CVE-2021-28362

**Nome do software vulnerável e versões afetadas:

Versões do Contiki até a 3.0

Descrição:

Foi detectada uma falha no Contiki ao enviar uma mensagem de erro ICMPv6 devido a opções inválidas no cabeçalho de extensão de um pacote IPv6 recebido. Há uma tentativa de remover os cabeçalhos de extensão RPL, mas o comprimento do pacote e o comprimento do cabeçalho de extensão não são verificados e são suscetíveis a subfluxo de inteiros. Isso permite a construção de um cabeçalho de extensão inválido que pode causar problemas de corrupção de memória e levar a uma condição de Negação de Serviço. O problema está relacionado ao arquivo rpl-ext-header.c.

Recomendações:

Para versões do Contiki até a 3.0, como solução temporária, considere desativar o tratamento de mensagens de erro ICMPv6 para opções inválidas de cabeçalho de extensão até que um patch esteja disponível. Restrinja o acesso aos cabeçalhos de extensão RPL para minimizar o risco de exploração. Evite usar o arquivo rpl-ext-header.c em operações críticas até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.