Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun sistema eragileetan, denbora errealean (RTOS)

Argitalpen data: 2021/04/30

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

  • Amazon FreeRTOS, 10.4.1 bertsioa;
  • Apache Nuttx OS, 9.1.0 bertsioa;
  • ARM CMSIS-RTOS2, 2.1.3 bertsioaren aurrekoak;
  • ARM Mbed OS, 6.3.0 bertsioa;
  • ARM mbed-uallaoc, 1.3.0 bertsioa;
  • Software Cesanta Mongoose OS, v2.17.0 bertsioa;
  • eCosCentric eCosPro RTOS, 2.0.1etik 4.5.3ra bitarteko bertsioak;
  • Google Cloud IoT gailuaren SDK, 1.0.2 bertsioa;
  • Linux Zephyr RTOS, 2.4.0 bertsioaren aurrekoak;
  • Media Tek LinkIt SDK, 4.6.1 bertsioaren aurrekoak;
  • Micrium OS, 5.10.1 bertsioa eta aurrekoak;
  • Micrium uCOS II / uCOS III 1.39.0 bertsioak eta aurrekoak;
  • NXP MCUXpresso SDK, 2.8.2 bertsioaren aurrekoak;
  • NXP MQX, 5.1 bertsioa eta aurrekoak;
  • Redhat newlib, 4.0.0 bertsioaren aurrekoak;
  • RIOT OS, 2020.01.1 bertsioa;
  • Samsung Tizen RT RTOS, 3.0.GBB bertsioaren aurrekoak;
  • TencentOS-tiny, 3.1.0 bertsioa;
  • Texas Instruments CC32XX, 4.40.00.07 bertsioaren aurrekoak;
  • Texas Instruments SimpleLink MSP432E4XX;
  • Texas Instruments SimpleLink-CC13XX, 4.40.00 bertsioaren aurrekoak;
  • Texas Instruments SimpleLink-CC26XX, 4.40.00 bertsioaren aurrekoak;
  • Texas Instruments SimpleLink-CC32XX, 4.10.03 bertsioaren aurrekoak;
  • Uclibc-NG, 1.0.36 bertsioaren aurrekoak;
  • Windriver VxWorks, 7.0 bertsioaren aurrekoak.

Azalpena:

Hainbat ahultasun antzeman dira fabrikatzaile askoren sistema eragileetan denbora errealean (RTOS), memoriaren esleipen funtzioen erabilerarekin erlazionatutako ahultasun multzo baten ondorioz, hala nola malloc, calloc, realloc, memalign, valloc, pvalloc, eta abar. Horiek guztiak 'BadAlloc' izeneko txosten baten bidez ezagutarazi dira. Ahultasun horien bidez, erasotzaile batek kodearen urruneko exekuzioa burutu lezake, edota kaltetutako gailuaren blokeoa eragin.

Konponbidea: 

