BusyBox - CVE-2026-29004

Date de publication :

Il s'agit d'une vulnérabilité de type débordement de tampon sur le tas dans le client DHCPv6 udhcpc6 de BusyBox, plus précisément dans la fonction option_to_env() du fichier networking/udhcp/d6_dhcpc.c.

BusyBox est une suite d'utilitaires Unix regroupés en un seul binaire compact. Il est conçu pour les environnements à ressources limitées tels que les systèmes embarqués, les routeurs, les équipements réseau et les appareils IoT. Il inclut notamment des clients DHCP, des outils réseau, des commandes shell et des utilitaires de gestion de fichiers.

Le gestionnaire de l'option D6_OPT_DNS_SERVERS effectue un calcul incorrect de la taille du tampon à allouer sur le tas lors du traitement des réponses DHCPv6. Un attaquant adjacent au réseau peut envoyer une réponse DHCPv6 spécifiquement forgée contenant une option DNS_SERVERS malformée afin de déclencher une corruption mémoire. L'exploitation est facilitée sur les systèmes embarqués ne disposant pas de mécanismes de durcissement du tas tels que ASLR ou des protections de type heap canary.

Elle permet à un attaquant adjacent au réseau d'exécuter du code arbitraire sur le système cible ou de provoquer un déni de service par corruption mémoire.

CVE-2026-29004

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Exécution de code arbitraire (à distance)
•   Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-122 : Heap-based Buffer Overflow

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau local
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

BusyBox toutes versions antérieures au commit 42202bf

Contournement provisoire

Désactiver le client DHCPv6 (udhcpc6) sur les équipements qui n'en ont pas l'utilité opérationnelle, notamment sur les réseaux sans déploiement IPv6 actif.

Solutions ou recommandations

•   Appliquer le commit de correction 42202bf sur le dépôt BusyBox
•   Un correctif complémentaire est disponible via le commit d368f3f7

Liens