Sicherheitslücke in Amazon FreeRTOS IoT-Betriebssystem

Von Amazon gibt es ein Betriebssystem für IoT-Geräte, FreeRTOS. In diesem Betriebssystem wurde jetzt eine gravierende Schwachstelle gefunden.


Anzeige

Hintergrund zu FreeRTOS

FreeRTOS ist ein Open-Source-Echtzeitbetriebssystem (RTOS) für eingebettete Systeme, das auf über 40 Mikrocontroller portiert wurde, die in der IoT-, Luftfahrt-, Medizin-, Automobil- und anderen Branchen eingesetzt werden. RTOS wurde speziell für den Betrieb von Anwendungen mit sehr präzisem Timing und einem hohen Maß an Zuverlässigkeit entwickelt.

Seit Ende letzten Jahres wird das FreeRTOS-Projekt von Amazon geleitet. Das Unternehmen hat das Amazon FreeRTOS (a:FreeRTOS) IoT-Betriebssystem für Mikrocontroller durch ein Upgrade des FreeRTOS-Kernels und einiger seiner Komponenten entwickelt.

Neben Amazon pflegt auch WITTENSTEIN High Integrity Systems (WHIS) zwei Varianten von FreeRTOS – eine kommerzielle Version von FreeRTOS namens WHIS OpenRTOS und ein sicherheitsorientiertes RTOS namens SafeRTOS für den Einsatz in sicherheitskritischen Geräten.

Sicherheitlücken in FreeRTOS

Ein Sicherheitsforscher von Zimperium hat mehrere (13) kritische Schwachstellen in FreeRTOS und seinen anderen Varianten entdeckt. Durch diese Schwachstellen sind eine Vielzahl von IoT-Geräten und Systemen kritischer Infrastrukturen für Hackern angreifbar.

CVE Description
CVE-2018-16522 Remote code execution
CVE-2018-16525 Remote code execution
CVE-2018-16526 Remote code execution
CVE-2018-16528 Remote code execution
CVE-2018-16523 Denial of service
CVE-2018-16524 Information leak
CVE-2018-16527 Information leak
CVE-2018-16599 Information leak
CVE-2018-16600 Information leak
CVE-2018-16601 Information leak
CVE-2018-16602 Information leak
CVE-2018-16603 Information leak
CVE-2018-16598 Other

Die Schwachstellen wurden an Amazon gemeldet, welches Patches wurden für AWS FreeRTOS Versionen 1.3.2 und höher bereitgestellt hat. Zimperium erhielt auch die Bestätigung von WHIS, dass sie den gleichen Schwachstellen ausgesetzt waren, und diese wurden zusammen mit Amazon gepatcht. Ein weiterer Beitrag zum Thema findet sich auch hier. (via)


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.