セキュリティ情報

US-CERT、RTOSに存在する緊急の脆弱性について注意喚起、数多くのプロダクトが要対策

 US-CERTは4月29日(現地時間)、RTOS(Real-Time Operating Systems)に複数の脆弱性が存在すると発表した。

 発見された脆弱性の中には、リモートから任意のコードを実行されたり、システムをクラッシュさせられるなどの危険がある。該当するプロダクトのユーザは注意が必要。

脆弱性が存在するプロダクトおよびバージョンは以下の通り。

〇Amazon FreeRTOS 10.4.1
〇Apache Nuttx OS 9.1.0
〇ARM CMSIS-RTOS2 2.1.3以前
〇ARM Mbed OS 6.3.0
〇ARM mbed-uallaoc 1.3.0
〇Cesanta Software Mongoose OS 2.17.0
〇eCosCentric eCosPro RTOS 2.0.1~4.5.3
〇Google Cloud IoT Device SDK 1.0.2
〇Linux Zephyr RTOS 2.4.0以前
〇Media Tek LinkIt SDK 4.6.1以前
〇Micrium OS, Versions 5.10.1およびこれ以前
〇Micrium uCOS II/uCOS III Versions 1.39.0およびこれ以前
〇NXP MCUXpresso SDK 2.8.2以前
〇NXP MQX, Versions 5.1およびこれ以前
〇Redhat newlib 4.0.0以前
〇RIOT OS 2020.01.1
〇Samsung Tizen RT RTOS 3.0.GBB以前
〇TencentOS-tiny 3.1.0
〇Texas Instruments CC32XX 4.40.00.07以前
〇Texas Instruments SimpleLink MSP432E4XX
〇Texas Instruments SimpleLink-CC13XX4.40.00以前
〇Texas Instruments SimpleLink-CC26XX4.40.00以前
〇Texas Instruments SimpleLink-CC32XX4.10.03以前
〇Uclibc-NG 1.0.36以前
〇Windriver VxWorks 7.0以前

なお、脆弱性はこれ以外のプロダクトにも存在する可能性がある。

ユーザは、ベンダーから提供される情報を確認し、該当する情報が公開された場合には迅速に対応する必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起本文