CVE-2020-14936

Contiki-NG, versões 4.4 a 4.5

Foi detectada uma vulnerabilidade de estouro de buffer no agente SNMP do Contiki-NG, especificamente nas funções responsáveis pela análise de OIDs em solicitações SNMP. A função snmp oid decode oid() não possui verificação suficiente da capacidade do buffer de destino, o que pode levar à sobrescrita de memória além do buffer alocado quando chamada a partir de snmp message decode() ao receber uma solicitação SNMP. Isso permite a sobrescrita remota de regiões de memória de um dispositivo IoT, incluindo a pilha e variáveis alocadas estaticamente, mediante o envio de uma solicitação SNMP maliciosa.

Para as versões 4.4 a 4.5 do Contiki-NG, considere desativar o agente SNMP até que um patch esteja disponível para evitar uma possível exploração remota. Restrinja o acesso à função snmp oid decode oid() e à função snmp message decode() para minimizar o risco de estouro de buffer. Evite usar o protocolo SNMP com fontes não confiáveis até que o problema seja resolvido.