智慧城市让生活更美好!

物联网系统AWS FreeRTOS被曝出13个安全漏洞

  说明:

  1、物联网安全问题一直饱受诟病,这次拿AWS FreeRTOS开刀影响比较大,毕竟FreeRTOS一直是占据市场份额最高的小型RTOS,受到本次影响的供应商相对也多些。大公司可以快速应对突发事件,小公司就稍稍惨一些,人手等各方面原因,就得花点时间了。

  2、曝光本次漏洞的Zimperium发现FreeRTOS的TCP/IP协议栈和AWS安全连接模块中的多个漏洞,受到影响系统对应FreeRTOS版本V10.0.1及其以下,AWS FreeRTOS版本V1.3.1及其以下。而且由WITTENSTEIN公司维护的SafeRTOS(经过安全认证的版本)竟也存在相同的TCP/IP协议栈漏洞。这些漏洞允许攻击者使设备崩溃,从设备内存泄漏信息,并远程执行设备上的代码,从而完全破坏设备。

  3、Zimperium向亚马逊披露了这些漏洞,并与他们合作为漏洞打补丁,这些补丁是为AWS FreeRTOS 1.3.2及更高版本部署的,如果还在用低版本的厂商要赶紧升级了。

  4、由于FreeRTOS是一个开源项目,并且内核的版本被广泛使用,漏洞细节将推迟到30天后公布,以允许较小的供应商有时间修补漏洞。

  AWS FreeRTOS简介:

  去年11月底,FreeRTOS团队加入亚马逊AWS, FreeRTOS作者出任首席工程师,FreeRTOS现在由亚马逊管理,授权已经由修改版的GPLv2修改MIT。AWS FreeRTOS旨在通过将FreeRTOS内核与FreeRTOS TCP / IP协议栈,安全连接模块,无线更新,签名,AWS云端支持等捆绑在一起,为微控制器提供物联网平台。

  借助AWS提供的基础架构和AWS FreeRTOS平台,开发人员可以专注于创新,从而缩短开发时间和成本。

  漏洞清单如下:

  4个远程代码执行,1个拒绝服务,7信息泄露和1个尚未公开的安全问题。

CVE Description
CVE-2018-16522 Remote code execution
CVE-2018-16525 Remote code execution
CVE-2018-16526 Remote code execution
CVE-2018-16528 Remote code execution
CVE-2018-16523 Denial of service
CVE-2018-16524 Information leak
CVE-2018-16527 Information leak
CVE-2018-16599 Information leak
CVE-2018-16600 Information leak
CVE-2018-16601 Information leak
CVE-2018-16602 Information leak
CVE-2018-16603 Information leak
CVE-2018-16598 Other
 

  

上一篇:物联网安全|物联世界的“黑暗森林”

下一篇:青天科技物联网蜜罐首个发现DemonBot僵尸网络,请尽快修复!

延伸阅读