miércoles, 3 de abril de 2013

Cuatro vulnerabilidades en VxWorks permitirían denegaciones de servicio

Hisashi Kojima y Masahiro Nakada de los laboratorios Fujitsu han publicado cuatro vulnerabilidades para VxWorks; un sistema operativo en tiempo real del fabricante Wind River incrustado en los sistemas (hardware) utilizados. Está basado en Unix y se utiliza en multitud de campos como la automoción, aeronáutica (NASA), entornos médicos, en defensa militar y en la industria en general.

Los sistemas operativos en tiempo real son los desarrollados para utilizarse para aplicaciones cuyo tiempo de respuesta es crítico. Ante un evento determinado, se sabe que tardará un tiempo X o menor en proporcionar una respuesta. El clásico ejemplo es el ABS de los coches. A pesar de parecer un elemento mecánico, se trata de un elemento electrónico de tiempo real (usando un sistema operativo para ello) que recibe como señal de entrada la orden de bloqueo de la/s rueda/s y como salida impide que estas se bloqueen por completo. El tiempo de respuesta es tan bajo que proporciona la sensación de ser un elemento mecánico. Además del tiempo de respuesta crítico, estos sistemas deben disponer de otras cualidades, como ser capaces de tolerar fallos en la entrada y ser extremadamente fiable.

Las vulnerabilidades identificadas con CVE-2013-0711 y CVE-2013-0712 permitirían causar una denegación de servicio del sistema completo a través del servidor SSH de VxWorks con una petición de autenticación especialmente manipulada.

El fallo con CVE-2013-0715 localizado en el componente WebCLI también permitiría causar una denegación de servicio "parcial" a través de una cadena especialmente diseñada. CVE-2013-0716 permitiría, al igual que los anteriores, una denegación de servicio del servidor web que provee VxWorks haciendo, una petición con una URI especialmente diseñada

Más información:

JVNDB-2013-000018 - VxWorks SSH server (IPSSH) denial-of-service (DoS) vulnerability

JVNDB-2013-000019 - VxWorks SSH server (IPSSH) denial-of-service (DoS) vulnerability

JVNDB-2013-000022 - VxWorks WebCLI vulnerable to denial-of-service (DoS)

JVNDB-2013-000023 - VxWorks Web Server vulnerable to denial-of-service (DoS)

Wind River Customers:



Antonio Sánchez

No hay comentarios:

Publicar un comentario en la entrada