Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Wind Riverが提供するRTOSに複数の脆弱性

明らかとなった脆弱性は、バッファオーバーフローやNULLポインタ参照、引数の挿入や改ざんなど、あわせて11件。細工されたパケットを処理すると、リモートでコードを実行されたり、システムがサービス拒否に陥るおそれがある。

特に「CVE-2019-12255」「CVE-2019-12256」「CVE-2019-12260」の3件については、「10」が最高値とされる共通脆弱性評価システムであるCVSSにおいて、「9.8」とレーティングされている。そのほか「8」以上の脆弱性が3件含まれる。

Wind Riverでは、脆弱性に対処したパッチを用意。顧客への提供を開始した。セキュリティ機関では、インターネット経由のアクセスを制限することや、リモートアクセスが必要な場合はVPNを利用することなど、緩和策をアナウンスしている。

今回明らかとなった脆弱性は以下のとおり。

CVE-2019-12255
CVE-2019-12256
CVE-2019-12257
CVE-2019-12258
CVE-2019-12259
CVE-2019-12260
CVE-2019-12261
CVE-2019-12262
CVE-2019-12263
CVE-2019-12264
CVE-2019-12265

(Security NEXT - 2019/08/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、11月の定例パッチを公開 - 悪用済み脆弱性6件を修正
Siemensの「Nucleus RTOS」に13件の脆弱性が判明
MS、11月の月例パッチを公開 - 悪用済み2件を含む脆弱性55件を修正
IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」
三菱電機の一部制御システム製品に「URGENT/11」の脆弱性
「Amazon FreeRTOS」の複数脆弱性、詳細公表される - コード実行やDoSのおそれ
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
「MQX RTOS」にRCEなど複数の脆弱性