Уязвимости «Devil's Ivy» в Open Source-библиотеке gSOAP оказались подвержены многие IoT-устройства

Исследователи из компании Senrio, специализирующиеся на безопасности для интернета вещей (IoT), обнаружили проблему переполнения буфера в купольной камере Axis M3004. Как выяснилось позже, ей оказались подвержены многочисленные устройства со всего мира.

Дьявольский плющ
Дьявольский плющ / Иллюстрация с сайта Epicgardening.Com

Уязвимость в безопасности, получившая название «Devil’s Ivy» и номер CVE-2017-9765, проявляет себя при попытке обработать большой XML-файл (более 2 Гб) веб-серверами некоторых устройств (вопреки популярной политике отказа от таких запросов, принятой во многих веб-серверах по умолчанию). Проблема приводит к тому, что сформированное специальным образом содержимое большого файла позволяет злоумышленникам исполнять удалённо (т.е. на устройстве, подверженном уязвимости) произвольный код или вызывать отказ в его обслуживании (denial of service). Источником уязвимости оказалась Open Source-библиотека gSOAP для работы с SOAP/XML в веб-сервисах. Её код поддерживает компания Genivia.

По данным Senrio, на 1 июля в интернете было обнаружено 14 тысяч уязвимых камер Axis Communications, которые популярных в разных областях (здравоохранение, транспорт, государственные службы, розничная продажа, банки). Производитель уязвимых камер выпустил обновления прошивки для проблемных моделей ещё 10 июля, однако, судя по всему, она затрагивает и другие устройства. По данным Genivia, стоящей за библиотекой gSOAP, библиотеку только из её источников скачали более миллиона раз, а ещё она задействована в популярных дистрибутивах GNU/Linux: соответствующий баг появился у Red Hat, Ubuntu, SUSE, — а патч с исправлением CVE-2017-9765 «Devil’s Ivy» был доступен ещё с 21 июня.

Комментарий от Senrio: «Мы назвали уязвимость Дьявольский плющ (Devil’s Ivy), потому что её, как и это растение, практически невозможно истребить, и она быстро распространяется из-за повторного использования кода [применения одной Open Source-библиотеки в разных приложениях и устройствах — прим. перев.]. Её источник находится в стороннем наборе инструментов, который скачали миллионы раз, что означает, оно попало на тысячи устройств, и полностью его истребить будет сложно».

Дмитрий Шурупов по материалам zdnet.com.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Вышла новая версия Adblock Plus для блокировки рекламы в FacebookВышла новая версия Adblock Plus для блокировки рекламы в Facebook
Блок рекламы


Похожие новости

Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft перепишет Skype с нуля из-за найденной уязвимостиMicrosoft перепишет Skype с нуля из-за найденной уязвимости
Apple закрыла уязвимости Spectre и Meltdown на macOS и iOSApple закрыла уязвимости Spectre и Meltdown на macOS и iOS
Meltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоровMeltdown и Spectre: что нужно знать о самой масштабной уязвимости процессоров
Kata Containers — новая веха для контейнеров Clear Containers от Intel в OpenStack FoundationKata Containers — новая веха для контейнеров Clear Containers от Intel в OpenStack Foundation
CARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилейCARLA — Open Source-симулятор от Intel и Toyota для обучения беспилотных автомобилей
Apache OpenMeetings 4.0 — крупное обновление Open Source-решения для веб-конференцийApache OpenMeetings 4.0 — крупное обновление Open Source-решения для веб-конференций
GitLab переходит на DCO вместо соглашения CLA для своих Open Source-контрибьюторовGitLab переходит на DCO вместо соглашения CLA для своих Open Source-контрибьюторов
AT&T добавила Kubernetes и Helm в свою промышленную облачную платформу на базе OpenStackAT&T добавила Kubernetes и Helm в свою промышленную облачную платформу на базе OpenStack
Apache Kafka 1.0.0 — важная веха популярного Open Source-брокера сообщенийApache Kafka 1.0.0 — важная веха популярного Open Source-брокера сообщений
Последние новости

Подгружаем последние новости