PT-2021-22921 · Apple+1 · Gymkit+2
Mark Bereza
·
Publicado
2021-10-25
·
Atualizado
2021-10-28
·
CVE-2021-40526
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Peleton TTR01 até e incluindo PTV55G
Descrição
O problema está relacionado a um cálculo incorreto do tamanho do buffer, permitindo que um invasor remoto desencadeie um ataque de Negação de Serviço (DoS) por meio do processo do daemon GymKit. Isso é feito explorando um estouro de heap no servidor de rede que lida com a comunicação do Apple GymKit, o que pode impedir que um dispositivo Apple MFI se autentique na Peleton Bike.
Recomendações
Para o Peleton TTR01 até e incluindo o PTV55G, como solução temporária, considere desativar o processo do daemon GymKit até que um patch esteja disponível. Restrinja o acesso ao servidor de rede que lida com a comunicação do Apple GymKit para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gymkit
Mfi
Peleton Ttr01