В TCP/IP-стеке FreeRTOS выявлены уязвимости, приводящие к удаленному выполнению кода
Раскрыта детальная информация о 13 уязвимостях, выявленных в ходе аудита TCP/IP-стека открытой операционной системы FreeRTOS, последнее время развиваемой компанией Amazon. Шесть уязвимостей потенциально позволяют организовать выполнение кода через отправку специально оформленных IP- и TCP-пакетов, а также сетевых запросов с использованием протоколов DNS, LLMNR и HTTPS. Восемь уязвимостей могут привести к утечке содержимого памяти процессов-обработчиков. Одна уязвимость может применяться для отравления кэша DNS (подстановки фиктивных значений).
ОС FreeRTOS поставляется под лицензией MIT и в основном применяется на различных микроконтроллерах, встраиваемых устройствах, системах промышленной автоматики и оборудовании интернета вещей (IoT). Уязвимости устранены начиная с выпуска 1.3.2, всем пользователям устройств на базе FreeRTOS рекомендуется срочно обновить прошивки или ограничить доступ к устройствам из внешних сетей. Проблемы также проявляются в компоненте TCP/IP-стеке WHIS Connect для проприетарных систем OpenRTOS и SafeRTOS, основанном на коде FreeRTOS.