PT-2020-15686 · Contiki · Contiki-Ng+2
Publicado
2020-12-11
·
Atualizado
2020-12-15
·
CVE-2020-24334
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.0 e anteriores do uIP
Versões do Contiki anteriores à correção
Versões do Contiki-NG anteriores à correção
Descrição
O problema decorre do código que processa respostas DNS no uIP, o qual não verifica se o número de respostas no cabeçalho do pacote DNS corresponde aos dados de resposta disponíveis. Isso leva a uma leitura fora dos limites e resulta em um ataque de negação de serviço no arquivo resolv.c.
Recomendações
Para as versões 1.0 e anteriores do uIP, atualize para uma versão que inclua a correção para o problema de processamento de respostas DNS.
Para o Contiki e o Contiki-NG, aplique os patches ou atualizações necessários para resolver o problema de leitura fora dos limites no arquivo resolv.c.
Como solução alternativa temporária, considere restringir o processamento de respostas DNS até que um patch esteja disponível.
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contiki
Contiki-Ng
Uip