PT-2022-6884 · Busybox+6 · Busybox+6

Focus

·

Publicado

2022-12-28

·

Atualizado

2026-01-08

·

CVE-2022-48174

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do busybox anteriores à 1.35
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de pilha no arquivo ash.c do busybox, que pode ser explorada para permitir a execução de código arbitrário. Essa vulnerabilidade está associada a um estouro de buffer na memória, permitindo que um invasor remoto execute código arbitrário usando dados especialmente criados para esse fim. A vulnerabilidade pode ser explorada a partir de um comando no ambiente da Internet das Coches.
Recomendações
Para versões do busybox anteriores à 1.35, atualize para a versão 1.35 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente ash.c até que um patch esteja disponível. Evite usar dados especialmente criados que possam explorar a vulnerabilidade de estouro de buffer no arquivo ash.c.

Correção

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

AZL-56490
AZL-64326
BDU:2023-05378
CVE-2022-48174
DLA-4019-1
ECHO-189B-1DA3-C996
OESA-2023-1583
OPENSUSE-SU-2023_3529-1
OPENSUSE-SU-2023_3820-1
OPENSUSE-SU-2024:13181-1
RHSA-2023:5178
SUSE-SU-2023:3529-1
SUSE-SU-2023:3729-1
SUSE-SU-2023:3819-1
SUSE-SU-2023:3820-1
SUSE-SU-2023_3529-1
SUSE-SU-2023_3729-1
SUSE-SU-2023_3819-1
SUSE-SU-2023_3820-1
USN-6335-1
USN-6961-1

Produtos afetados

Astra Linux
Debian
Linuxmint
Red Os
Suse
Ubuntu
Busybox