PT-2022-10093 · Unknown · Contiki-Ng
Joakimeriksson
·
Publicado
2022-08-04
·
Atualizado
2022-08-10
·
CVE-2021-32771
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Contiki-NG anteriores à 4.7
Descrição
O Contiki-NG é um sistema operacional de código aberto e multiplataforma para dispositivos IoT. Um estouro de buffer pode ocorrer ao copiar um prefixo de endereço IPv6 na implementação RPL-Classic. Para acionar essa vulnerabilidade, o sistema Contiki-NG deve ter se juntado a um RPL DODAG; então, um invasor pode enviar um pacote DAO com uma opção Target contendo um comprimento de prefixo maior que 128 bits.
Recomendações
Para versões anteriores à 4.7, atualize para o Contiki-NG 4.7 ou aplique o patch no Contiki-NG PR #1615 para resolver o problema. Como solução alternativa temporária, considere restringir a capacidade de enviar pacotes DAO com comprimentos de prefixo grandes até que o patch seja aplicado.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contiki-Ng