Amazon Linux AMI：busybox (ALAS-2022-1558)

high Nessus Plugin ID 156867

語系：

概要

遠端 Amazon Linux AMI 主機缺少安全性更新。

說明

遠端主機上安裝的 busybox 版本為 1.34.1-1.13 之前版本。因此，會受到 ALAS-2022-1558 公告中所提及的多個弱點影響。

- Busybox 的 hush applet 中的一個 NULL 指標解除參照弱點會在處理建構的 shell 命令時導致拒絕服務，而這是由於 \x03 分隔符號後缺乏驗證所致。這可用於在極少數篩選命令輸入的情況下發動 DoS 攻擊。(CVE-2021-42376)

- 在 getvar_i 函式中處理特製的 awk 模式時，Busybox 的 awk applet 中有一個釋放後使用問題，可導致拒絕服務並可能執行程式碼 (CVE-2021-42378)

- 在 next_input_file 函式中處理特製的 awk 模式時，Busybox 的 awk applet 中有一個釋放後使用問題，可導致拒絕服務並可能執行程式碼 (CVE-2021-42379)

- 在 handle_special 函式中處理特製的 awk 模式時，Busybox 的 awk applet 中有一個釋放後使用問題，可導致拒絕服務並可能執行程式碼 (CVE-2021-42384)

- 在 evaluate 函式中處理特製的 awk 模式時，Busybox 的 awk applet 中有一個釋放後使用問題，可導致拒絕服務並可能執行程式碼 (CVE-2021-42385)

- 在 nvalloc 函式中處理特製的 awk 模式時，Busybox 的 awk applet 中有一個釋放後使用問題，可導致拒絕服務並可能執行程式碼 (CVE-2021-42386)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。