PT-2020-11889 · Zephyr · Zephyr
David Brown
·
Publicado
2020-05-11
·
Atualizado
2020-06-05
·
CVE-2020-10059
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:P |
Nome do software vulnerável e versões afetadas
zephyr versão 2.1.0 e versões posteriores
Descrição
O problema diz respeito ao módulo UpdateHub, que desativa a verificação de pares DTLS. Isso permite um ataque man-in-the-middle. No entanto, as imagens de firmware exigem assinaturas válidas, o que atenua o problema até certo ponto. Observe-se que não há benefício em usar o DTLS sem verificação de pares.
Recomendações
Para o zephyr versão 2.1.0 e versões posteriores, considere desativar o módulo UpdateHub até que esteja disponível um patch que habilite a verificação de pares DTLS. Como medida de mitigação, certifique-se de que todas as imagens de firmware estejam devidamente assinadas para minimizar o risco de exploração.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zephyr