PT-2022-23032 · Unknown · Contiki-Ng
Joakimeriksson
·
Publicado
2022-08-04
·
Atualizado
2022-08-11
·
CVE-2022-35926
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Contiki-NG anteriores à 4.8
Descrição
O problema está relacionado à validação insuficiente das opções de descoberta de vizinhos IPv6, permitindo que invasores enviem pacotes de solicitação de vizinhos que provocam uma leitura fora dos limites. Este problema existe no módulo os/net/ipv6/uip-nd6.c, especificamente nas operações de leitura de memória do buffer de pacotes principal,
uip buf, que não são verificadas quanto a acesso fora dos limites. O ataque pode ocorrer ao ler o cabeçalho de opção de 2 bytes e a Opção de Endereço da Camada de Enlace de Origem (SLLAO), e requer que o IPv6 esteja habilitado na rede.Recomendações
Para versões anteriores à 4.8, atualize para a versão 4.8 ou posterior, que inclui o patch para este problema.
Como solução alternativa temporária, os usuários que não puderem atualizar podem aplicar o patch no Contiki-NG PR #1654.
Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Contiki-Ng