使用广泛的开源PCB文件查看器 Gerbv 含多个严重漏洞

最新推荐文章于 2024-03-25 09:49:04 发布
最新推荐文章于 2024-03-25 09:49:04 发布
阅读量1.6k 收藏
点赞数
文章标签: java 安全 linux c++ 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247510739&idx=1&sn=fe201a6edd7f233c3a2aa82d88b4010d&chksm=ea949bb9dde312af9059c387b218b92806739e56fc2dc3122a3b4c04e819173202d45d1fae20&scene=126&&sessionid=0
版权

65da216659cb276a0ab54fcf3c203ac5.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

a57ecaef42f9a66122b4baefbd87d7e3.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

0a0dda695515c74626e16cf994f62478.png

摘要

本周,思科Talos 安全团队的研究员发现了影响开源文件查看器Gerbv 的六个严重漏洞。

Gerbv 简介

b4c139db89f91f4a209cea295c4f14a2.png

7588459a2f481850327f23a449d7a1ca.png

Gerbv 是一款原生的 Linux 应用程序,用于很多常见的 UNIX 平台上。同时该平台也有Windows 版本。单在 SourceForge 平台上,Gerbv的下载量就超过100万次。

Gerbv 旨在查看显示电路板层的文件格式,包括Excellon 钻孔文件、RS-274X Gerber 文件和拾取和放置 (pick-n-place) 文件。Gerbv 可用作单独的应用或者用作库。

Talos 团队解释称,“一些PCB制造商在web接口使用Gerbv等软件,作为将 Gerber或其它受支持文件转换为图像的工具。用户可将 Gerber 文件上传到制造商网站,将图像转换为在浏览器中显示,方便用户验证所上传的文件和预期相符。”如此可导致攻击者在无需用户交互或提权的情况下通过网络触及该软件。

2个漏洞未修复

245882c0db33f03200c6a64603a2a4a8.png

97f644814316bb3bdd4ac6057b6b87e9.png

研究人员表示,所发现的6个漏洞影响Gerbv在打开 Gerber 文件时使用的函数。其中4个漏洞(CVE-2021-40391、CVE-2021-40393、CVE-2021-40394和CVE-2021-40401)的CVSS评分为10分。攻击者可通过将特殊构造文件上传到 Gerbv的方式利用这4个漏洞。这4个漏洞包括2个界外读漏洞、1个整数溢出漏洞和1个释放后使用漏洞,它们可被用于实现代码执行。

另外2个严重漏洞是CVE-2021-40400和CVE-2021-40402,它们可被用于泄露数据。攻击者可提供特殊构造的 Gerber 文件 利用这两个漏洞。

研究员还发现了一个中危的信息泄露漏洞(CVE-2021-40403),影响Gerbv的拾取和放置旋转解析功能。使用特殊构造的文件,攻击者就能泄露内存内容。

研究人员指出,4个漏洞(3个严重漏洞和1个中危漏洞)已修复。2个漏洞(CVE-2021-40400和CVE-2021-40402)在上报90天后仍未修复。

开源卫士试用地址:https://oss.qianxin.com

d68811af080d1d6c51217e6409333b3c.png

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

因供应商遭不明网络攻击,丰田汽车宣布停产

开源代码是下一轮攻击潮的重灾区

软件开发的三大关键安全趋势和最佳实践

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

Apache Cassandra 开源数据库软件修复高危RCE漏洞

2021年软件供应链攻击数量激增300%+

热门开源CMS平台 Umbraco 中存在多个安全漏洞,可使账户遭接管

详细分析开源软件项目 Ajax.NET Professional 中的RCE 漏洞(CVE-2021-23758)

SAP 严重漏洞可导致供应链攻击

Apache PLC4X开发者向企业下最后通牒:如不提供资助将停止支持

Apache 软件基金会:顶级项目仍使用老旧软件,补丁作用被削弱

美国商务部发布软件物料清单 (SBOM) 的最小元素(上)

美国商务部发布软件物料清单 (SBOM) 的最小元素(中)

