Уязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройства

Исследователи из компании Senrio, специализирующиеся на безопасности для интернета вещей (IoT), обнаружили проблему переполнения буфера в купольной камере Axis M3004. Как выяснилось позже, ей оказались подвержены многочисленные устройства со всего мира.

Дьявольский плющ
Дьявольский плющ / Иллюстрация с сайта Epicgardening.Com

Уязвимость в безопасности, получившая название «Devil’s Ivy» и номер CVE-2017-9765, проявляет себя при попытке обработать большой XML-файл (более 2 Гб) веб-серверами некоторых устройств (вопреки популярной политике отказа от таких запросов, принятой во многих веб-серверах по умолчанию). Проблема приводит к тому, что сформированное специальным образом содержимое большого файла позволяет злоумышленникам исполнять удалённо (т.е. на устройстве, подверженном уязвимости) произвольный код или вызывать отказ в его обслуживании (denial of service). Источником уязвимости оказалась Open Source-библиотека gSOAP для работы с SOAP/XML в веб-сервисах. Её код поддерживает компания Genivia.

По данным Senrio, на 1 июля в интернете было обнаружено 14 тысяч уязвимых камер Axis Communications, которые популярных в разных областях (здравоохранение, транспорт, государственные службы, розничная продажа, банки). Производитель уязвимых камер выпустил обновления прошивки для проблемных моделей ещё 10 июля, однако, судя по всему, она затрагивает и другие устройства. По данным Genivia, стоящей за библиотекой gSOAP, библиотеку только из её источников скачали более миллиона раз, а ещё она задействована в популярных дистрибутивах GNU/Linux: соответствующий баг появился у Red Hat, Ubuntu, SUSE, — а патч с исправлением CVE-2017-9765 «Devil’s Ivy» был доступен ещё с 21 июня.

Комментарий от Senrio: «Мы назвали уязвимость Дьявольский плющ (Devil’s Ivy), потому что её, как и это растение, практически невозможно истребить, и она быстро распространяется из-за повторного использования кода [применения одной Open Source-библиотеки в разных приложениях и устройствах — прим. перев.]. Её источник находится в стороннем наборе инструментов, который скачали миллионы раз, что означает, оно попало на тысячи устройств, и полностью его истребить будет сложно».

Дмитрий Шурупов по материалам zdnet.com.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Microsoft вновь запустила обновление Windows 10 October 2018Microsoft вновь запустила обновление Windows 10 October 2018
Новое обновление Windows 10 выдаёт «синий экран смерти»Новое обновление Windows 10 выдаёт «синий экран смерти»
Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Adobe выпустит полноценный Photoshop для iPadAdobe выпустит полноценный Photoshop для iPad
Владелец Winamp перезапустит плеер в 2019 годуВладелец Winamp перезапустит плеер в 2019 году
Блок рекламы


Похожие новости

Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft перепишет Skype с нуля из-за найденной уязвимостиMicrosoft перепишет Skype с нуля из-за найденной уязвимости
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Meltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоровMeltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоров
Kata Containers — новая веха для контейнеров Clear Containers от Intel в OpenStack FoundationKata Containers — новая веха для контейнеров Clear Containers от Intel в OpenStack Foundation
CARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилейCARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилей
Apache OpenMeetings 4.0 — крупное обновление Open Source-решения для веб-конференцийApache OpenMeetings 4.0 — крупное обновление Open Source-решения для веб-конференций
GitLab переходит на DCO вместо соглашения CLA для своих Open Source-контрибьюторовGitLab переходит на DCO вместо соглашения CLA для своих Open Source-контрибьюторов
AT&T добавила Kubernetes и Helm в свою промышленную облачную платформу на базе OpenStackAT&T добавила Kubernetes и Helm в свою промышленную облачную платформу на базе OpenStack
Apache Kafka 1.0.0 — важная веха популярного Open Source-брокера сообщенийApache Kafka 1.0.0 — важная веха популярного Open Source-брокера сообщений
Последние новости

Подгружаем последние новости