PT-2020-6333 · Eclipse · Eclipse Tinydtls
Publicado
2020-11-13
·
Atualizado
2021-07-12
·
CVE-2021-34430
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Eclipse TinyDTLS até a 0.9-rc1
Descrição
O problema está relacionado a erros no código do gerador de números pseudoaleatórios. Isso facilita que invasores remotos calculem a chave mestra e, em seguida, descriptografem o tráfego DTLS, permitindo-lhes, potencialmente, revelar informações protegidas.
Recomendações
Para as versões do Eclipse TinyDTLS até a 0.9-rc1, considere atualizar para uma versão que não dependa da função rand da biblioteca C para a geração de números pseudoaleatórios, pois isso mitigaria o risco de cálculo da chave mestra e descriptografia do tráfego DTLS por invasores remotos.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eclipse Tinydtls