流行开源操作系统 FreeRTOS 被曝多个远程代码执行漏洞

翻译：360代码卫士团队

驱动智能家庭和关键基础设施系统中多数小型微处理器和微控制器的开源操作系统 FreeRTOS 中存在13个漏洞，其中三分之一的漏洞可导致远程代码执行问题。

这些漏洞存在于 TCP/IP 栈中，而且影响由亚马逊维护的 FreeRTOS 衍生物以及由 WITTENSTEIN 高完整性系统 (WHIS) 维护的 OpenRTOS 和SafeRTOS。它们都是 MIT 许可项下商业产品的变体。

Zimperium 公司的研究员 Ori Karliner 分析了 FreeRTOS 操作系统后发现其所有变体均易受四个远程代码执行漏洞、一个拒绝服务漏洞、七个信息泄露和另外一种未披露类型的安全问题的影响。

受影响版本是 V10.0.1 及之前的 FreeRTOS 版本（FreeRTOS+TCP）、V1.3.1 及之前的 AWS FreeRTOS 版本、OpenRTOS 和SafeRTOS 版本（WHIS 连接中间件 TCP/IP 组件）。

亚马逊已获知这些漏洞问题，并已发布补丁缓解问题。Zimperium 公司出于让小厂商修复漏洞的考虑，目前暂未公开任何技术详情。等待打补丁的时间是30天。

FreeRTOS 是一款实时的操作系统微内核，存在时间已超过15年，是制造商嵌入式设备的首选。

FreeRTOS 支持40多个硬件平台并支持多款款产品的微控制器，如温度监控器、电器、传感器、健身追踪器、工业自动化系统、汽车、门锁、智能电表以及任何基于微控制器的设备。

由于 FreeRTOS 在较小的组件规模运作，它缺乏更精细的硬件的复杂性。然而，它的重要作用在于允许数据处理。

大约一年前，亚马逊决定参与物联网产品的开发，通过增加库的方式扩展内核，以支持云连接、安全性和无线更新功能。

影响 FreeRTOS 的全部漏洞概述如下：

原文链接

https://www.bleepingcomputer.com/news/security/remote-code-execution-flaws-found-in-popular-os-powering-embedded-systems/

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。