原标题:开源网络服务工具包gSOAP爆安全漏洞,恐危及大量IoT装置
IoT安全业者Senrio从Axis的监视摄影机中发现gSOAP含有一安全漏洞,可能引发远端程式攻击。
图片来源:Senrio
定位为IoT网络安全业者的Senrio本周表示,他们发现开放源码的网络服务工具包gSOAP含有一缓冲区溢位漏洞,可带来远端程式攻击,目前只确定它被应用在瑞典业者Axis所打造的监视器中,但也可能危及其他采用gSOAP的IoT装置。
gSOAP的全名为Simple△Object△Access△Protocol(简单物件存取协议),它能让各种型态的装置与网络通讯。一开始Senrio只是分析了Axis的M3004监视器,发现该监视器所采用的gSOAP含有一安全漏洞,将允许骇客远端存取监视器影像,或是拒绝其他人存取影像。
此一漏洞编号为CVE-2017-9765,Senrio则将它称作“黄金葛”(Devil’s△Ivy),因为该漏洞就像黄金葛一样,成长快速又难以歼灭。
在知会Axis之后,Axis坦承旗下的249款监视器都采用了含有漏洞的gSOAP,只有3款旧机种幸免于难,而Senrio甚至在机场发现了含有漏洞的Axis监视器。
Senrio警告,由于这些监视器肩负著安全监控的功能,也会被部署在银行大厅,可能被骇客用来搜集机密资料,或是避免犯罪行为遭到记录。
至于开发与负责管理gSOAP的Genivia也在收到Senrio通知后释出新版本以修补该漏洞。不过,根据Genivia的统计,gSOAP的下载次数已突破100万次,且包括IBM、微软与Adobe都名列Genivia的客户名单中。
有鉴于gSOAP被下载后可能遭到复制并于大量的装置上使用,因此Senrio推测也许有数千万的软件产品与IoT装置受到波及。
Senrio建议企业应隔离监视装置与公共网络,尽可能地部署防火墙或其他安全机制来保护IoT装置的部署,以及在可能的情况下修补IoT装置的漏洞。
相关:
示意图,与新闻事件无关。 一度在2014年大举宣示要投入穿戴式装置领域的英特尔(Intel),据传已经悄悄裁撤了负责健康穿戴式装置的部门。根据CNBC报道,英特尔已在约两周前关闭了负责健康穿戴装置的Basis部门,该公司
Mozilla启动首个开源语音辨识引擎专案Common Voice
因应语音辨识蔚为风潮,Mozilla宣布启动第一个旨在训练语音辨识app的开源资料集的群众募资计划Common△Voice。?这项专案在6月间释出,目前已开始训练阶段。Mozilla指出,现今许多软件大厂,包括Google、苹果及亚马逊
企业以太坊跃升全球最大开源区块链联盟,半年內成员突破150位
今年二月底才成立的企业以太坊联盟(Enterprise△Ethereum△Alliance,EEA)在7月18日宣布新成员加入后,成员正式突破150位,以太坊联盟指出,他们已一举成为目前全球最大的开源区块链组织。自五月底到现在,新加入E
示意图,与新闻事件无关。 图片来源: Oracle 甲骨文(Oralce)于本周二(7/18)每季例行的重大修补更新Critical△Patch△Update,CPU)中修补了308个安全漏洞,超越了上一季的299个,写下史上新纪录。在308个安全漏
图片来源: Google Google本周二(7/18)发表了Transfer△Appliance设备与服务,以协助企业将资料中心內的庞大资料以实体装置转移至Google的云端平台(Google△Cloud△Platform,GCP) 。Google既有的云端资料转移服务