BusyBox wget -haavoittuvuus

Haavoittuvuus13/2018

BusyBox wget -ohjelmistosta on löydetty puskurin ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

BusyBox on erityisesti sulautetuissa järjestelmissä käytetty linux-versio, joka yhdistelee yleisimpiä unix-työkaluja yhdeksi koko-optimoiduksi paketiksi.

Haavoittuvuuskoordinointi:

CERT-FI toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjien ja ohjelmistokehittäjän kanssa. Haavoittuvuuden löysivät Antti Levomäki, Christian Jalio ja Joonas Pihlaja Forcepointilta. CERT-FI kiittää haavoittuvuuden löytäjiä ja BusyBox -projektia yhteistyöstä.

Kohde

  • Sulautetut järjestelmät
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

  • BusyBox ennen versiota 1.29.0

Ratkaisu- ja rajoitusmahdollisuudet

  • Päivitä ohjelmisto uusimpaan versioon.

Lisätietoja