Claroty 和 JFrog 的研究人員發布了 BusyBox 軟體包的安全審核結果,該軟體包廣泛用於嵌入式設備,並提供一組打包在單一執行檔中的標準 UNIX 實用程式。在掃描過程中,發現了 14 個漏洞,這些漏洞已在 1.34 月發布的 BusyBox XNUMX 中修復。從實際攻擊中使用的角度來看,幾乎所有問題都是無害的和有問題的,因為它們需要使用從外部接收的參數來運行實用程式。
一個單獨的漏洞是 CVE-2021-42374,它允許您在使用 unlzma 實用程式處理專門設計的壓縮檔案時以及使用 CONFIG_FEATURE_SEAMLESS_LZMA 選項進行組裝時導致拒絕服務,還可以使用任何其他 BusyBox 元件,包括tar、unzip、 rpm、dpkg、lzma 和man 。
漏洞 CVE-2021-42373、CVE-2021-42375、CVE-2021-42376 和 CVE-2021-42377 可能導致拒絕服務,但需要使用攻擊者指定的參數來執行 man、ash 和 hush 公用程式。漏洞 CVE-2021-42378 至 CVE-2021-42386 影響 awk 實用程序,並可能導致代碼執行,但為此,攻擊者需要確保在 awk 中執行特定模式(需要使用接收到的資料運行 awk)來自攻擊者)。
此外,您還可以注意到 uclibc 和 uclibc-ng 庫中的一個漏洞 (CVE-2021-43523),因為當存取函數 gethostbyname()、getaddrinfo()、gethostbyaddr() 和 getnameinfo() 時,網域名稱未經DNS伺服器傳回的檢查和清理名稱。例如,為了回應某個解析請求,攻擊者控制的DNS 伺服器可以傳回類似「alert('xss').attacker.com」的主機,並且它們將原封不動地傳回給某個程式無需清理即可在 Web 介面中顯示它們。這個問題在 uclibc-ng 1.0.39 版本中得到了修復,透過添加程式碼來檢查返回網域的正確性,其實現方式與 Glibc 類似。
來源: opennet.ru