PT-2020-15952 · Nut/Os · Ethernut
Publicado
2020-12-11
·
Atualizado
2020-12-15
·
CVE-2020-25110
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Ethernut no Nut/OS versão 5.1
Descrição
Uma falha na implementação do DNS pode levar a ataques bem-sucedidos de negação de serviço (DoS) e, possivelmente, à execução remota de código, devido ao fato de o byte de comprimento de um nome de domínio em uma consulta/resposta DNS não ser verificado e ser utilizado para operações de memória interna.
Recomendações
Para o Ethernut no Nut/OS versão 5.1, considere implementar verificações no byte de comprimento dos nomes de domínio em consultas/respostas DNS para prevenir possíveis ataques de negação de serviço e execução remota de código. Como solução temporária, restrinja o tratamento de consultas/respostas DNS para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ethernut