Claroty 和 JFrog 的研究人员发布了 BusyBox 软件包的安全审核结果,该软件包广泛用于嵌入式设备,并提供一组打包在单个可执行文件中的标准 UNIX 实用程序。 在扫描过程中,发现了 14 个漏洞,这些漏洞已在 1.34 月份发布的 BusyBox XNUMX 中修复。 从实际攻击中使用的角度来看,几乎所有问题都是无害的和有问题的,因为它们需要使用从外部接收的参数来运行实用程序。
一个单独的漏洞是 CVE-2021-42374,它允许您在使用 unlzma 实用程序处理专门设计的压缩文件时以及使用 CONFIG_FEATURE_SEAMLESS_LZMA 选项进行组装时导致拒绝服务,还可以使用任何其他 BusyBox 组件,包括tar、unzip、rpm、dpkg、lzma 和 man 。
漏洞 CVE-2021-42373、CVE-2021-42375、CVE-2021-42376 和 CVE-2021-42377 可能导致拒绝服务,但需要使用攻击者指定的参数运行 man、ash 和 hush 实用程序。 漏洞 CVE-2021-42378 至 CVE-2021-42386 影响 awk 实用程序,并可能导致代码执行,但为此,攻击者需要确保在 awk 中执行特定模式(需要使用接收到的数据运行 awk)来自攻击者)。
此外,您还可以注意到 uclibc 和 uclibc-ng 库中的一个漏洞 (CVE-2021-43523),因为当访问函数 gethostbyname()、getaddrinfo()、gethostbyaddr() 和 getnameinfo() 时,域名未经 DNS 服务器返回的检查和清理名称。 例如,为了响应某个解析请求,攻击者控制的 DNS 服务器可以返回类似“ alert(‘xss’) .attacker.com”,它们将原封不动地返回到某个程序,无需清理,就可以在 Web 界面中显示它们。 该问题在 uclibc-ng 1.0.39 版本中得到了修复,通过添加代码来检查返回域名的正确性,其实现方式与 Glibc 类似。
来源: opennet.ru