0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

远程代码执行漏洞现身运行内嵌式系统的流行操作系统

pIuy_EAQapp 来源:未知 作者:工程师曾暄茗 2018-10-28 09:30 次阅读

在主要用于智能家居及关键基础设施系统中的大部分微处理器单片机的开源操作系统FreeRTOS中,已发现13个漏洞,其中三分之一可用来执行远程代码。

这些存在于TCP/IP协议栈的漏洞感染了由亚马逊维护的FreeRTOS衍生系统,及由WITTENSTEIN高集成系统(WHIS)维护的OpenRTOS 与 SafeRTOS系统,这些系统是适用于MIT许可证的商业产品变体。

发现13个漏洞

安全公司辛培力安(Zimperium)的奥利·卡里班(Ori Karliner)分析了该操作系统,发现各类操作系统皆受四个远程代码执行漏洞、一个拒绝服务漏洞(DoS)、七个信息泄露漏洞以及另一未公开类型的安全问题影响。

受影响版本为FreeRTOS版本V10.0.1(基于FreeRTOS+TCP协议栈)、AWSFreeRTOS版本V1.3.1、OpenRTOS 以及 SafeRTOS(包含WHIS ConnectT中间件TCP/IP组件)。

亚马逊得知该情况后,已发布补丁来缓解这些漏洞。

由安全公司辛培力安发布的一份报告可知,在接下来30天内,该公司将不再公布任何技术细节,“以确保各小型供应商顺利修复这些漏洞”。

内嵌式系统的首选

芯片公司开发该基于微内核的实时操作系统FreeRTOS已超过15年,目前该系统已成为厂商制造嵌入式设备的首要选择。

该操作系统支持40多个硬件平台,可用于各类产品的单片机,如:温度监测仪、电器、传感器、健身追踪器、工业自动化系统、汽车、门锁、电力仪表以及任何基于微控制器的设备。

由于FreeRTOS的工作在较小范围的组件,因此它缺乏精致硬件所具有的复杂性。不过,它实现了一个重要的功能,因为它允许在输入时处理数据。

大约在一年前,亚马逊决定开发该产品,加入物联网行业细分领域。该公司通过添加函数库来扩展内核,以支持云连接、云安全及无线更新。

以下是感染FreeRTOS的全部漏洞及其标识码列表:

CVE-2018-16522 远程代码执行
CVE-2018-16525 远程代码执行
CVE-2018-16526 远程代码执行
CVE-2018-16528 远程代码执行
CVE-2018-16523 拒绝服务
CVE-2018-16524 信息泄露
CVE-2018-16527 信息泄露
CVE-2018-16599 信息泄露
CVE-2018-16600 信息泄露
CVE-2018-16601 信息泄露
CVE-2018-16602 信息泄露
CVE-2018-16603 信息泄露
CVE-2018-16598 其他

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 单片机
    +关注

    关注

    6032

    文章

    44513

    浏览量

    632797
  • 智能家居
    +关注

    关注

    1926

    文章

    9510

    浏览量

    184225
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15357

原文标题:远程代码执行漏洞现身运行内嵌式系统的流行操作系统

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    什么是嵌入操作系统?

    什么是嵌入操作系统? 想象一下,如果一个智能设备,比如你口袋里的智能手机,是一个有头脑的机器人,那么嵌入操作系统(Embedded Operating System,简称EOS)就
    发表于 11-08 15:07

    目前市场上流行的工控操作系统有哪些?

    代码自主率达到100%,支持指令级别的安全管控,为设备运行提供了安全可靠的基础环境。它已经获得了包括工业、汽车和轨道交通功能安全最高等级认证SIL4 & ASIL D在内的多项认证,是国内唯一通过汽车电子、工业控制、医疗仪器、轨道交通四项功能安全认证的
    的头像 发表于 09-04 16:18 587次阅读
    目前市场上<b class='flag-5'>流行</b>的工控<b class='flag-5'>操作系统</b>有哪些?

