PT-2021-15135 · Google · Google Cloud Iot Device Sdk For Embedded C

Publicado

2021-05-04

Atualizado

2021-05-07

CVE-2021-22547

CVSS v3.1

7.8

Alta

Vetor

AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Google Cloud IoT Device SDK para Embedded C, versões anteriores à 1.0.3

Descrição

O problema está relacionado a uma implementação da função calloc() que não realiza uma verificação de comprimento. Isso permite que um invasor passe objetos de memória maiores do que o buffer, podendo causar um deslocamento circular para acessar buffers menores do que o necessário e obter acesso a outras partes da pilha.

Recomendações

Para versões anteriores à 1.0.3, atualize o Google Cloud IoT Device SDK para Embedded C para a versão 1.0.3 ou superior.

Correção

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-120

Identificadores relacionados

CVE-2021-22547

Produtos afetados

Google Cloud Iot Device Sdk For Embedded C

PT-2021-15135 · Google · Google Cloud Iot Device Sdk For Embedded C

CVE-2021-22547

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 6