北京赛车pk10开奖

11项安全漏洞突现,尤显VxWorks安全

2019-07-30来源: EEWORLD作者: Arlen Baker,风河首席安全架构师关键字:VxWorks  安全漏洞

风河认为,安全性根植于我们的DNA深处。这是我们近40年来在关键任务系统中无尽遗产的组成部分,融汇于我们提供的所有技术之中,帮助我们的客户开发出可靠且值得信赖的解决方案。我们极致重视安全性,正因为如此,最近在TCP/IP(IPnet))网络堆栈中发现并被强调为“紧急(Urgent)”的11项漏洞,反而更进一步凸显了迄今为止最安全的实时操作系统——VxWorks。

 

这些漏洞是被网络安全公司Armis发现的。通过互动顺畅的“负责任披露(Responsible Disclosure)”模式,风河公司专设的安全事件响应团队与Armis密切合作,确保客户能够获得通知和所需的补救/补丁。这一共享与协作的流程旨在帮助设备制造商降低其用户的任何潜在风险。我们感谢Armis在发现这些漏洞的过程中为大家所做的一切。

北京赛车pk10开奖作为世界上应用最广泛、最值得信赖的实时操作系统(RTOS)的供应商,以及领先技术企业的一员,我们有责任建立一个缜密的安全响应流程。我们的客户在许多方面都信赖我们,这便是其中原因之一。

 

IPnet网络栈是VxWorks某些版本的组件之一,包括生命周期已经结束(EOL)的6.5版本。具体来说,有些互联设备采用的是较老标准版本的VxWorks,其中包含的IPnet堆栈受到了一个或多个已发现漏洞的影响。最新版本的VxWorks不会受这些漏洞的影响。

 

风河公司的安全关键产品(如VxWorks 653和VxWorks CERT版本)原本的设计目标就具备通过认证的水平,因此也不会受到任何影响。非常重要的一点是,应该注意到,并不是所有发现的漏洞都存在于每一个产品之中。有关受影响/未受影响版本的完整详细信息,请参见安全咨询信息。

 

这些受影响的设备在我们客户群中只占一小部分,主要存在于企业设备之中,被部署在网络周边面对互联网的部位,如调制解调器、路由器和打印机,以及一些工业和医疗设备。

 

在这11个漏洞中,有6个是Remote Code Execution(RCE,远程代码执行)漏洞;在这6个漏洞中,有4个可以通过一个简单的防火墙规则予以缓解。到目前为止,没有迹象表明这11个漏洞已造成后果。

 

这些漏洞并不是风河软件独有的。2006年,风河通过收购Interpeak获得了IPnet Stack。在此项收购之前,这个堆栈已经被广泛授权给许多其他RTOS供应商并由其部署在应用中。

 

深度防御的重要性

 

在代码中找到漏洞是非常困难的,而且有些人会以您没有预料到的方式对这些代码发起攻击。实际上,安全漏洞在未被发现的情况下运行很多年,这并非十分罕见的情况。这样的实例有很多:Spectre/Meltdown 就曾经存在于数十家制造商生产的数百万个处理器中,使用了十多年之后才被发现;OpenSSL漏洞,例如HeartBleed也暗藏了很多年。事实上,现代软件系统非常复杂,功能非常丰富,多年来编写的大量代码,不断提高对安全编程的认识,并不断提高审查水平。

 

以下VxWorks内置的安全特性可用于建构一个强大的系统,并且可以对已经发现的IPnet漏洞做出防护:

 

北京赛车pk10开奖VxWorks安全特性

原则

类别

实现

不可执行堆栈

可用性

侵入防护

恶意软件防护

实时进程

保密性

隔离

分区

系统调用访问控制

可用性

白名单

访问控制

任务堆栈溢出/不足

可用性

侵入防护

恶意软件防护

防火墙

可用性

侵入防护

防火墙

确定性内存使用

可用性

对策

证明

 

要定义一套完整的安全策略,就必须对客户的系统进行全面审核。


《国土安全》有文章指出,“任何组织机构都不能依靠单一对策来解决全部安全问题。”美国国家安全局下属的信息保护署(Information Assurance Directorate)也有文章*指出,“不幸的是,将一个SKPP认证的内核作为系统组成部分,并不能立即使系统在整体上具备高度的稳健性。”简单来说,仅仅依赖单个组件,这是一种失败的安全策略。

 

利用风河软件构建安全系统

 

虽然没有任何软件能够抵御零时差攻击(Zero-Day Vulnerabilities),但客户可以应用风河公司的软件来构建他们的可信赖系统。我们的产品发布流程极为严格,包括回归/网络测试、静态分析和恶意软件扫描。我们的CVE监控/评估,再加上安全服务产品,可以确保最初部署的就是最坚固的系统,而且在该系统的整个生命周期内提供维护。我们还得到了由Armis等公司组成的强大安全生态系统的支持。

 


关键字:VxWorks  安全漏洞

编辑:muyan 引用地址:http://news.2689mr.com/IoT/ic469579.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:中国AI安防产业链盘点:涵盖6大业务领域
下一篇:五眼联盟:数据加密不应以牺牲公众安全为代价

