近日，SonarQube引發(fā)的開源軟件供應(yīng)鏈攻擊事件一波未平，新一波開源威脅又接踵而來。

上周，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在漏洞公告中披露，已在多個開源和專有對象管理組(OMG)DDS（數(shù)據(jù)分發(fā)服務(wù)）標(biāo)準(zhǔn)中存在安全漏洞。此外，該公告還提供了DDS實施中發(fā)現(xiàn)的其他漏洞的緩解建議。

DDS實施用于航空航天和國防、空中交通控制、自動駕駛汽車、醫(yī)療設(shè)備、機(jī)器人、發(fā)電、模擬和測試、智能電網(wǎng)管理、運輸系統(tǒng)以及其他需要實時數(shù)據(jù)交換的應(yīng)用。

CISA聲稱漏洞公告是為了幫助企業(yè)和機(jī)構(gòu)及早了解漏洞并確定基線緩解措施，以降低遭受網(wǎng)絡(luò)安全攻擊的風(fēng)險。

CISA公告中提及的受影響的供應(yīng)商包括Eclipse、eProsima、GurumNetworks、Object Computing Inc.(OCI)、Real-Time Innovations (RTI)和TwinOaks Computing。

根據(jù)公告，應(yīng)用于多個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的以下OMG DDS實施受到影響：
    . Eclipse CycloneDDS 0.8.0之前的所有版本
    . eProsima Fast DDS 2.4.0(#2269)之前的所有版本
    . 所有GurumNetworks GurumDDS的版本
    . OCI OpenDDS 3.18.1之前的所有版本
    . RTI Connext DDS Professional
    . Connext DDS Secure的4.2x至6.1.0版本
    . RTI Connext DDS Micro的3.0.0及更高版本
    . TwinOaks Computing CoreDX DDS5.9.1之前的所有版本

CISA表示，已識別的漏洞包括write-what-where條件、句法無效結(jié)構(gòu)處理不當(dāng)、網(wǎng)絡(luò)放大、緩沖區(qū)大小計算錯誤、基于堆的緩沖區(qū)溢出、長度參數(shù)不一致處理不當(dāng)、放大和基于堆棧的緩沖區(qū)溢出。利用這些漏洞可能會導(dǎo)致拒絕服務(wù)或緩沖區(qū)溢出，從而可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行或信息泄露。

Eclipse建議其用戶應(yīng)用最新的CycloneDDS補(bǔ)丁，而eProsima也建議其客戶應(yīng)用最新的Fast DDS補(bǔ)丁。CISA聯(lián)系了Gurum Networks，但后者沒有回應(yīng)協(xié)調(diào)請求。

CISA建議用戶聯(lián)系GurumNetworks尋求幫助。對于OCI，CISA建議用戶更新到OpenDDS 3.18.1或更高版本。RTI建議用戶為這些問題應(yīng)用可用的補(bǔ)丁。修補(bǔ)程序可在RTI客戶門戶網(wǎng)站上或通過聯(lián)系RTI支持人員獲得。用戶還可以聯(lián)系RTI Support尋求緩解措施，包括如何使用RTI DDS Secure來緩解網(wǎng)絡(luò)放大問題。

供應(yīng)商Twin Oaks Computing建議用戶應(yīng)用CoreDX DDS 5.9.1或更高版本，該版本可以從其官方網(wǎng)站（http://www.twinoakscomputing.com/coredx/download）下載，但需要登錄。

CISA安全公告鏈接

https://us-cert.cisa.gov/ics/advisories/icsa-21-315-02

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:GoUpSec

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明