这个博客提供了关于安全通告关于LoRaMAC-Node™栈4.4.4以下的版本。Semtech发布的相关安全建议公告和堆栈可在Semtech GitHub库.
Semtech维护一个名为LoRaMAC-Node的开源LoRaWAN®堆栈,作为开发人员使用LoRaWAN协议构建设备的工具。这不是市场上唯一的LoRaWAN堆栈,其他开源或商业实现也使用完全不同的代码库。
LoRaMAC-Node栈是在开源许可下授权的,因此受益于成千上万的开发人员阅读了代码、提出了问题并提出了改进建议。Semtech坚定地相信开放源代码的优势,因为有大量的贡献者和审稿人利用该工具加速解决方案开发,并建设性地确定需要改进的领域,然后我们可以实现、发布并与开发人员社区分享这些领域。Semtech鼓励负责任地向Semtech披露我们在开源许可下提供的代码中的任何错误(与安全相关的或不相关的)。
在这个特定的例子中,腾讯刀片团队在LoRaMAC-Node栈中发现了一个漏洞,并遵循已被接受的最佳实践,迅速提请Semtech团队注意。直接通知我们,而不是通过公共论坛,使我们能够迅速行动,在两天内开发一个修复程序,并在完全验证之后,发布包含修复程序的LoRaMAC-Node堆栈4.4.4版本。
腾讯团队发现的漏洞存在于LoRaMAC-Node堆栈中,而不是LoRaWAN规范本身。LoRaWAN规范是由一组行业专家编写和维护的罗拉联盟®并且从一开始就把安全和隐私放在LoRaWAN协议设计的核心位置。LoRaWAN规范也经历了广泛的安全审查,包括技术委员会、被公认的网络安全公司雇佣的安全专家和外部审计。这些审核的结果要么作为规范改进(如适用)考虑,要么作为最佳实践建议考虑。有关更多细节,我鼓励您下载并阅读最新的版本劳拉联盟安全白皮书.
确定的具体安全漏洞属于“拒绝服务”类别,这意味着攻击者可能在设备到网络连接过程中进行了干扰。然而,用户的数据从来没有被漏洞暴露过(因此没有发生隐私泄露)。此外,没有办法利用攻击来控制设备、在设备中注入代码或从设备中提取安全材料。
通常情况下,我们已经为该bug请求了一个通用漏洞和暴露(CVE)条目。这是一个集中的存储库,互联网上最大和使用最多的开放源码项目在此公开已发现的漏洞,以便用户可以检查在这种情况下可能影响他们在单个地方使用的代码的漏洞。了解更多关于CVE的信息以及负责任的bug披露。
我想借此机会再次感谢腾讯刀片团队如此迅速地提醒我们注意到这个问题,并感谢他们为改进开发人员可用的工具做出的贡献,以快速开发基于LoRaWAN支持的低功耗、远程和定位的令人瞩目的物联网解决方案。
Semtech、Semtech标志和LoRa®是Semtech公司或其关联公司的注册商标或服务标志。
