BusyBox wget -haavoittuvuus
Haavoittuvuus13/2018
Julkaistu
BusyBox wget -ohjelmistosta on löydetty puskurin ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.
BusyBox on erityisesti sulautetuissa järjestelmissä käytetty linux-versio, joka yhdistelee yleisimpiä unix-työkaluja yhdeksi koko-optimoiduksi paketiksi.
Haavoittuvuuskoordinointi:
CERT-FI toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjien ja ohjelmistokehittäjän kanssa. Haavoittuvuuden löysivät Antti Levomäki, Christian Jalio ja Joonas Pihlaja Forcepointilta. CERT-FI kiittää haavoittuvuuden löytäjiä ja BusyBox -projektia yhteistyöstä.
Kohde
- Sulautetut järjestelmät
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
- BusyBox ennen versiota 1.29.0
Mistä on kysymys?
- Päivitä ohjelmisto uusimpaan versioon.