В TCP/IP-стеке FreeRTOS выявлены уязвимости, приводящие к удалённому выполнению кода

Раскрыта детальная информация о 13 уязвимостях, выявленных в ходе аудита TCP/IP-стека открытой операционной системы FreeRTOS, последнее время развиваемой компанией Amazon. Шесть уязвимостей потенциально позволяют организовать выполнение кода через отправку специально оформленных IP- и TCP-пакетов, а также сетевых запросов с использованием протоколов DNS, LLMNR и HTTPS. Восемь уязвимостей могут привести к утечке содержимого памяти процессов-обработчиков. Одна уязвимость может применяться для отравления кэша DNS (подстановки фиктивных значений).

ОС FreeRTOS поставляется под лицензией MIT и в основном применяется на различных микроконтроллерах, встраиваемых устройствах, системах промышленной автоматики и оборудовании интернета вещей (IoT). Уязвимости устранены начиная с выпуска 1.3.2, всем пользователям устройств на базе FreeRTOS рекомендуется срочно обновить прошивки или ограничить доступ к устройствам из внешних сетей. Проблемы также проявляются в TCP/IP-стеке WHIS Connect для проприетарных систем OpenRTOS и SafeRTOS, основанных на коде FreeRTOS.

Источник: OpenNET