ṣe pẹlu otitọ pe nigbati o wọle si awọn iṣẹ naa gethostbyname (), getaddrinfo (), gethostbyaddr () ati getnameinfo (), awọn Orukọ ìkápá ko ni ṣayẹwo ati ti mọtoto orukọ ti o pada nipasẹ olupin DNS. Fun apẹẹrẹ, ni idahun si ibeere ipinnu kan kan, olupin DNS ti o ṣakoso nipasẹ ikọlu le da awọn ogun pada bi “alert('xss').attacker.com” ati pe wọn yoo pada wa laisi iyipada si eto kan. pe, laisi mimọ le han wọn ni wiwo wẹẹbu. Iṣoro naa ti wa titi ni itusilẹ ti uclibc-ng 1.0.39 nipa fifi koodu sii lati ṣayẹwo deede ti awọn orukọ-ašẹ ti o pada, ti a ṣe ni bakanna si Glibc.
orisun: opennet.ru