美国商务部发布软件物料清单 (SBOM) 的最小元素(下)

NIST 发布关于使用“行政令-关键软件”的安全措施指南

NIST 按行政令关于加强软件供应链安全的要求,给出“关键软件”的定义及所含11类软件

SolarWinds 攻击者再次发动供应链攻击

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥

因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗,称客户数据不受影响

原文链接

https://www.securityweek.com/critical-vulnerabilities-impact-widely-used-printed-circuit-board-file-viewer

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

92862831f7de83cf49452b4e103a3abf.png

a392ddfcbcc865d7edcd8f61a3ed9894.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   1660e1c087ae0b5d75d2d1bb75da1abe.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[Camera Drv]如何调整闪光灯在auto模式下的打闪阈值
karaskass的博客
05-09 1323
文章目录[DESCRIPTION][SOLUTION][具体分析] 平台 os版本 内核 MT6739 Android 9.0 kernel-4.4 [DESCRIPTION] 【偶现】办公室环境下开启自动闪光灯拍照或录像,闪光灯亮起,说明闪光灯阈值偏大,需要调整闪光灯在 auto 模式下的打闪阈值 【前提条件】无 【操作步骤】明亮环境下开启自动闪光灯拍照或录像 【实际结果】闪...
ZKos-开源
07-15
一个开源社区,旨在开发和维护一个开源 3D 引擎,以及游戏的每个部分,包括教程、模型、地图和声音; 所以为了在免费游戏的开发过程中帮助所有人,开发者和新人
gerber查看器
09-10
PCB gerber查看器 PHO文件 key GB7-94-25862-CF41A85B GB7-94-39834-8EE8B61E GB7-94-82462-9974808 GB7-94-97524-BE7839AB GB7-94-13587-A49D892C GB7-94-64125-67A6087C GB7-94-78288-B2AA15F9 GB7-94-31726-A757F70B GB7-94-46779-EF447FBC GB7-94-97326-B329E9D7
gerbv — a Gerber (RS-274X) viewer-开源
04-27
Gerbv是一个开源Gerber文件(仅RS-274X)查看器Gerbv允许您彼此加载多个文件,在显示的图像上进行测量等。除了查看Gerbers外,您还可以查看Excellon钻取文件以及放置文件
探索OpenPnP:一款开源PCB自动布局与布线工具
最新发布
gitblog_00078的博客
03-25 326
探索OpenPnP:一款开源PCB自动布局与布线工具 项目地址:https://gitcode.com/openpnp/openpnp 项目简介 OpenPnP 是一个强大的开源项目,旨在提供一套完整的电路板(PCB)设计自动化解决方案。它集成了设计、布局、布线、3D可视化和制造文件生成等多步骤,帮助电子工程师快速高效地完成PCB设计任务。 技术分析 OpenPnP基于Python构建,利用其丰...
circular-tab-and-mousebite:创建 KiCad pcb 轮廓和 NPTH Kong以协助圆形设计的面板化
06-24
圆形标签和鼠标咬合 创建 KiCad pcb 轮廓和 NPTH Kong以协助圆形设计的面板化。 一位客户寄给我一个圆形 PCB,并要求我对其进行面板化。 直边板的镶板相对容易。 我使用 gerbmerge。 圆板的拼板比较困难。 基本上,它需要使用 tabs-and-mousebites 来完成。 这是对 tabs-and-mousebites 的一个很好的参考: 这是客户的设计: (请注意,这些图片中的任何位置错误,例如弧线未对齐,以及 NPTH Kong位置的微小差异,都是由于 gerbv 渲染错误造成的) 这个 repo 中的代码生成一个 KiCad 文件,KiCad 可以将其转换为如下所示的 gerbers: 然后我使用 gerbv 将客户的 gerber/excellon 文件与 KiCad 输出合并。 它看起来像这样: 注意角落里的小⌜⌝⌞⌟标记。 Gerb
CRC/SoftPLC/OpenCASCADE/CAD/CAM/SVG开源项目收藏
