PT-2022-24935 · Eclipse · Eclipse Californium
Highboaks
·
Publicado
2022-11-09
·
Atualizado
2022-11-17
·
CVE-2022-39368
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
Versões do Eclipse Californium anteriores à 3.7.0
Versões do Eclipse Californium anteriores à 2.7.4
Descrição
O Eclipse Californium, uma implementação Java da RFC7252 — Protocolo de Aplicação Restrita para serviços de nuvem IoT —, está vulnerável a um ataque de Negação de Serviço. Handshakes com falha não limpam os contadores de limitação, fazendo com que o limite seja atingido sem ser liberado novamente, resultando na perda permanente de registros. O problema afeta tanto handshakes baseados em certificado quanto aqueles potencialmente baseados em PSK e impacta tanto o cliente quanto o servidor.
Recomendações
Para versões anteriores à 3.7.0, atualize para a versão 3.7.0.
Para versões anteriores à 2.7.4, atualize para a versão 2.7.4.
Como solução temporária, considere restringir o processo de handshake para evitar que o limite seja atingido, até que um patch esteja disponível.
Exploit
Correção
Improper Resource Release
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eclipse Californium