PT-2021-22919 · Contiki · Contiki
Jerrytesting
·
Publicado
2021-09-05
·
Atualizado
2021-09-10
·
CVE-2021-40523
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Contiki versão 3.0
Descrição
O problema decorre de uma negociação incorreta das opções Telnet entre um servidor e um cliente. Especificamente, o servidor pode deixar de fornecer a resposta necessária WILL/WONT ou DO/DONT para os comandos DO e WILL devido ao tratamento inadequado de condições de exceção. Isso pode levar a violações de propriedade e negação de serviço. O problema ocorre porque um espaço de buffer fixo é alocado para todas as respostas, e esse espaço pode se esgotar, fazendo com que o servidor não envie nenhuma resposta.
Recomendações
Para o Contiki versão 3.0, considere implementar um tratamento adequado de exceções para as negociações de opções Telnet, a fim de evitar o esgotamento do buffer e garantir que o servidor forneça as respostas necessárias para os comandos DO e WILL. Como solução alternativa temporária, considere restringir ou monitorar de perto as negociações Telnet para minimizar o risco de negação de serviço.
Correção
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contiki