Cuatro vulnerabilidades en VxWorks permitirían denegaciones de servicio

Iniciado por wolfbcn, 5 Abril 2013, 02:40 AM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Hisashi Kojima y Masahiro Nakada de los laboratorios Fujitsu han publicado cuatro vulnerabilidades para VxWorks; un sistema operativo en tiempo real del fabricante Wind River incrustado en los sistemas (hardware) utilizados. Está basado en Unix y se utiliza en multitud de campos como la automoción, aeronáutica (NASA), entornos médicos, en defensa militar y en la industria en general.

Los sistemas operativos en tiempo real son los desarrollados para utilizarse para aplicaciones cuyo tiempo de respuesta es crítico. Ante un evento determinado, se sabe que tardará un tiempo X o menor en proporcionar una respuesta. El clásico ejemplo es el ABS de los coches. A pesar de parecer un elemento mecánico, se trata de un elemento electrónico de tiempo real (usando un sistema operativo para ello) que recibe como señal de entrada la orden de bloqueo de la/s rueda/s y como salida impide que estas se bloqueen por completo. El tiempo de respuesta es tan bajo que proporciona la sensación de ser un elemento mecánico. Además del tiempo de respuesta crítico, estos sistemas deben disponer de otras cualidades, como ser capaces de tolerar fallos en la entrada y ser extremadamente fiable.

Las vulnerabilidades identificadas con CVE-2013-0711 y CVE-2013-0712 permitirían causar una denegación de servicio del sistema completo a través del servidor SSH de VxWorks con una petición de autenticación especialmente manipulada.

El fallo con CVE-2013-0715 localizado en el componente WebCLI también permitiría causar una denegación de servicio "parcial" a través de una cadena especialmente diseñada. CVE-2013-0716 permitiría, al igual que los anteriores, una denegación de servicio del servidor web que provee VxWorks haciendo, una petición con una URI especialmente diseñada.


Más información:

JVNDB-2013-000018 - VxWorks SSH server (IPSSH) denial-of-service (DoS) vulnerability http://jvndb.jvn.jp/jvndb/JVNDB-2013-000018

JVNDB-2013-000019 - VxWorks SSH server (IPSSH) denial-of-service (DoS) vulnerability http://jvndb.jvn.jp/jvndb/JVNDB-2013-000019

JVNDB-2013-000022 - VxWorks WebCLI vulnerable to denial-of-service (DoS) http://jvndb.jvn.jp/jvndb/JVNDB-2013-000022

JVNDB-2013-000023 - VxWorks Web Server vulnerable to denial-of-service (DoS) http://jvndb.jvn.jp/jvndb/JVNDB-2013-000023

Wind River Customers: http://www.windriver.com/customers/

FUENTE :http://www.laflecha.net/canales/seguridad/noticias/cuatro-vulnerabilidades-en-vxworks-permitirian-denegaciones-de-servicio
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.