BlackBerry QNX Software Development Platform整數溢出漏洞預警

一、漏洞情況

近日，BlackBerry發布安全公告，修復了BlackBerry QNX Software Development Platform（SDP），QNX OS for Medical，QNX OS for Safety產品中存在的整數溢出漏洞，漏洞CVE編號：CVE-2021-22156。攻擊者可利用該漏洞導致拒絕服務或執行任意代碼。目前廠商已修復該漏洞，建議受影響用戶及時安裝補丁或升級至安全版本進行防護，做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

BlackBerry QNX Software Development Platform（SDP）是加拿大黑莓（Blackberry）公司的一套QNX軟件開發平臺，該平臺主要用于開發基于QNX平臺的軟件。

該漏洞源于其C運行時庫的calloc()函數中存在整數溢出問題，攻擊者可利用該漏洞導致拒絕服務或執行任意代碼。

四、影響范圍

• BlackBerry QNX SDP <=6.5.0SP1
• BlackBerry QNX OS for Safety <=1.0.1
• BlackBerry QNX OS for Medical <=1.1

五、安全建議

建議受影響的用戶升級至以下安全版本：

1.升級至QNX SDP 6.6.0或更高版本，下載地址：https://www.qnx.com/download/feature.html?programid=59649；

2.升級至QNX OS for Safety 1.0.2或更高版本，下載地址：https://www.qnx.com/download/group.html?programid=27165；

3.升級至QNX OS for Medical 1.1.1或更高版本，下載地址：https://www.qnx.com/download/group.html?programid=26463。

六、參考鏈接

• https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-qnx-TOxjVPdL