BusyBox wget -haavoittuvuus

BusyBox wget -ohjelmistosta on löydetty puskurin ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

BusyBox on erityisesti sulautetuissa järjestelmissä käytetty linux-versio, joka yhdistelee yleisimpiä unix-työkaluja yhdeksi koko-optimoiduksi paketiksi.

Haavoittuvuuskoordinointi:

CERT-FI toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjien ja ohjelmistokehittäjän kanssa. Haavoittuvuuden löysivät Antti Levomäki, Christian Jalio ja Joonas Pihlaja Forcepointilta. CERT-FI kiittää haavoittuvuuden löytäjiä ja BusyBox -projektia yhteistyöstä.

Haavoittuvuuden kohde

BusyBox ennen versiota 1.29.0

Mistä on kysymys?

Päivitä ohjelmisto uusimpaan versioon.

Mitä voin tehdä?

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.