В наборе софта BusyBox для Linux нашли 14 дыр, приводящих к DoS и RCE

Исследователи в области кибербезопасности выявили 14 уязвимостей в наборе Linux-утилит BusyBox. В случае успешной эксплуатации эти бреши позволяют атакующим вызвать состояние «отказ в обслуживании» (DoS), а в некоторых случаях — привести к раскрытию информации и удалённому выполнению кода.

Проблемы в безопасности получили диапазон идентификаторов от CVE-2021-42373 до CVE-2021-42386, а среди затронутых версий утилиты — 1.16-1.33.1. О багах рассказали в совместном отчёте специалисты компаний JFrog и Claroty.

BusyBox по праву называют швейцарским армейским ножом для встраиваемых Linux-устройств. Этот набор софта включает широко используемые Unix-утилиты вроде cp, ls, grep.

Как сообщили эксперты, в отдельном софте есть уязвимости. Список брешей выглядит так:

• man - CVE-2021-42373
• lzma/unlzma - CVE-2021-42374
• ash - CVE-2021-42375
• hush - CVE-2021-42376, CVE-2021-42377
• awk - CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386

Если условный злоумышленник задействует выявленные дыры в атаке, он сможет вызвать DoS, раскрыть конфиденциальную информацию и даже выполнить вредоносный код. К счастью, разработчики устранили баги с выходом версии BusyBox 1.34.0.