NCC குழுமத்தைச் சேர்ந்த ஆராய்ச்சியாளர்கள் இலவச திட்ட தணிக்கை முடிவுகள் , ஒரு நிகழ்நேர இயக்க முறைமை (RTOS), இன்டர்நெட் ஆஃப் திங்ஸ் கருத்துடன் (IoT, இன்டர்நெட் ஆஃப் திங்ஸ்) இணங்கக்கூடிய சாதனங்களைச் சித்தப்படுத்துவதை நோக்கமாகக் கொண்டது. தணிக்கையின் போது தெரியவந்தது Zephyr இல் மற்றும் MCUboot இல் 1 பாதிப்பு. இன்டெல் நிறுவனங்களின் பங்கேற்புடன் Zephyr உருவாக்கப்படுகிறது.
மொத்தத்தில், நெட்வொர்க் ஸ்டேக்கில் 6 பாதிப்புகள், கர்னலில் 4, கட்டளை ஷெல்லில் 2, சிஸ்டம் கால் ஹேண்ட்லர்களில் 5, யூஎஸ்பி துணை அமைப்பில் 5 மற்றும் ஃபார்ம்வேர் அப்டேட் பொறிமுறையில் 3 பாதிப்புகள் கண்டறியப்பட்டன. இரண்டு சிக்கல்கள் முக்கியமானவை, இரண்டு உயர்வானவை, 9 மிதமானவை, 9 குறைவானவை, 4 பரிசீலிக்கப்பட வேண்டியவை. முக்கியமான சிக்கல்கள் IPv4 ஸ்டாக் மற்றும் MQTT பாகுபடுத்தியைப் பாதிக்கின்றன, ஆபத்தானவை USB மாஸ் ஸ்டோரேஜ் மற்றும் USB DFU இயக்கிகளைப் பாதிக்கின்றன. தகவல் வெளிப்படுத்தும் நேரத்தில், மிகவும் ஆபத்தான 15 பாதிப்புகளுக்கு மட்டுமே திருத்தங்கள் தயாரிக்கப்பட்டன; சேவை மறுப்பு அல்லது கூடுதல் கர்னல் பாதுகாப்பு வழிமுறைகளில் உள்ள குறைபாடுகளுடன் தொடர்புடைய சிக்கல்கள் சரி செய்யப்படவில்லை.
இயங்குதளத்தின் IPv4 அடுக்கில் தொலைதூரத்தில் பயன்படுத்தக்கூடிய பாதிப்பு கண்டறியப்பட்டுள்ளது, இது ஒரு குறிப்பிட்ட வழியில் மாற்றியமைக்கப்பட்ட ICMP பாக்கெட்டுகளை செயலாக்கும்போது நினைவக சிதைவுக்கு வழிவகுக்கிறது. MQTT நெறிமுறை பாகுபடுத்தியில் மற்றொரு கடுமையான சிக்கல் கண்டறியப்பட்டது, இது தலைப்பு புலங்களின் சரியான நீளச் சரிபார்ப்பு இல்லாததால் ஏற்படுகிறது மற்றும் தொலை குறியீடு செயல்படுத்தலுக்கு வழிவகுக்கும். IPv6 ஸ்டேக் மற்றும் CoAP நெறிமுறை செயலாக்கத்தில் குறைவான கடுமையான சேவை மறுப்பு சிக்கல்கள் காணப்படுகின்றன.
பிற சிக்கல்களை உள்நாட்டில் பயன்படுத்தி சேவை மறுப்பு அல்லது கர்னல் மட்டத்தில் குறியீட்டை இயக்கலாம். இந்த பாதிப்புகளில் பெரும்பாலானவை கணினி அழைப்பு வாதங்களின் சரியான சரிபார்ப்பு இல்லாததுடன் தொடர்புடையவை, மேலும் கர்னல் நினைவகத்தின் தன்னிச்சையான பகுதிகளுக்கு எழுதப்பட்டு படிக்க வழிவகுக்கும். சிக்கல்கள் கணினி அழைப்பு செயலாக்கக் குறியீடு வரை நீட்டிக்கப்படுகின்றன-எதிர்மறை கணினி அழைப்பு எண்ணை அழைப்பது முழு எண் வழிதல் ஏற்படுகிறது. கர்னல் ASLR பாதுகாப்பு (முகவரி இட சீரற்றமயமாக்கல்) மற்றும் அடுக்கில் கேனரி குறிகளை அமைப்பதற்கான பொறிமுறையை செயல்படுத்துவதில் உள்ள சிக்கல்களை அடையாளம் கண்டுள்ளது, இதனால் இந்த வழிமுறைகள் பயனற்றவை.
