De nouvelles vulnérabilités Linux découvertes.
Des chercheurs en sécurité de jFrog et Claroty ont rapporté la découverte de 14 vulnérabilités dans l'utilitaire Linux BusyBox.
Vulnérabilités Linux BusyBox: de CVE-2021-42373 à CVE-2021-42386
Qu'est-ce que BusyBox? BusyBox fournit des commandes pour l'environnement Linux intégré dans Android. Il se compose d'utilitaires Linux utiles, connu sous le nom d'applet, empaqueté comme un seul exécutable.
BusyBox a également un shell à part entière, un client/serveur DHCP, et les petits utilitaires tels que cp, ls, grep, et d'autres. De nombreux appareils OT et IoT fonctionnent sur le programme, y compris les automates (contrôleurs logiques programmables), IHM (interfaces homme-machine), et RTU (unités terminales distantes).
les vulnérabilités, de CVE-2021-42373 à CVE-2021-42386, affecter les versions de BusyBox de 1.16 à 1.33.1. ils pourraient provoquer des conditions de déni de service, et dans des circonstances spécifiques pourraient même provoquer des fuites de données et l'exécution de code à distance, les chercheurs ont mis en garde contre.
« Comme les applets affectées ne sont pas des démons, chaque vulnérabilité ne peut être exploitée que si l'applet vulnérable est alimentée avec des données non fiables (généralement via un argument de ligne de commande),» Les chercheurs.
La conclusion du rapport est que, global, les vulnérabilités ne posent pas de grands risques de sécurité pour les raisons suivantes:
1. Les vulnérabilités DoS sont triviales à exploiter, mais l'impact est généralement atténué par le fait que les applets s'exécutent presque toujours comme un processus séparé en fourche.
2. La vulnérabilité de fuite d'informations n'est pas triviale à exploiter (voir, section suivante).
3. Les vulnérabilités use-after-free peuvent être exploitables pour l'exécution de code à distance, mais actuellement, nous n'avons pas tenté de créer un exploit militarisé pour eux. En outre, c'est assez rare (et intrinsèquement dangereux) pour traiter un modèle awk à partir d'une entrée externe.
Cependant, un patch est nécessaire. La bonne nouvelle est que tout 14 les défauts ont été corrigés dans BusyBox 1.34.0.
« Si la mise à niveau de BusyBox n'est pas possible (en raison des besoins spécifiques de compatibilité de version), OccupéBox 1.33.1 et les versions antérieures peuvent être compilées sans la fonctionnalité vulnérable (applets) comme solution de contournement," le rapport a souligné.
Plus tôt ce mois-ci, une vulnérabilité de sécurité dans la communication transparente inter-processus du noyau Linux (TIPC) a été découvert. La faille peut être exploitée aussi bien localement qu'à distance, permettant l'exécution de code arbitraire dans le noyau. Le résultat serait la prise en charge des appareils vulnérables. Le score CVSS de CVE-2021-43267 est 9.8, rendant la vulnérabilité très grave et dangereuse.