开源BusyBox 被曝多个安全漏洞

01背景

1.BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具，例如ls、cat和echo等等，还包含了一些更大、更复杂的工具，例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。简单的说BusyBox就好像是个大工具箱，它集成压缩了 Linux 的许多工具和命令，也包含了 Linux 系统的自带的shell。

2.Claroty 的 Team82 和 JFrog 合作开展了一个BusyBox 的漏洞研究项目。使用静态和动态分析技术，Claroty 的 Team82 和 JFrog 发现了影响最新版本 BusyBox 的 14 个漏洞。BusyBox 在8 月 19 日发布的1.34.0 版本中披露并修复了所有漏洞。在大多数情况下，这些漏洞的预期影响是拒绝服务 (DoS)。但是，在极少数情况下，这些问题也可能导致信息泄漏和远程代码执行。

3.Claroty在这份报告中，提供了漏洞的详细信息，详细的说明了受影响的程序，版本和研究方法，深入阐述了其中一个漏洞，并针对这些问题提出了修复和解决方案。除了披露漏洞之外，Team82 还开源了其自定义的AFL模糊测试工具，工具能触发许多报告中的漏洞。希望这将有助于其他研究人员发现和披露更多问题

02触发漏洞

由于受影响的程序不是守护程序，因此只有当易受攻击的程序被提供不受信任的数据（通常为命令行参数）时，漏洞才能被利用。这些是触发漏洞必须发生的必要条件：

● CVE-2021-42373

如果攻击者可以控制传递给man的参数，则易触发漏洞。man 由默认的 BusyBox 配置构建，但并没有随 Ubuntu 默认的BusyBox 二进制文件一起发布。

●CVE-2021-42374

如果攻击者可以控制传递给man的参数，则易触发漏洞。man 由默认的 BusyBox 配置构建，但并没有随 Ubuntu 默认的BusyBox 二进制文件一起发布。

● CVE-2021-42375

如果攻击者可以提供包含特殊字符 $、{、}、#的ash命令行，则易触发漏洞。ash 由默认的 BusyBox 配置构建，并随Ubuntu默认的BusyBox 二进制文件一起发布。

● CVE-2021-42376

如果攻击者可以提供包含特殊字符 \x03（分隔符）的hush命令行，则易触发漏洞。hush 由默认的 BusyBox 配置构建，但不随 Ubuntu 的默认 BusyBox 二进制文件一起发布。

● CVE-2021-42377

如果攻击者可以提供包含特殊字符 &的hush命令行，则易触发漏洞。

● CVE-2021-42378 CVE-2021-42386

如果攻击者可以为awk提供任意模式（该模式是是这个applet接受的第一个位置参数），则易触发漏洞。awkƒ 由默认的 BusyBox 配置构建，并随 Ubuntu 的默认 BusyBox 二进制文件一起发布。

end