BusyBox Linux实用程序在嵌入式设备中发现14个新的安全缺陷

网络安全研究人员周二披露了BusyBox Linux实用程序中的14个关键漏洞，这些漏洞可能被利用，导致拒绝服务（DoS）情况，在某些情况下，甚至导致信息泄漏和远程代码执行。

DevOps公司JFrog和工业网络安全公司Claroty在一份联合报告中表示，从CVE-2021-42373到CVE-2021-42386跟踪的安全漏洞影响了该工具的多个版本，范围从1.16到1.33.1。

BusyBox被称为“嵌入式Linux的瑞士军刀”，是一个广泛使用的软件套件，将各种常见的Unix实用程序或小程序（如cp、ls、grep）组合成一个可执行文件，可以在Linux系统上运行，如可编程逻辑控制器（PLC）、人机界面（HMI）和远程终端单元（RTU）。

A quick list of the flaws and the applets they impact is below —

• 成年男子-CVE-2021-42373
• lzma/unlzma-CVE-2021-42374
• 灰-CVE-2021-42375
• 安静-CVE-2021-42376，CVE-2021-42377
• 啊-CVE-2021-42378、CVE-2021-42379、CVE-2021-42380、CVE-2021-42381、CVE-2021-42382、CVE-2021-42383、CVE-2021-42384、CVE-2021-42385、CVE-2021-42386

通过命令行向易受攻击的小程序提供不受信任的数据，成功利用这些漏洞可能会导致拒绝服务、意外泄露敏感信息，并可能导致代码执行。BusyBox 1.34.0版在负责任的披露后于8月19日发布，该版本解决了这些弱点。

JFrog安全研究高级主管沙哈尔·梅纳什（Shachar Menashe）说：“我们披露的这些新漏洞只在特定情况下表现出来，但在可利用时可能会产生极大的问题。”。“BusyBox的激增使这成为安全团队需要解决的问题。因此，我们鼓励公司升级其BusyBox版本，或确保他们没有使用任何受影响的小程序。”