PT-2020-11890 · Zephyr · Zephyr
Gerson Fernando Budke
+1
·
Publicado
2020-05-11
·
Atualizado
2021-10-18
·
CVE-2020-10060
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
zephyrproject-rtos zephyr, versões 2.1.0 a 2.2.0 e versões posteriores.
Descrição
O problema ocorre após a conclusão da análise JSON no updatehub probe, onde o acesso a objects[1] da estrutura de saída pode levar à referência a memória de pilha não inicializada se o JSON contiver menos de dois elementos. Isso pode resultar em uma falha do sistema, negação de serviço ou, possivelmente, um vazamento de informações. O ataque requer o comprometimento do servidor se a correção para o problema relacionado for aplicada.
Recomendações
Para as versões 2.1.0 e posteriores do Zephyr, aplique a correção fornecida para impedir o acesso à memória de pilha não inicializada.
Para a versão 2.2.0 e posteriores do Zephyr, certifique-se de que a correção seja aplicada para mitigar o risco de falha do sistema, negação de serviço ou vazamento de informações.
Correção
Access of Uninitialized Pointer
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Zephyr