பல சிக்கல்கள் USB ஸ்டாக் மற்றும் தனிப்பட்ட இயக்கிகளைப் பாதிக்கின்றன. எடுத்துக்காட்டாக, USB மாஸ் ஸ்டோரேஜில் உள்ள சிக்கல்கள், தாக்குபவரால் கட்டுப்படுத்தப்படும் USB ஹோஸ்டுடன் சாதனம் இணைக்கப்பட்டிருக்கும் போது, கர்னல் மட்டத்தில் ஒரு இடையக வழிதல் மற்றும் குறியீட்டை இயக்கலாம். USB DFU இல் உள்ள பாதிப்பு, USB வழியாக புதிய ஃபார்ம்வேரை ஏற்றுவதற்கான இயக்கி, குறியாக்கத்தைப் பயன்படுத்தாமல் மற்றும் டிஜிட்டல் கையொப்பத்தைப் பயன்படுத்தி கூறுகளின் சரிபார்ப்புடன் பாதுகாப்பான பூட் பயன்முறையைத் தவிர்த்து, மைக்ரோகண்ட்ரோலரின் உள் ஃபிளாஷில் மாற்றியமைக்கப்பட்ட ஃபார்ம்வேர் படத்தை ஏற்ற அனுமதிக்கிறது. கூடுதலாக, திறந்த துவக்க ஏற்றி குறியீடு ஆய்வு செய்யப்பட்டது , இதில் ஒரு தீங்கற்ற பாதிப்பு கண்டறியப்பட்டது,
இது UART இல் SMP (எளிய மேலாண்மை நெறிமுறை) நெறிமுறையைப் பயன்படுத்தும் போது இடையக வழிதல் ஏற்படலாம்.
Zephyr இல், அனைத்து செயல்முறைகளுக்கும் ஒரே ஒரு உலகளாவிய பகிரப்பட்ட மெய்நிகர் முகவரி இடம் (SASOS, ஒற்றை முகவரி விண்வெளி இயக்க முறைமை) மட்டுமே வழங்கப்பட்டுள்ளது என்பதை நினைவில் கொள்க. குறிப்பிட்ட வன்பொருளில் ஏற்றப்பட்டு இயக்கக்கூடிய ஒரு ஒற்றை இயங்கக்கூடிய வடிவத்தை உருவாக்க, பயன்பாட்டு-குறிப்பிட்ட குறியீடு ஒரு பயன்பாட்டு-குறிப்பிட்ட கர்னலுடன் இணைக்கப்படுகிறது. அனைத்து கணினி வளங்களும் தொகுக்கும் நேரத்தில் தீர்மானிக்கப்படுகின்றன, குறியீட்டின் அளவைக் குறைத்து செயல்திறனை அதிகரிக்கும். பயன்பாட்டை இயக்கத் தேவையான கர்னல் அம்சங்களை மட்டுமே கணினிப் படத்தில் சேர்க்க முடியும்.
Zephyr இன் முக்கிய நன்மைகளில் இது குறிப்பிடத்தக்கது பாதுகாப்பை மனதில் கொண்டு வளர்ச்சி. வளர்ச்சியின் அனைத்து நிலைகளும் குறியீட்டின் பாதுகாப்பை உறுதிப்படுத்தும் கட்டாய நிலைகளுக்கு உட்படுகின்றன: குழப்பமான சோதனை, நிலையான பகுப்பாய்வு, ஊடுருவல் சோதனை, குறியீடு மதிப்பாய்வு, பின்கதவு செயலாக்கத்தின் பகுப்பாய்வு மற்றும் அச்சுறுத்தல் மாதிரியாக்கம்.
ஆதாரம்: opennet.ru