BusyBox es un paquete de aplicaciones que proporciona distintas utilidades Unix en un solo archivo ejecutable. Es decir, es un compendio de comandos y estándares Unix que permite realizar tareas tediosas de manera sencilla. El paquete de software es utilizado por muchos dispositivos de tecnología operativa (OT) e Internet de las cosas (IoT).
Investigadores han descubierto 14 vulnerabilidades críticas que permiten la denegación de servicio (DoS) y ejecución remota de código (RCE). Se han asignado el ID de CVE desde el CVE-2021-42373 hasta el CVE-2021-42386. Afectan a versiones de BusyBox desde la 1.16 hasta las 1.33.1.
Para la explotación de las vulnerabilidades generalmente es necesario la capacidad de controlar la entrada procesada por los subprogramas de BusyBox como resultados de los comandos. En caso de que se puedan realizar estas acciones de manera remota sin acceso local depende de las funciones que ofrece el equipo y como fueron implementadas.
A continuación la lista de applets afectados con respecto a las vulnerabilidades:
| Applets | ID de CVE |
|---|---|
| man | CVE-2021-42373 |
| lzma/unlzma | CVE-2021-42374 |
| ash | CVE-2021-42375 |
| hush | CVE-2021-42376, CVE-2021-42377 |
| awk | CVE-2021-42378, CVE-2021-42379, CVE-2021-42380, CVE-2021-42381, CVE-2021-42382, CVE-2021-42383, CVE-2021-42384, CVE-2021-42385, CVE-2021-42386 |
Se recomienda actualizar a la versión 1.34.0 de BusyBox publicada el 19 de agosto del 2021.
Más información: