本帖最后由 Eric2013 于 2018-10-25 01:37 编辑
说明:
1、物联网安全问题一直饱受诟病,这次拿AWS FreeRTOS开刀影响比较大,毕竟FreeRTOS一直是占据市场份额最高的小型RTOS,受到本次影响的供应商相对也多些。大公司可以快速应对突发事件,小公司就稍稍惨一些,人手等各方面原因,就得花点时间了。
2、曝光本次漏洞的Zimperium发现FreeRTOS的TCP/IP协议栈和AWS安全连接模块中的多个漏洞,受到影响系统对应FreeRTOS版本V10.0.1及其以下,AWS FreeRTOS版本V1.3.1及其以下。而且由WITTENSTEIN公司维护的SafeRTOS(经过安全认证的版本)竟也存在相同的TCP/IP协议栈漏洞。这些漏洞允许攻击者使设备崩溃,从设备内存泄漏信息,并远程执行设备上的代码,从而完全破坏设备。
3、Zimperium向亚马逊披露了这些漏洞,并与他们合作为漏洞打补丁,这些补丁是为AWS FreeRTOS 1.3.2及更高版本部署的,如果还在用低版本的厂商要赶紧升级了。
4、由于FreeRTOS是一个开源项目,并且内核的版本被广泛使用,漏洞细节将推迟到30天后公布,以允许较小的供应商有时间修补漏洞。
AWS FreeRTOS简介:
去年11月底,FreeRTOS团队加入亚马逊AWS, FreeRTOS作者出任首席工程师,FreeRTOS现在由亚马逊管理,授权已经由修改版的GPLv2修改MIT。AWS FreeRTOS旨在通过将FreeRTOS内核与FreeRTOS TCP / IP协议栈,安全连接模块,无线更新,签名,AWS云端支持等捆绑在一起,为微控制器提供物联网平台。
借助AWS提供的基础架构和AWS FreeRTOS平台,开发人员可以专注于创新,从而缩短开发时间和成本。
漏洞清单如下:
4个远程代码执行,1个拒绝服务,7信息泄露和1个尚未公开的安全问题。
|