色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

BusyBox Wget工具包中的一個漏洞解決

廣州虹科電子科技有限公司 ? 來源:廣州虹科電子科技有限公 ? 作者:廣州虹科電子科技 ? 2021-09-02 16:01 ? 次閱讀

最近,虹科工業物聯網團隊在調查客戶設備固件出現的常規CVE(CVE-2018-1000500)時發現了一個問題:通常情況下,當檢測到一個會對設備產生嚴重破壞的CVE時,我們會建議客戶對該組件進行升級或使用補丁。但是CVE早在2018年就已經發布,盡管具有8.1的高評分,卻一直沒有被修復,這引起了虹科研究人員的注意。

深入研究后,我們發現最初發布 CVE 的研究人員向維護人員提交過一個代碼補丁,但是由于補丁存在破壞現有的功能的風險,該補丁被拒絕了。下面虹科工業物聯網團隊將會對這個問題進行詳細闡述,首先讓我們簡要回顧一下 BusyBox和受影響的組件BusyBox Wget。

漏洞介紹

BusyBox 工具包在單個可執行文件中實現了大量 Linux 性能,甚至可以替代 Linux init 系統。體積小且具有靈活性的特點使得它在嵌入式設備中很受歡迎。最初的 Wget 是一個應用廣泛的 GNU 實用程序,用于使用命令從Internet服務器中檢索文件,經常用于系統腳本,包括用于軟件更新等。

BusyBox 因為其緊湊的特點取代了 Wget,但它并不支持所有的安全功能和選項。特別是當與不具備有效 TLS 證書的服務器連接時,BusyBox 版本的 Wget 不會對其進行中止,而只會打印錯誤消息并繼續下載。下面是對常規 Wget 和 BusyBox Wget 會產生不同行為的舉例說明:

edaca758-0b62-11ec-8fb8-12bb97331649.png

事實上,BusyBox的 TLS 庫并不支持證書驗證。原始的 Wget 可以支持,并且必須使用一個明顯的命令行開關(-- no-check-certificate)來進行啟動,以防跳過證書驗證。

這就是BusyBox的漏洞所在。攻擊者可以通過模擬服務器來攔截 Wget的 HTTPS 請求,或者使用 DNS/ARP 病毒將請求重定向到攻擊者控制的服務器,或者直接進行網絡流量攔截。因為攻擊者并不需要有效的 TLS 證書,所以他們可以用任意文件來替換請求的下載。

如果被替代的下載包中含有軟件模塊或更新項,這可能會直接導致惡意代碼執行。如果下載包含配置或數據,攻擊者可能惡意影響設備的功能。即使客戶端在安裝或執行之前檢查了下載文件的完整性和真實性,攻擊者仍然可能會通過讓客戶端下載無效的多GB文件或者連接非法服務器而導致拒絕服務。

BusyBox團隊處理方式

BusyBox的維護人員認為,修復Wget并讓設備維持不具備有效TLS證書的情況會堿壞設備的重要功能。這是安全員和工程師之間的常見沖突:安全研究人員將更加愿意為了保障設備安全性而犧牲一些設備現有功能的發揮,而工程師則更傾向于維持設備的功能運作,特別是替代方案會對已經部署在現場的設備功能造成堿壞的情況。

唯一的變化是當檢測到無效的 TLS 證書時,1.29.0版本會添加一條錯誤信息。該錯誤信息會被打印到標準輸出中,但不會在系統日志中留下長久的痕跡,這意味著錯誤可能隨時發生,攻擊者可以利用該設備,而不會被管理員發現。

虹科建議

到目前為止,BusyBox Wget 支持在子進程中啟動 OpenSSL 客戶機來執行 TLS 操作。此客戶端完全支持證書驗證邏輯,該邏輯由命令行選項來控制。因此,虹科建議應用下面的補丁,以便明確地將證書檢查添加到 BusyBox Wget 中。首先,確保設置以下配置標志,這將使BusyBox 使用OpenSSL 的TLS/SSL 客戶端。

CONFIG_FEATURE_WGET_OPENSSL=y

然后應用以下補丁:

index f2fc9e215..6bcc24421 100644--- a/networking/wget.c+++ b/networking/wget.c@@ -662,7 +662,7 @@ static int spawn_https_helper_openssl(const char *host, unsigned port) pid = xvfork(); if (pid == 0) { /* Child */- char *argv[8];+ char *argv[11]; close(sp[0]); xmove_fd(sp[1], 0);

@@ -690,6 +690,11 @@ static int spawn_https_helper_openssl(const char *host, unsigned port) argv[6] = (char*)servername;

} + /* Abort on bad server certificate */+ argv[7] = (char*)“-verify”;+ argv[8] = (char*)“100”;+ argv[9] = (char*)“-verify_return_error”;+ BB_EXECVP(argv[0], argv); xmove_fd(3, 2); # if ENABLE_FEATURE_WGET_HTTPS

應用該補丁后,BusyBox Wget 目前展示正確,在一個無效的證書上停止(盡管帶有一個通用的錯誤消息) :

虹科總結

在這個時代,使用嵌入式設備時我們都應該明白,為了功能而犧牲設備安全并向字段發布不安全的代碼是不可行的。

這種做法在很大程度直接導致了物聯網設備市場安全狀況不佳。當然,高等級、多層次、硬件支持的安全性并不適用于每個產品,因為這涉及到成本和上市時間。但供應商應該期望他們的上游組件,比如像BusyBox的開源代碼維護者,實施建立第一道防線所需的合理安全措施。