jaken99的专栏
02-18 3156
...
Gerver view软件使用
m0_63172128的博客
09-23 831
网上没有现成的交怎么使用,个人摸索功能,记录如下,后期会不断增加补充用法。首先导入文件,所有灰色按钮都被激活了,接下来开始摸索功能。
gerber viewer gerbv 画矢量图
03-01 945
http://gerbv.geda-project.org/ http://gerbv.geda-project.org/doxygen/index.html(libgerbv)
linux电路板设计,GNU/Linux下如何设计PCB印刷电路板
weixin_33352628的博客
05-15 481
GNU/Linux下如何设计PCB印刷电路板gplEDAThiswebsitecontainslinkstoElectronicDesignAutomation(EDA)toolsthatarereleasedundertheGPL(eitherv2orv3).Hereisalistofactiveprojects(asofFeb202012...
一种改版后检查硬件PCB生产资料的方法***-----Gerber对比,检查的方法
weixin_43278479的博客
10-08 2421
一种改版后检查硬件PCB生产资料的方法,简单实用,且容易出错 前言: 2、Bottom层:7对 3、第3层2对 二、差分mipi 100Ω阻抗控制±10% 1、TOP 3对 2、bottom 6对 下面截图后的文字内容包了差分对信号的阻抗要求: 一、USB信号差分线阻抗控制见下图白色高亮线:90 ohms±10%(PCB制造商可以调整线宽,但需确认。) 1、TOP LAYER:2对 2、Bottom层:7对 3、第3层2对 二、差分mipi 100Ω阻抗控制±10% 1、TOP 3对 2、bottom
硬件知识-pads查看pcb软件
温柔一刀
03-05 3517
pads查看pcb软件 ss加节点名 回车
蓝牙抓包工具-ComProbe Protocol Analysis System.rar
08-06
蓝牙抓包工具-ComProbe Protocol Analysis System.rar 用于树莓派蓝牙应用
Gerbv查看器_2.6.0.exe
05-16
用于查看Gerber文件的小软件,常用于PCB制作生产过程所用
VS2010编译libiconv源码工程
10-01
Windows下ZBar依赖的动态库libiconv.dll的VS2010工程源码。里面有从libiconv源码建立Windows平台Visual Studio的方法(英文),按照该方法,从libiconv-1.15源码生产的VS2010动态库工程源码(高版本的VS也可编译)。
Gerber文件查看器
09-06
一个小型的Gerber文件查看器,带有文件注册机。
QCamber:用 Qt 编写的免费开源 PCB 设计查看器
06-02
用 Qt 编写的免费开源 PCB 设计查看器。 QCamber 旨在为大家提供高质量的开源 PCB 设计/查看器套件。 任何人都可以为该项目做出贡献,并且保证该项目将来是免费和开源的。 QCamber 目前只支持 Valor ODB++ 格式,...
gerber-lib:用于处理Gerber文件的库
03-08
格柏库 这是一个用于处理文件的库。 它遵循修订版2020-09。 当前仅实现阅读。 读取Gerber文件 读取端包括以下部分: GerberParser:PEG解析器解析输入并调用GerberParseEventHandler GerberReadAdapter:根据标准将解析事件转换为更高级别的事件。 调用GerberReadEventHandler GerberReadGeometricPrimitiveAdapter:基于gerber事件,确定要绘制的几何图元并调用GerberReadGeometricPrimitiveEventHandler GerberRasterizer:基于GerberReadGeometricPrimitiveAdapter的事件将几何图元绘制到画布上
GerberView:Gerber 和 Excellon 文件查看器-开源
05-30
GerberView 正在使用 C# 开发。 LibGerberVS 库基于 gerbv 项目。
texstdio使用外部查看器显示main.pdf不是一个有效的文件
09-26
当我们在TeX环境中使用Texstudio编辑LaTeX文件并编译生成PDF文件时,如果在Texstudio的设置中指定了一个外部查看器来显示生成的PDF文件,但是当我们点击Texstudio的“查看”按钮时,出现了错误提示:“main.pdf不是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值