【安全通告】FreeRTOS多个远程代码执行漏洞

作者:   广州非凡信息安全技术有限公司(总部广州) 2018/12/19 09:39:50 72次阅读 国际

【安全通告】FreeRTOS多个远程代码执行漏洞
2ea2d7c6290ec055bd53496d51bb200a.png


当地时间10月30日,FreeRTOS被Zimperium的研究人员曝出存在13个重大漏洞,其中包括4个远程代码执行漏洞。


漏洞概述

公布的漏洞概括如下:

CVE编号

 

漏洞类型

 

CVE-2018-16522

 

Remote Code Execution

CVE-2018-16525

 

Remote Code Execution

 

CVE-2018-16526

 

Remote Code Execution

 

CVE-2018-16528

 

Remote Code Execution

CVE-2018-16523

 

Denial of Service

 

CVE-2018-16524

 

Information Leak

 

CVE-2018-16527

 

Information Leak

 

CVE-2018-16599

 

Information Leak

CVE-2018-16600

 

Information Leak

 

CVE-2018-16601

 

Information Leak

 

CVE-2018-16602

 

Information Leak

 

CVE-2018-16603

 

Information Leak

CVE-2018-16598

 

Other



受影响的版本

FreeRTOS up to V10.0.1 (with FreeRTOS+TCP),
AWS FreeRTOS up to V1.3.1,
WHIS OpenRTOS and SafeRTOS (With WHIS Connect middleware TCP/IP components).

解决方案

目前已知Amazon等厂商已发布补丁修复了AWS FreeRTOS(AWS FreeRTOS 1.3.2)以及WHIS的版本。
详情请参考:
https://github.com/aws/amazon-freertos/blob/master/CHANGELOG.md

由于这是一个开源的项目,因此研究人员将留给受影响的各家厂商足够的时间去修复该漏洞,将在30天后公布上述漏洞的详细信息。
参考链接:
https://blog.zimperium.com/freertos-tcpip-stack-vulnerabilities-put-wide-range-devices-risk-compromise-smart-homes-critical-infrastructure-systems/



指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室