Cuatro vulnerabilidades en VxWorks permitirían denegaciones de servicio

Hisashi Kojima y Masahiro Nakada de los laboratorios Fujitsu han

publicado 4 vulnerabilidades para VxWorks; un sistema operativo en
tiempo real del fabricante Wind River incrustado en los sistemas
(hardware) utilizados. Está basado en Unix y se utiliza en multitud
de campos como la automoción, aeronáutica (NASA), entornos médicos,
en defensa militar y en la industria en general.

Los sistemas operativos en tiempo real son los desarrollados para
utilizarse para aplicaciones cuyo tiempo de respuesta es crítico. Ante
un evento determinado, se sabe que tardará un tiempo X o menor en
proporcionar una respuesta. El clásico ejemplo es el ABS de los coches.
A pesar de parecer un elemento mecánico, se trata de un elemento
electrónico de tiempo real (usando un sistema operativo para ello) que
recibe como señal de entrada la orden de bloqueo de la/s rueda/s y como
salida impide que estas se bloqueen por completo. El tiempo de respuesta
es tan bajo que proporciona la sensación de ser un elemento mecánico.
Además del tiempo de respuesta crítico, estos sistemas deben disponer de
otras cualidades, como ser capaces de tolerar fallos en la entrada y ser
extremadamente fiable.

Las vulnerabilidades identificadas con CVE-2013-0711 y CVE-2013-0712
permitirían causar una denegación de servicio del sistema completo a
través del servidor SSH de VxWorks con una petición de autenticación
especialmente manipulada.

El fallo con CVE-2013-0715 localizado en el componente WebCLI también
permitiría causar una denegación de servicio “parcial” a través de una
cadena especialmente diseñada. CVE-2013-0716 permitiría, al igual que
los anteriores, una denegación de servicio del servidor web que provee
VxWorks haciendo, una petición con una URI especialmente diseñada.

Existen parches oficiales disponibles desde la página del fabricante.

Fuente