新しいLinuxの脆弱性が発見されました.
jFrogとClarotyのセキュリティ研究者は、 14 BusyBoxLinuxユーティリティの脆弱性.
BusyBoxLinuxの脆弱性: CVE-2021-42373からCVE-2021-42386へ
BusyBoxとは? BusyBoxは、Android内の組み込みLinux環境用のコマンドを提供します. 便利なLinuxユーティリティで構成されています, アプレットとして知られています, 単一の実行可能ファイルとしてパッケージ化.
BusyBoxには本格的なシェルもあります, DHCPクライアント/サーバー, cpなどの小さなユーティリティ, ls, grep, その他. 多くのOTおよびIoTデバイスがプログラムで実行されます, PLCを含む (プログラマブルロジックコントローラー), HMI (ヒューマンマシンインターフェース), およびRTU (リモートターミナルユニット).
脆弱性, CVE-2021-42373からCVE-2021-42386へ, BusyBoxのバージョンに影響を与える 1.16 に 1.33.1. それらはサービス拒否状態を引き起こす可能性があります, 特定の状況では、データ漏洩やリモートコード実行を引き起こす可能性さえあります, 研究者は警告した.
「影響を受けるアプレットはデーモンではないため, 各脆弱性は、脆弱なアプレットに信頼できないデータが供給されている場合にのみ悪用できます (通常、コマンドライン引数を使用します),」研究者は言った.
レポートの結論は次のとおりです。, 全体, 次の理由により、脆弱性は大きなセキュリティリスクを引き起こしません。:
1. DoSの脆弱性を悪用するのは簡単です, ただし、この影響は通常、アプレットがほとんどの場合、別個の分岐プロセスとして実行されるという事実によって軽減されます。.
2. 情報漏えいの脆弱性を悪用するのは簡単ではありません (見る, 次のセクション).
3. 解放後使用の脆弱性は、リモートでコードが実行される可能性があります, しかし現在、私たちは彼らのために武器化されたエクスプロイトを作成しようとはしませんでした. 加えて, 非常にまれです (本質的に安全ではありません) 外部入力からawkパターンを処理する.
それにもかかわらず, パッチが必要です. 良いニュースは、すべてが 14 BusyBoxの欠陥が修正されました 1.34.0.
「BusyBoxのアップグレードが不可能な場合 (特定のバージョンの互換性のニーズのため), BusyBox 1.33.1 以前のバージョンは、脆弱な機能なしでコンパイルできます (アプレット) 回避策として,」 レポートは指摘しました.
今月上旬, Linuxカーネルの透過的なプロセス間通信におけるセキュリティの脆弱性 (TIPC) 発見された. この欠陥は、ローカルとリモートの両方で悪用される可能性があります, カーネル内での任意のコード実行を可能にする. この結果、脆弱なデバイスが乗っ取られます. のCVSSスコア CVE-2021-43267 は 9.8, 脆弱性を非常に深刻で危険なものにする.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: