Bulletin d'alerte Debian

DLA-1445-1 busybox -- Mise à jour de sécurité pour LTS

Date du rapport :
27 juillet 2018
Paquets concernés :
busybox
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 902724, Bogue 882258, Bogue 879732, Bogue 818497, Bogue 818499, Bogue 803097, Bogue 802702.
Dans le dictionnaire CVE du Mitre : CVE-2011-5325, CVE-2014-9645, CVE-2015-9261, CVE-2016-2147, CVE-2016-2148, CVE-2017-15873, CVE-2017-16544, CVE-2018-1000517.
Plus de précisions :

Busybox, un ensemble d’utilitaires pour des systèmes petits et embarqués, était affecté par plusieurs vulnérabilité de sécurité. Le projet « Common vulnérabilités et Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2011-5325

    Une vulnérabilité de traversée de répertoires a été découverte dans l’implémentation par Busybox de tar. Tar extrait un lien symbolique pointant en dehors du répertoire de travail en cours et puis suit ce lien symbolique lors de l’extraction d’autres fichiers. Cela permet une attaque de traversée de répertoires lors de l’extraction d’archives tar non fiables.

  • CVE-2013-1813

    Lorsque un nœud de périphérique ou un lien symbolique dans /dev doit être créé à l’intérieur d’un sous-répertoire niveau deux ou plus (/dev/dir1/dir2.../nœud), les répertoires intermédiaires sont créés avec des permissions incorrectes.

  • CVE-2014-4607

    Une dépassement d'entier peut se produire lors du traitement de toute variante de literal run dans la fonction lzo1x_decompress_safe. Chacun de ces trois emplacements est susceptible d’un dépassement d'entier lors du traitement de zéro octet. Cela expose le code copiant les literal à une corruption de mémoire.

  • CVE-2014-9645

    La fonction add_probe dans modutils/modprobe.c dans BusyBox permet à des utilisateurs locaux de contourner les restrictions voulues lors du chargement de modules de noyau à l'aide d'un caractère / (slash) dans un nom de module, comme démontré par une commande « ifconfig /usbserial up » ou « mount -t /snd_pcm none / ».

  • CVE-2016-2147

    Un dépassement d’entier dans le client DHCP (udhcpc) dans BusyBox permet à des attaquants distants de provoquer un déni de service (plantage) à l'aide d'un nom de domaine malformé, encodé selon RFC-1035, qui déclenche une écriture de tas hors limites.

  • CVE-2016-2148

    Un dépassement de tampon basé sur le tas dans le client DHCP (udhcpc) dans BusyBox permet à des attaquants distants d’avoir un impact non précisé à l’aide de vecteurs impliquant l’analyse de OPTION_6RD.

  • CVE-2017-15873

    La fonction get_next_block dans archival/libarchive /decompress_bunzip2.c dans BusyBox est sujette à un dépassement d’entier qui pourrait conduire à une violation d’accès en l’écriture.

  • CVE-2017-16544

    Dans la fonction add_match dans libbb/lineedit.c dans BusyBox, le fonction d’autocomplètement tab de l’interpréteur, utilisé pour obtenir une liste de noms de fichier d’un répertoire, ne vérifie pas les noms de fichier et aboutit dans l’exécution de n’importe quelle séquence d’échappement dans le terminal. Cela pourrait éventuellement aboutir à l’exécution de code, l’écriture de fichiers arbitraires ou d’autres attaques.

  • CVE-2018-1000517

    BusyBox contient une vulnérabilité de dépassement de tampon dans sa version de wget pouvant aboutir dans un dépassement de tampon basé sur le tas. Cette attaque semble être exploitable à l’aide de la connectivité réseau.

  • CVE-2015-9621

    La décompression d’un fichier zip spécialement contrefait aboutit dans le calcul d’un pointeur non valable et un plantage en lisant une adresse non valable.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1:1.22.0-9+deb8u2.

Nous vous recommandons de mettre à jour vos paquets busybox.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.