PT-2021-3860 · Hcc Embedded · Hcc Nichestack
Publicado
2021-05-28
·
Atualizado
2021-08-26
·
CVE-2020-35685
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
HCC Nichestack versão 3.0
Descrição
O problema está relacionado à implementação da pilha TCP/IP no HCC Nichestack, especificamente à geração de Números de Sequência Iniciais (ISNs) para conexões TCP. O código deriva o ISN de uma fonte insuficientemente aleatória, o que pode permitir que um invasor determine o ISN de conexões TCP atuais e futuras. Isso poderia permitir que o invasor se apropriasse de conexões existentes ou falsificasse conexões futuras. A geração adequada de ISNs deve seguir as especificações descritas na RFC 6528.
Recomendações
Para o HCC Nichestack versão 3.0, considere atualizar para uma versão que gere ISNs adequadamente de acordo com as especificações da RFC 6528, a fim de prevenir possíveis ataques de falsificação ou sequestro. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Use of Insufficiently Random Values
UI Misrepresentation of Critical Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hcc Nichestack