    嵌入实时操作系统:Intewell操作系统与VxWorks操作系统有啥区别

    Intewell操作系统和VxWorks操作系统都是工业领域常用的操作系统,它们各有特点和优势。以下是它们之间的一些主要区别:
    的头像 发表于 07-08 14:16 368次阅读
    嵌入<b class='flag-5'>式</b>实时<b class='flag-5'>操作系统</b>:Intewell<b class='flag-5'>操作系统</b>与VxWorks<b class='flag-5'>操作系统</b>有啥区别

    求助,请问你们开发产品时使用的什么操作系统

    开发产品时,你会使用什么操作系统呢? 使用了操作系统会不会影响执行效率呢?请各位大神们给个意见呀。 我在开发一个产品,现在遇到这个问题,写不带系统的程序,会发现它实现起来着实麻烦,但用
    发表于 05-14 08:06

    内嵌式直线电机磁悬浮列车180km/h级达速试验成功

    见证,列车峰值速度达到181km/h。 据悉, 4月20日19时许,试验组按照预定计划启动磁浮列车达速试验,先通过磁浮列车80km/h和130km/h速度等级的运行验证了列车峰值速度对应的线路位置并做好速度测试准备。20时23分,内嵌式磁浮列车从磁浮综合试验线末端启
    的头像 发表于 05-10 17:54 643次阅读
    <b class='flag-5'>内嵌式</b>直线电机磁悬浮列车180km/h级达速试验成功

    带你认识实时操作系统(rtos)

    实时操作系统(RTOS)是为嵌入系统和实时应用提供一个稳定、可预测和高效运行环境的操作系统。实时操作系
    的头像 发表于 04-16 16:30 1148次阅读
    带你认识实时<b class='flag-5'>操作系统</b>(rtos)

    Rust漏洞远程执行恶意指令,已发布安全补丁

    漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击。
    的头像 发表于 04-10 14:24 668次阅读

    再谈嵌入实时操作系统

    由于嵌入处理器早期功能单一且运算能力不高,嵌入应用已不能满足各个领域不断增长的需求。嵌入操作系统应运而生,嵌入
    的头像 发表于 04-09 17:27 741次阅读
    再谈嵌入<b class='flag-5'>式</b>实时<b class='flag-5'>操作系统</b>

    服务器操作系统有几种?

    众所周知,电脑上的一切正常运作都不可缺电脑操作系统的使用,网络服务器做为这种出示服务项目的服务器,或许都是不可 或缺的电脑操作系统。常用的网络服务器电脑操作系统有许多,比如:Windows
    发表于 03-29 16:59

    深度解析全球操作系统格局

    操作系统是负责协调、管理和控制计算机硬件与软件资源的程序,是整个计算机的核心系统软件。 按照操作系统面向的设备类型,通用操作系统主要包括桌面操作系统
    的头像 发表于 01-18 15:00 1047次阅读
    深度解析全球<b class='flag-5'>操作系统</b>格局

    系统内存和运行内存的区别

    系统内存和运行内存都是计算机中重要的概念,它们在计算机的存储和运行方面起着不可或缺的作用。虽然它们与计算机存储和运行息息相关,但是它们具有不同的功能和实现方式。接下来我将详细介绍
    的头像 发表于 01-15 16:32 3078次阅读

    详解实时操作系统和非实时操作系统

    实时操作系统,当外界事件和数据产生时,系统能以足够快的速度予以处理,其处理结果能在规定的时间内控制生产结果或对系统做出响应,并控制所有实时任务协调一致运行
    的头像 发表于 12-26 09:54 4485次阅读
    详解实时<b class='flag-5'>操作系统</b>和非实时<b class='flag-5'>操作系统</b>

    隐形内嵌!触想智能发布全新B款内嵌式工控一体机及内嵌式工业显示器

    近日,触想智能发布全新B款内嵌式工控系列TPC-19.该系列可支持显示器和一体机等多种品类、多级配置的灵活选购。标志性的2.5mm矮阶窄边面板设计,适配隐形内嵌式安装,专为机柜类设备应用打造,以高契合的物理结构,带动稳定、高品质的性能输出。
    的头像 发表于 12-04 16:55 543次阅读

    LabVIEW在不同操作系统上使VI、可执行文件或安装程序

    LabVIEW在不同操作系统上使VI、可执行文件或安装程序 LabVIEW可以在多个操作系统运行,主要支持以下几种操作系统: Window
    发表于 12-02 21:47

    CredSSP远程执行代码漏洞CVE-2018-0886漏洞的修复

    实际上,如果你下载的补丁版本和操作系统是对应的,但是还是无法安装,当安装补丁提示“此更新不适用于你的计算机”时,可以首先查看操作系统是否已经升级到最新SP版本。
    的头像 发表于 11-29 16:04 6261次阅读
    CredSSP<b class='flag-5'>远程</b><b class='flag-5'>执行</b><b class='flag-5'>代码</b><b class='flag-5'>漏洞</b>CVE-2018-0886<b class='flag-5'>漏洞</b>的修复