PT-2020-15691 · Alcatel Lucent · Picotcp-Ng+1
Publicado
2020-12-11
·
Atualizado
2020-12-14
·
CVE-2020-24340
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do picoTCP até a 1.7.0
Versões do picoTCP-NG até a 1.7.0
Descrição
Foi descoberta uma falha no código que processa respostas DNS na função
pico mdns handle data as answers generic() em pico mdns.c. Essa falha leva a uma leitura fora dos limites, desreferência de ponteiro inválida e Negação de Serviço, pois o código não verifica se o número de respostas especificado no cabeçalho de um pacote DNS corresponde aos dados de resposta disponíveis no pacote.Recomendações
Para versões do picoTCP até a 1.7.0, considere desativar a função
pico mdns handle data as answers generic() até que um patch esteja disponível.Para versões do picoTCP-NG até a 1.7.0, considere desativar a função
pico mdns handle data as answers generic() até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Picotcp
Picotcp-Ng