网络安全初创公司 ThreatLeap 创始人、安全研究员 Leon Juranić指出,美国宇航局(NASA)内部开发使用的开源软件存在漏洞,可能被攻击者利用入侵其系统。
经分析确认,以下工具均因使用存在安全隐患的函数而存在缓冲区溢出漏洞:
- 飞机工程分析工具 OpenVSP(开放式飞行器草图板)
- 区域水文极端评估系统 RHEAS
- 多仪器分析软件 OMINAS
- 二维 / 三维网格适配工具 Refine
- 包含数值分析库的 CFD 工具软件集(CFDTOOLS)
- knife 函数库
Leon Juranić表示仅用 4 小时进行手动代码分析,就发现了 NASA 内部开发使用的多款开源软件中存在的一系列漏洞,并且多次通过不同电子邮件向 NASA 报告漏洞,还打电话给 NASA 的安全运营中心,但未得到回复。因为 NASA 的官方政策规定不回复外部人员的漏洞报告。