虹科 Vdoo 物聯網設備安全防護與加固平臺具有自動安全掃描產品可以幫助客戶建立設備的安全配置文件,包括第三方組件可能引入的任何漏洞。從而慎重選擇其組件供應商,而不需要過多的測試人員和團隊。

責任編輯:haq

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 物聯網
    +關注

    關注

    2909

    文章

    44578

    瀏覽量

    372859
  • 虹科電子
    +關注

    關注

    0

    文章

    601

    瀏覽量

    14340

原文標題:虹科案例 | BusyBox Wget漏洞:一個早就應該解決的問題

文章出處:【微信號:Hongketeam,微信公眾號:廣州虹科電子科技有限公司】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    PIC 語言工具包問題

    大家好,PIC 我是新手,有簡單的問題請教下,就是我導入mcp的,mplab會報語言工具包
    發表于 04-19 14:00

    fastrbf工具包

    求matlabfastrbf的工具包 ,有誰有這個工具包呢?求分享?急需
    發表于 03-05 20:05

    關于labview工具包

    請問各位大神問題,LabVIEW的工具包如何下載,比如聲音和振動工具包,官網上只有下載界面。
    發表于 09-04 19:27

    并口開發調試工具包

    并口開發調試工具包:開發調試工具包包括三功能模塊:“并口調試器”、“并口測試信號發生器”和“并口監視器”。
    發表于 05-26 09:53 ?37次下載

    并口開發調試工具包 (推薦)

    并口開發調試工具包 (推薦):
    發表于 05-27 10:15 ?35次下載
    并口開發調試<b class='flag-5'>工具包</b> (推薦)

    固件工具包

    固件工具包 修改工具包 高興向大家公布這個信息! 首先介紹下這個工具地用途: 1、修改固件 - 通過此工具能夠修改固件
    發表于 03-16 14:49 ?71次下載

    Labview2013各工具包的功能簡介

    Labview2013各工具包的功能簡介Labview2013各工具包的功能簡介
    發表于 11-20 11:20 ?0次下載

    MATLAB 2016a 工具包-英對照

    MATLAB 2016a 工具包-英對照 方便安裝MATLAB的時候選擇需要的工具,以節省安裝所需的磁盤大小
    發表于 04-20 08:58 ?42次下載

    WEBENCH 設計工具包綜合概述

    WEBENCH 設計工具包綜合概述
    發表于 09-15 09:28 ?6次下載
    WEBENCH 設計<b class='flag-5'>工具包</b>綜合概述

    Microchip蘋果配件開發工具包

    講是Microchip蘋果配件開發工具包蘋果配件開發工具包
    的頭像 發表于 06-06 13:45 ?2289次閱讀

    英國發布漏洞披露工具包,以幫助公司實施改進漏洞披露

    英國國家網絡安全中心(NCSC)發布了項指南——“漏洞披露工具包”,以幫助公司實施漏洞披露流程或在已建立漏洞披露流程的情況下進行改進。該指
    的頭像 發表于 09-16 16:44 ?1693次閱讀
    英國發布<b class='flag-5'>漏洞</b>披露<b class='flag-5'>工具包</b>,以幫助公司實施改進<b class='flag-5'>漏洞</b>披露

    使用最新的TAO工具包簡化AI模型開發

      NVIDIA AI 企業 提供了對 TAO 工具包的企業支持,這是用于 AI 開發和部署的端到端軟件套件。 TAO 工具包的新版本將包含在 NVIDIA AI Enterpri
    的頭像 發表于 06-21 15:43 ?1425次閱讀

    SM2246XT工具包

    SM2246XT工具包免費下載。
    發表于 04-23 09:35 ?24次下載

    OneInstall工具包

    電子發燒友網站提供《OneInstall工具包.exe》資料免費下載
    發表于 08-18 14:54 ?0次下載
    OneInstall<b class='flag-5'>工具包</b>

    NPOI WEG報表工具包簡介

    很久以前就知道有NPOI這個報表工具包,因為有NI自帶的工具包就沒有詳細研究過。當前工作幾臺電腦因為安裝OFFICE版本問題,或其它原因導致自帶報表無法使用,就找來了
    的頭像 發表于 11-06 10:05 ?1037次閱讀
    NPOI WEG報表<b class='flag-5'>工具包</b>簡介
    主站蜘蛛池模板: 午夜向日葵高清在线观看| 中文乱码35页在线观看| 狠狠国产欧美在线视频| 在线视频 国产精品 中文字幕| 热久久免费频精品99热| 黑吊大战白女出浆| NANANA在线观看高清影院| 亚洲精品国产自在在线观看 | 日本高清免费一本在线观看 | 色欲天天婬色婬香影院| 九九久久久2| 动听968| 妖精视频免费高清观看| 少妇连续高潮抽搐痉挛昏厥| 理论片午午伦夜理片影院| 国产精品视频免费观看| a在线免费观看视频| 有人在线观看的视频吗免费| 午夜精品久久久久久99热蜜桃| 欧美日韩另类在线观看视频 | 日本护士在线观看| 美国特级成人毛片| 韩国和日本免费不卡在线| 风车动漫(p)_在线观看官网| 99视频久九热精品| 在线亚洲97se| 亚洲日本欧美产综合在线| 乌克兰肛交影视| 热久久伊大人香蕉网老师| 免费A级毛片无码鲁大师| 九九99国产香蕉视频| 国产亚洲精品久久久久久鸭绿欲 | 日本wwwxx爽69护士| 蜜芽最新域名解析网站| 久久爽狠狠添AV激情五月| 黄色三级网址| 好色的妹妹| 九九热伊人| 久久成人免费观看全部免费| 黄色直接观看| 精品高潮呻吟99AV无码视频|