CVE-2021-21257

**Nome do software vulnerável e versões afetadas:

Versões do Contiki-NG anteriores à 4.6

Descrição:

As implementações RPL-Classic e RPL-Lite no sistema operacional Contiki-NG não validam o ponteiro de endereço no cabeçalho de roteamento de origem RPL. Isso permite que um invasor provoque gravações fora dos limites com pacotes injetados na pilha de rede. O problema reside na função rpl ext header srh update, onde a variável addr ptr é calculada usando um valor de campo CMPR não validado do cabeçalho de roteamento de origem. Uma gravação fora dos limites pode ser acionada devido a uma chamada memcpy com addr ptr como destino.

Recomendações:

Para versões do Contiki-NG anteriores à 4.6, atualize para a versão 4.6 para resolver o problema. Como solução alternativa temporária, os usuários podem aplicar um patch fora da banda. Considere restringir o acesso à função rpl ext header srh update nos módulos rpl-ext-header.c para RPL-Classic e RPL-Lite até que o problema seja resolvido.