Busybox 资源管理错误漏洞

admin
admin
admin
0
文章
0
评论
2023-11-30 16:06:10 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 Busybox 资源管理错误漏洞

CVE编号

CVE-2021-42381

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-11-16
漏洞描述
BusyBox是乌克兰Denis Vlasenko个人开发者的一套包含了多个linux命令和工具的应用程序。 BusyBox的awk applet存在内存错误引用漏洞。该漏洞源于程序未对hash_init函数中的awk模式进行正确处理。攻击者可利用该漏洞导致拒绝服务及远程代码执行。 受影响系统: BusyBox BusyBox
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://nvd.nist.gov/vuln/detail/CVE-2021-42381
参考链接
https://claroty.com/team82/research/unboxing-busybox-14-vulnerabilities-uncov...
https://jfrog.com/blog/unboxing-busybox-14-new-vulnerabilities-uncovered-by-c...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://nvd.nist.gov/vuln/detail/CVE-2021-42381
https://security.netapp.com/advisory/ntap-20211223-0002/
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 busybox busybox * From (including) 1.21.0 Up to (including) 1.33.1
运行在以下环境
系统 alpine_3.11 busybox * Up to (excluding) 1.31.1-r11
运行在以下环境
系统 alpine_3.12 busybox * Up to (excluding) 1.31.1-r21
运行在以下环境
系统 alpine_3.13 busybox * Up to (excluding) 1.32.1-r7
运行在以下环境
系统 alpine_3.14 busybox * Up to (excluding) 1.33.1-r6
运行在以下环境
系统 alpine_3.15 busybox * Up to (excluding) 1.34.0-r0
运行在以下环境
系统 alpine_3.16 busybox * Up to (excluding) 1.34.0-r0
运行在以下环境
系统 alpine_3.17 busybox * Up to (excluding) 1.34.0-r0
运行在以下环境
系统 alpine_3.18 busybox * Up to (excluding) 1.34.0-r0
运行在以下环境
系统 alpine_edge busybox * Up to (excluding) 1.34.0-r0
运行在以下环境
系统 debian_10 busybox * Up to (including) 1.30.1-4
运行在以下环境
系统 debian_11 busybox * Up to (including) 1.30.1-6
运行在以下环境
系统 debian_12 busybox * Up to (excluding) 1:1.35.0-1
运行在以下环境
系统 debian_9 busybox * Up to (including) 1.22.0-19
运行在以下环境
系统 debian_sid busybox * Up to (excluding) 1:1.35.0-1
运行在以下环境
系统 fedora_33 busybox-petitboot-debuginfo * Up to (excluding) 1.34.1-1.fc33
运行在以下环境
系统 fedora_34 busybox-petitboot-debuginfo * Up to (excluding) 1.34.1-1.fc34
运行在以下环境
系统 kylinos_aarch64_V10SP2 busybox * Up to (excluding) 1.31.1-13.ky10
运行在以下环境
系统 kylinos_x86_64_V10SP2 busybox * Up to (excluding) 1.31.1-13.ky10
运行在以下环境
系统 opensuse_Leap_15.3 virtualbox-kmp-default * Up to (excluding) 6.1.34-lp153.2.27.2
运行在以下环境
系统 opensuse_Leap_15.4 busybox-testsuite * Up to (excluding) 1.35.0-150400.3.3.1
运行在以下环境
系统 suse_12_SP5 busybox * Up to (excluding) 1.35.0-4.3.1
运行在以下环境
系统 ubuntu_18.04 busybox * Up to (excluding) 1:1.27.2-2ubuntu3.4
运行在以下环境
系统 ubuntu_20.04 busybox * Up to (excluding) 1:1.30.1-4ubuntu6.4
运行在以下环境
系统 ubuntu_21.04 busybox * Up to (excluding) 1:1.30.1-6ubuntu2.1
运行在以下环境
系统 ubuntu_21.10 busybox * Up to (excluding) 1:1.30.1-6ubuntu3.1
运行在以下环境
系统 ubuntu_22.04 busybox * Up to (excluding) 1:1.30.1-7ubuntu2
阿里云评分 6.1
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 全局影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 数据泄露
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
CWE-416 释放后使用
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  2