BusyBox wget -haavoittuvuus

BusyBox wget -ohjelmistosta on löydetty puskurin ylivuotohaavoittuvuus, jota hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdetietojärjestelmässä omia komentojaan.

BusyBox on erityisesti sulautetuissa järjestelmissä käytetty linux-versio, joka yhdistelee yleisimpiä unix-työkaluja yhdeksi koko-optimoiduksi paketiksi.

Haavoittuvuuskoordinointi:

CERT-FI toimi haavoittuvuuskoordinoijana yhteistyössä haavoittuvuuden löytäjien ja ohjelmistokehittäjän kanssa. Haavoittuvuuden löysivät Antti Levomäki, Christian Jalio ja Joonas Pihlaja Forcepointilta. CERT-FI kiittää haavoittuvuuden löytäjiä ja BusyBox -projektia yhteistyöstä.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • BusyBox ennen versiota 1.29.0

Ratkaisu- ja rajoitusmahdollisuudet:

  • Päivitä ohjelmisto uusimpaan versioon.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuuskoordinointi , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248