[Systèmes de contrôle] Multiples vulnérabilités de sécurité liées au RTOS – Mise à jour 1

Numéro : AV21-198 – Mise à jour 1
Date : 30 avril 2021
Mise à jour : 17 août 2021

Le 29 avril 2021, l’équipe ICS-CERT a publié un bulletin ICS pour faire état de vulnérabilités liées aux produits suivants de système d’exploitation temps réel (RTOS) :

• Amazon FreeRTOS – version 10.4.1;
• Apache Nuttx OS – version 9.1.0; 
• ARM CMSIS-RTOS2 – versions antérieures à la version 2.1.3;
• ARM Mbed OS – version 6.3.0;
• ARM mbed-uallaoc – version 1.3.0;
• Cesanta Software Mongoose OS – version 2.17.0;
• eCosCentric eCosPro RTOS – de la version 2.0.1 à la version 4.5.3;
• Google Cloud IoT Device SDK – version 1.0.2;
• Linux Zephyr RTOS – versions antérieures à la version 2.4.0;
• Media Tek LinkIt SDK – versions antérieures à la version 4.6.1;
• Micrium OS – version 5.10.1 et versions antérieures;
• NXP MCUXpresso SDK – versions antérieures à la version 2.8.2;
• NXP MQX – version 5.1 et versions antérieures;
• Redhat newlib – versions antérieures à la version 4.0.0;
• RIOT OS – version 2020.01.1; 
• Samsung Tizen RT RTOS – versions antérieures à la version 3.0.GBB;
• TencentOS-tiny – version 3.1.0;
• Texas Instruments CC32XX – versions antérieures à la version 4.40.00.07;
• Texas Instruments SimpleLink MSP432E4XX;
• Texas Instruments SimpleLink-CC13XX – versions antérieures à la version 4.40.00;
• Texas Instruments SimpleLink-CC26XX – versions antérieures à la version 4.40.00;
• Texas Instruments SimpleLink-CC32XX – versions antérieures à la version 4.10.03;
• Uclibc-NG – versions antérieures à la version 1.0.36; 
• Windriver VxWorks – versions antérieures à la version 7.0.

MISE À JOUR 1

Le 17 août 2021, l’équipe ICS-CERT a mis à jour le bulletin ICSA-21-119-04 afin d’inclure les produits suivants de système d’exploitation temps réel (RTOS) :

• Micrium uC/OS: uC/LIB – versions 1.38.xx et 1.39.00;
• BlackBerry QNX Software Development Platform – version 6.5.0SP1 et versions antérieures;
• BlackBerry QNX OS for Medical – version 1.1 et versions antérieures;
• BlackBerry QNX OS for Safety – version 1.0.1 et versions antérieures.

FIN DE LA MISE À JOUR 1

L’exploitation de ces vulnérabilités pourrait mener à l’allocation de mémoire arbitraire, provoquant des comportements impromptus comme l’interruption de l’appareil ou l’exécution de code injecté.

Le Centre pour la cybersécurité recommande aux utilisateurs et aux administrateurs de consulter les pages Web suivantes, de suivre les mesures d’atténuation recommandées et d’appliquer les mises à jour nécessaires, lorsqu’elles sont disponibles :

Bulletin ICS (ICSA-21-119-04)

https://us-cert.cisa.gov/ics/advisories/icsa-21-119-04 (en anglais seulement)

MISE À JOUR 1

Centre pour la cybersécurité – [Systèmes de contrôle] Bulletin de sécurité BlackBerry QNX (AV21-401)

https://cyber.gc.ca/fr/avis/systemes-de-controle-bulletin-de-securite-blackberry-qnx

FIN DE LA MISE À JOUR 1

Note aux lecteurs

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences qui en découlent. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.