打印
[STM32H7]

AWS FreeRTOS曝13个安全漏洞,亚马逊紧急修复,30天后公布细节

[复制链接]
1568|4
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
Eric2013|  楼主 | 2018-10-25 01:36 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 Eric2013 于 2018-10-25 01:37 编辑

说明:
1、物联网安全问题一直饱受诟病,这次拿AWS FreeRTOS开刀影响比较大,毕竟FreeRTOS一直是占据市场份额最高的小型RTOS,受到本次影响的供应商相对也多些。大公司可以快速应对突发事件,小公司就稍稍惨一些,人手等各方面原因,就得花点时间了。

2、曝光本次漏洞的Zimperium发现FreeRTOS的TCP/IP协议栈和AWS安全连接模块中的多个漏洞,受到影响系统对应FreeRTOS版本V10.0.1及其以下,AWS FreeRTOS版本V1.3.1及其以下。而且由WITTENSTEIN公司维护的SafeRTOS(经过安全认证的版本)竟也存在相同的TCP/IP协议栈漏洞。这些漏洞允许攻击者使设备崩溃,从设备内存泄漏信息,并远程执行设备上的代码,从而完全破坏设备。

3、Zimperium向亚马逊披露了这些漏洞,并与他们合作为漏洞打补丁,这些补丁是为AWS FreeRTOS 1.3.2及更高版本部署的,如果还在用低版本的厂商要赶紧升级了。

4、由于FreeRTOS是一个开源项目,并且内核的版本被广泛使用,漏洞细节将推迟到30天后公布,以允许较小的供应商有时间修补漏洞。

AWS FreeRTOS简介:
去年11月底,FreeRTOS团队加入亚马逊AWS, FreeRTOS作者出任首席工程师,FreeRTOS现在由亚马逊管理,授权已经由修改版的GPLv2修改MIT。AWS FreeRTOS旨在通过将FreeRTOS内核与FreeRTOS TCP / IP协议栈,安全连接模块,无线更新,签名,AWS云端支持等捆绑在一起,为微控制器提供物联网平台。

借助AWS提供的基础架构和AWS FreeRTOS平台,开发人员可以专注于创新,从而缩短开发时间和成本。

漏洞清单如下:
4个远程代码执行,1个拒绝服务,7信息泄露和1个尚未公开的安全问题。


沙发
hanzhen654| | 2018-10-25 13:32 | 只看该作者
好前沿的消息啊,楼主分享让我们长见识了。

使用特权

评论回复
板凳
hanzhen654| | 2018-10-25 13:33 | 只看该作者
本打算学习下FreeRTOS 呢

使用特权

评论回复
地板
观海| | 2018-11-6 12:48 | 只看该作者
rtos有好多个版本吗

使用特权

评论回复
5
Eric2013|  楼主 | 2018-11-18 17:19 | 只看该作者
SafeRTOS正式回应Amazon FreeRTOS物联网系统安全漏洞问题


使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

个人签名:RTX->μCOS-II->FreeRTOS->embOS->μCOS-III μCGUI->emWin->FatFs->DSP 淘宝:armfly.taobao.com

115

主题

639

帖子

34

粉丝