14 уязвимостей обнаружены в BusyBox ― утилите Embedded Linux

11 ноября 2021 г. 10:03
 585

Раскрыты данные по 14 критическим уязвимостям в утилите BusyBox под Linux.

Исследователи кибербезопасности раскрыли данные по 14 критическим уязвимостям в утилите BusyBox под Linux, которые могут быть использованы для атак отказа в обслуживании (DoS) и, в отдельных случаях, даже привести к утечке информации и удаленному выполнению кода.

Слабые места в системе безопасности, отслеживаемые как CVE-2021-42373 - CVE-2021-42386, затрагивают множество версий утилиты, начиная с 1.16 по 1.33.1, сообщили в совместном отчете DevOps-компания JFrog и компания Claroty, занимающаяся промышленной кибербезопасностью.

Называемый «швейцарским армейским ножом Embedded Linux», BusyBox является широко используемым программным пакетом, объединяющим множество обычных Unix-утилит или апплетов (например, cp, ls, grep) в один исполняемый файл, который может работать на Linux-системах, таких как программируемые логические контроллеры (PLC), человеко-машинные интерфейсы (HMI) и удаленные терминалы (RTU).

Ниже приведен краткий список дефектов и апплетов, на которые они влияют:

 

  • man - CVE-2021-42373
  • lzma/unlzma - CVE-2021-42374
  • ash - CVE-2021-42375
  • hush - CVE-2021-42376, CVE-2021-42377
  • awk - CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386

Успешная эксплуатация уязвимых апплетов, вызванная передачей недоверенных данных через командную строку, может привести к отказу в обслуживании, непреднамеренному раскрытию конфиденциальной информации и потенциальному выполнению произвольного кода. Слабые места были устранены в версии BusyBox 1.34.0, которая была выпущена 19 августа, после сообщения о недостатках разработчику.

«Нновые уязвимости, которые мы раскрыли, проявляются только в конкретных случаях, но могут создать кучу проблем если их проэксплуатируют злоумышленники» - заявил Шахар Менаше, старший директор по исследованиям безопасности в JFrog. «Распространенность BusyBox делает эту проблему требующей внимания со стороны команд безопасности. Поэтому мы призываем компании обновить версию BusyBox или убедиться, что они не используют ни один из затронутых апплетов».

Источник: https://thehackernews.com

Системы Информационной Безопасности