Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad - Sårbarhet

Kritisk sårbarhet i BlackBerrys QNX (uppdaterad 2021-08-24)

BlackBerry rapporterar om en kritisk sårbarhet som påverkar flera QNX-produkter, bland andra QNX SDP, QNX OS for Safety samt QNX OS for Medical. [1]

Sårbarheten (CVE-2021-22156), som fått CVSS-klassning 9.0, påverkar funktionen calloc() i exekveringsbiblioteket för C. Sårbarheten kan göra det möjligt för en angripare att överbelasta systemet eller att köra godtycklig kod. [1, 2]

De påverkade operativsystemen används bland annat i bilar samt i medicinteknisk utrustning [2, 4].

Uppdatering 2021-08-24

Cisco meddelar att de undersöker sina produkter och tjänster för att avgöra om någon/några påverkas av QNX-sårbarheten [5]. I nuläget är det två switch- respektive routerprodukter som undersöks aktivt (Cisco IOS XR Software samt Cisco RF Gateway 10) men Cisco bekräftar att de hittills inte funnit att några produkter skulle vara drabbade. Cisco återkommer med information om eventuellt berörda produkter.

Påverkade produkter

BlackBerry listar följande produkter som sårbara [3]:

QNX SDP 6.5.0SP1, 6.5.0, 6.4.1, samt 6.4.0
    QNX Momentics Development Suite 6.3.2
QNX Momentics 6.3.0SP3, 6.3.0SP2, 6.3.0SP1, 6.3.0, 6.2.1b, 6.2.1, 6.2.1A samt 6.2.0
QNX Realtime Platform 6.1.0a, 6.1.0, 6.0.0a samt 6.0.0
QNX Cross Development Kit 6.0.0, samt 6.1.0
QNX Development Kit (Self-hosted) 6.0.0 samt 6.1.0
QNX Neutrino RTOS Safe Kernel 1.0
QNX Neutrino RTOS Certified Plus 1.0
QNX Neutrino RTOS for Medical Devices 1.0 samt 1.1
QNX OS for Automotive Safety 1.0
QNX OS for Safety 1.0, samt 1.0.1
QNX Neutrino Secure Kernel 6.4.0 samt 6.5.0
QNX CAR Development Platform 2.0RR

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt, samt att följa BlackBerrys rekommendationer [1].

Källor

[1] https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
[2] https://us-cert.cisa.gov/ncas/alerts/aa21-229a
[3] https://www.qnx.com/support/knowledgebase.html?id=5015Y000001SX2z
[4] https://www.reuters.com/technology/blackberry-software-flaw-could-impact-cars-medical-devices-us-agencies-2021-08-17/
[5] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-qnx-TOxjVPdL