PT-2021-8850 · Toxcore+1 · Toxcore+1
Kurnevsky
·
Publicado
2021-12-13
·
Atualizado
2025-03-01
·
CVE-2018-25022
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do toxcore anteriores à 0.2.2
Descrição
A vulnerabilidade permite que um invasor remoto descubra o endereço IP de um usuário alvo posicionando-se próximo ao Tox Id do alvo no DHT, adivinhando a chave pública DHT do alvo, criando um nó DHT com uma chave pública próxima a ela e, finalmente, encaminhando por onion routing uma solicitação de ping NAT para o alvo. Isso é possível porque o módulo Onion no toxcore não restringe quais pacotes podem ser encaminhados por onion routing.
Recomendações
Para versões anteriores à 0.2.2, atualize para a versão 0.2.2 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao módulo Onion até que um patch esteja disponível. Evite usar o módulo Onion para comunicações confidenciais até que a vulnerabilidade seja resolvida.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Toxcore