CVE-2020-14934

Contiki-NG, versões 4.4 a 4.5

Foi detectada uma vulnerabilidade de estouro de buffer no agente SNMP do Contiki-NG. A função que analisa as solicitações SNMP recebidas não verifica se as variáveis solicitadas na mensagem de entrada excedem a capacidade do buffer interno do mecanismo SNMP. Se o número de variáveis na solicitação exceder o buffer alocado, ocorre uma gravação de memória fora dos limites do buffer, permitindo que o remetente sobrescreva outras variáveis alocadas na seção .bss. Esse problema pode permitir a sobrescrita de áreas de memória confidenciais de um dispositivo IoT devido à falta de separação rigorosa da memória do processo.

Para as versões 4.4 a 4.5 do Contiki-NG, como solução temporária, considere desativar o agente SNMP até que um patch esteja disponível. Restrinja o acesso à funcionalidade SNMP para minimizar o risco de exploração. Evite usar a função afetada que analisa solicitações SNMP até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.