  • Amazon FreeRTOS: eguneratzea deskargatu;
  • Apache Nuttx OS 9.1.0 bertsioa: eguneratzea deskargatu;
  • ARM CMSIS-RTOS2: eguneratzea bidean, ekainerako aurreikusia;
  • ARM Mbed OS: eguneratzea deskargatu;
  • ARM mbed-uallaoc: Sistema zaharkitua da eta ez da eguneratzerik egingo;
  • Cesanta Software mongooses: eguneratzea deskargatu;
  • eCosCentric eCosPro RTOS: Eguneratzea: 4.5.4 bertsioak eta ostekoak;
  • Google Cloud IoT gailuen SDK: eguneratzea deskargatu;
  • Media Tek LinkIt SDK: MediaTek erakundeak erabiltzaileei eskainiko die eguneratzea. Ez dago konponbiderik doako bertsiorako, izan ere, ez dago diseinatuta produkzio-erabilerarako;
  • Micrium OS: Eguneratzea: 5.10.2 bertsioa edo ostekoa;
  • Micrium uCOS-II / uCOS-III: 1.39.1 bertsiora eguneratzea: Eguneratzea oraindik argitaratu gabe;
  • NXP MCUXpresso SDK: Eguneratzea: 2.9.0 bertsioa edo ostekoa;
  • NXP MQX: Eguneratzea: 5.1 edo ostekoa;
  • Redhat newlib: eguneratzea deskargatu;
  • RIOT OS: eguneratzea deskargatu;
  • Samsung Tizen RT RTOS: eguneratzea deskargatu;
  • TencentOS-tiny: Eguneratzea deskargatu;
  • Texas Instruments CC32XX: v4.40.00.07 bertsiora eguneratzea;
  • Texas Instruments SimpleLink CC13X0:  v4.10.03 bertsiora eguneratzea; eguneratzea argitaratu gabe;
  • Texas Instruments SimpleLink CC13X2-CC26X2:  v4.40.00 bertsiora eguneratzea; eguneratzea argitaratu gabe;
  • Texas Instruments SimpleLink CC2640R2:  v4.40.00 bertsiora eguneratzea; eguneratzea argitaratu gabe;
  • Texas Instruments SimpleLink MSP432E4: konfirmatua. Egun ez dago eguneratzerik planifikatuta;
  • uClibc-ng: eguneratzea deskargatu;
  • Windriver VxWorks: Eguneratzea bidean.

Gainera, CISAk kaltetutako erabiltzaileei honako arintze-neurriak gomendatu dizkie:

  • Murriztu sarearen eragin-eremua gailu guztietan, bereziki, Internet bidezkoa.
  • Kokatu kontrol-areak eta urrutiko gailuak firewall babesen atzean, eta enpresa-saretik aparte.
  • Urrutiko sarbidea behar denean, erabili metodo seguruak, hala nola sare pribatu birtualak (VPN).

Xehetasuna: 

Microsofteko 52 Atalaren taldeko David Atch, Omri Ben Bassat eta Tamir Ariel ikertzaileek, IoT-erako Azure Defenser segurtasun-talde gisa, hainbat ahultasun kritikoren multzoa antzeman dute. IoT eta OT gailuetako memoria esleipenari eragiten diote. 'BadAlloc' izeneko ahultasun horiek memoriaren esleipen funtzio estandarrei eragiten diete. Horien barruan daude hainbat fabrikatzaileren denbora errealeko sistema eragileak (RTOS), software garapenerako kit integratuak (SDK) eta estandar liburutegien inplementazio estandarrak (libc).

Aurkitutako ahultasunak memoria esleitzeko funtzio ahulei eragiten diete, hala nola malloc, calloc, realloc, memaling, valloc, pvalloc, eta abar. Kaltetutako produktuen funtzio horien inplementazioak ez ditu sarbide-balioztatze egokiak gehitu. Sarbide-balioztatze horiek gabe, erasotzaile batek memoria esleipena baliatu lezake pilaren gainezkatzea burutzeko, eta horrek gailuan kode maltzurra exekutatzea ekarriko luke.

Ahultasun horiei honako identifikatzaileak esleitu zaizkie: CVE-2021-30636, CVE-2021-27431, CVE-2021-27433, CVE-2021-27435, CVE-2021-27427, CVE-2021-22684, CVE-2021-27439, CVE-2021-27425, CVE-2021-26461, CVE-2020-35198, CVE-2020-28895, CVE-2021-31571, CVE-2021-31572, CVE-2021-27417, CVE-2021-3420, CVE-2021-27411, CVE-2021-26706, CVE-2021-27421, CVE-2021-22680, CVE-2021-27419, CVE-2021-27429, CVE-2021-22636, CVE-2021-27504 eta CVE-2021-27502.

Etiketak: Eguneratzea, Apache, Komunikazioak, Azpiegitura kritikoak, IoT, Linux, Ahultasuna.