CVE-2022-35927

Versões do Contiki-NG anteriores à 4.7

O problema está relacionado à implementação do protocolo de roteamento RPL-Classic no sistema operacional Contiki-NG. Especificamente, uma mensagem de controle DODAG Information Option (DIO) recebida pode conter uma opção de informação de prefixo com um parâmetro de comprimento que não é validado. Isso pode causar um estouro de buffer ao copiar o prefixo na função set ip from prefix. O número estimado de dispositivos potencialmente afetados não é fornecido, e não há informações sobre incidentes reais em que esse problema tenha sido explorado.

Para resolver o problema, os usuários devem atualizar para o Contiki-NG 4.7 ou posterior. Como solução alternativa temporária, considere restringir a recepção de mensagens RPL DIO de terceiros até que uma versão corrigida seja instalada. Não há outras soluções alternativas para este problema.