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

Astranis将VxWorks®实时操作系统用于其新一代卫星

领先的关键基础设施物联网软件提供商风河®宣布,卫星新创公司Astranis Space Technologies正在将VxWorks®实时操作系统用于其新一代卫星,为网络尚未覆盖的市场提供经济高效的高速互联网接入服务。 全世界尚有一半以上的区域尚未接入互联网,卫星有望在解决这一问题中发挥重要作用。Astranis公司正在建造能够向全球个人用户提供宽带互联网服务的卫星。其覆盖目标是那些由于基础设施建设成本太高而导致宽带互联网无法广泛使用或完全不可用的地域。 Astranis公司采用VxWorks来管理卫星主飞行计算机,控制其中搭载的航空电子设备,以便实施引导并使其与地球保持互连通信。Astranis公司最近已经
发表于 2019-04-01
Astranis将VxWorks®实时操作系统用于其新一代卫星

索格亚采用风河VxWorks开发的机载显示控制器取得取得CTSOA

领先的关键基础设施物联网软件提供商风河公司宣布,西安索格亚航空科技有限公司采用风河VxWorks 7实时操作系统(RTOS)研制开发的机载多功能显示控制器取得了中国民航颁发的技术标准规定项目批准书(CTSOA)。 机载多功能显示控制器是飞机航电系统的核心设备,将各类机载电子设备的显示信息都呈现在多功能显示器上,并且可以实现高度集成的显示和控制,改变了以往飞机座舱中仪器仪表繁多的复杂状况。西安索格亚航空科技有限公司开发的机载多功能显示控制器基于VxWorks实时操作系统,实现了电子飞行仪表、GPS/北斗定位、移动电子地图导航、飞行管理、北斗短报文通信和北斗授时功能,可满足各类中型及小型飞机仪表显示和飞行管理需求。CTSOA
发表于 2019-01-15

风河VxWorks 产品继续为恩智浦平台加力

DO-178C、EUROCAE ED-12C、EN 50128和IEC 61508的严格安全认证的要求。● VxWorks 653多核版(VxWorks 653 Multi-core Edition)是一个集成模块化航空电子设备(IMA)平台,可以在共享的计算机平台上实现较高安全关键和较低安全关键应用的工作负载整合,现已针对NXP QorIQ T2080进行过验证,并且提供COTS认证依据。● VxWorks 7 Cert是一个安全关键应用平台,在航空电子、交通运输、工业自动化和医疗等行业需获得RTCA DO-178、EUROCAE ED-12或IEC 61508认证。现已针对NXP i.MX
发表于 2018-12-18

vxWorks内核解读四--中断

IVector=INumber*8INUM_TO_IVEC(intNum):实现内部中断号与内部向量号之间的转换。外部中断号、内部中断号、以及中断向量号的对应关系如表4.1所示。表4.1 中断相关概念对照表X86架构的计算机中,一些中断资源已经固定地分配给某些外部设备,如系统时钟固定使用IRQ0,所以在选择中断号时首先应参考硬件手册,避免与已用的中断资源冲突。选定中断号后,需要在BIOS中加以设置。避免BIOS在初始化时,把此中断号作为可用资源分配给PCI设备,造成中断冲突。备注:VxWorks中使用intConnect()挂接中断服务程序,但对于PCI设备,一般采用pciIntConnect()挂接中断,它与intConnect()的主要
发表于 2018-12-01
vxWorks内核解读四--中断

北京赛车pk10开奖风河VxWorks助力NASA洞察号探测器完成火星之旅

风河引以自豪地宣布,VxWorks实时操作系统(RTOS)助力NASA洞察号探测器(InSight Lander)完成火星之旅重要里程碑,开始向红色星球减速12300mph并已成功着陆。风河VxWorks被应用于洞察号探测器的航空电子系统,助力NASA完成了此项任务,这是继2012年火星科学实验室好奇号任务之后,风河RTOS系统再次登陆火星。着陆后,洞察号将钻入火星表面,在2020年11月24日之前,它都将留在火星执行科学任务并收集有关这颗星球如何形成的数据信息(相当于火星上的一年零40天,或接近两个地球年)。 二十多年来,风河助力NASA将数十个无人驾驶系统带入太空,在一些重大的太空任务中发挥了关键作用,为我们开启探索
发表于 2018-11-27
风河VxWorks助力NASA洞察号探测器完成火星之旅

思科新产品可识别智能网联车辆安全漏洞

日前,思科公司发布了一款开源硬件工具“4CAN”,用来查找智能网联车辆内的网络安全漏洞。据悉,这款安全工具能够识别现代化车载传感器与控制系统内的潜在缺陷。思科表示,汽车控制系统内的安全漏洞或将对车辆构成严重的安全威胁,而那些意图发起网络攻击的黑客们很可能借此控制车载系统。为了提升现代化车辆的网络安全性能,思科在完成NDS、Neohapsis及Portcullis等多起并购案后,整合了大量的专业人才,该团队面向全球用户提供各类安全评估服务,并致力于识别智能网联车载部件的安全漏洞。思科此次构建的智能网联安全网络,将开源硬件工具“4CAN”与车载软件相搭配,以便所有的汽车安全研究人员都能从中获益。“4CAN”将赋予研究人员测试车
发表于 2019-08-29
思科新产品可识别智能网联车辆安全漏洞

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 北京赛车pk10开奖电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2019 EEWORLD。com。cn, Inc。 All rights reserved
北京赛车pk10计划 pk10机器人 澳彩网彩票注册开户平台 北京赛车pk10开奖 我赢彩票注册开户投注 北京赛车 北京赛车pk10开奖 北京赛车 北京赛车pk10开奖 天音彩票网