NASA 内部使用的开源软件存在安全漏洞


网络安全初创公司ThreatLeap创始人、安全研究员Leon Juranić指出,美国宇航局(NASA)内部开发使用的开源软件存在漏洞,可能被攻击者利用入侵其系统。

经分析确认,以下工具均因使用存在安全隐患的函数而存在缓冲区溢出漏洞:

  • 飞机工程分析工具OpenVSP(开放式飞行器草图板)
  • 区域水文极端评估系统RHEAS
  • 多仪器分析软件OMINAS
  • 二维/三维网格适配工具Refine
  • 包含数值分析库的CFD工具软件集(CFDTOOLS)
  • knife函数库

Leon Juranić表示仅用4小时进行手动代码分析,就发现了NASA内部开发使用的多款开源软件中存在的一系列漏洞,并且多次通过不同电子邮件向NASA报告漏洞,还打电话给NASA的安全运营中心,但未得到回复。因为NASA的官方政策规定不回复外部人员的漏洞报告。


相關推薦

2022-09-08

将开源标准引入半导体设计,使其更便宜且更容易被客户使用。 根据介绍,该处理器将由 SiFive 与 Microchip 共同研发设计;HPSC 预计将用于几乎所有未来的太空任务,从行星探索到月球和火星表面任务。HPSC 将利用一个 8 核 Si

2023-10-09

行 SEO 优化、对内容进行实时分析等 内容创作环境易于使用 WordPress.com VIP 金牌代理合作伙伴 Lone Rock Point 领导了 NASA 此次 CMS 迁移项目,该项目从一年的用户体验设计和对各种企业 CMS 的评估开始。作为该项目的一部分,NASA

2023-08-05

IBM 宣布在 Hugging Face 上开源其 watsonx.ai 地理空间基础模型 -- 基于美国国家航空航天局 (NASA) 的卫星数据构建。这将是 Hugging Face 上最大的地理空间基础模型,也是首个与 NASA 合作构建的开源 AI 基础模型。 公告指出,作为与 NASA

2021-12-24

针对太空准备的外壳内,确保硬件能在国际空间站 (ISS) 使用。 基金会表示,此项工作的目标是让新的 Astro Pi 装置准备好成为欧洲 Astro Pi Challenge 的一部分。 ▲SpaceX 火箭正在向国际空间站运送特殊的 Raspberry Pi 计

2022-10-24

中软件工件的完整性。 SLSA 框架的灵感来自其强制性的内部 「Binary Authorization for Borg」 执行检查器,该检查器可确保生产软件得到适当的审查和授权,特别是在代码可以访问用户数据的情况下。Binary Authorization for Borg 已经在 Goo

2023-05-27

谷歌宣布并发布了一些汇总的 Rust crates 内部审计结果,以继续履行对开源 Rust 社区的承诺。一直以来,谷歌都在积极拥抱 Rust,在许多开源项目中进行了应用。以及持续投资 Rust 社区:包括帮助建立了 Rust 基金会,员工积极贡献

2022-04-14

列为开放核心解决方案的最大优势,这也突显了一些组织内部一直存在的误解。报告称,持有这种信念的决策者应该明白,成熟且经过企业验证的 FOSS 能够在强大社区的支持下实现清晰的治理,从而主动降低安全风险并提高技术

2022-09-20

,O'Driscoll 强调 Arm 在知识产权、许可授权、客户关系和软件生态系统的实力,并指出 RISC-V 在这些领域相对不那么成熟 —— 虽然 RISC-V 自 2010 年以来一直存在,但免费和开放的指令集架构 (ISA) 直到最近才进入商业产品。 Arm 基

2022-06-30

件和恶意软件。此外,该作者还列举了一些 7-Zip 存在的安全漏洞。最后,他抵制 7-Zip 还有一个关键原因是俄乌冲突:“最好不要使用俄罗斯的软件,不仅仅是出于对乌克兰的声援,该软件还可能增加高级安全风险。” 文章指

2023-02-08

0% 的使用开源软件的团队缺乏测试、使用或整合该软件的内部技能。开源软件面临的几大挑战包括: 维护安全策略和合规性:42%。   缺乏技能、经验或熟练程度:38%。 跟上更新和补丁:37%。 缺乏底层技术支持:36%。

2023-02-08

名为“Apprentice Bard”的聊天机器人,以及可以以问答形式使用的新搜索桌面设计。 Sundar Pichai 表示:“很快,你就会在搜索中看到 AI 支持的功能,它可以将复杂的信息和多个视角的信息提炼成易于理解的格式,这样你就可以迅

2022-10-28

有代码保留在 Java 中。 还有一个是可以尝试将几乎所有内部代码转换为 Kotlin。 第一个选项的优势很明显,即少得多的工作量;但是这种方法也有两个明显的缺点。首先,在 Kotlin 和 Java 代码之间实现互操作性引入了 Kotlin 中

2024-09-30

累计下载数量超过200,000次,项目正在被广泛应用于企业内部知识库运营、客户服务、学术研究与教育等场景。 ▲图2 MaxKB知识库问答系统操作界面 作为一款专注于知识库应用场景的软件产品,MaxKB能够为企业的智能化进程注

2024-10-21

近日,有消息称字节跳动发生大模型训练被实习生“投毒”事件。 据悉,该事件发生在字节跳动商业化团队,因实习生田某某对团队资源分配不满,利用HF(huggingface)的漏洞,通过共享模型注入破坏代码,导致团队模型训练成