PT-2022-9788 · Micrium · Micrium Uc/Os Uc/Lib
Publicado
2022-01-24
·
Atualizado
2022-02-17
·
CVE-2021-26706
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Micrium uC/OS uC/LIB, versões 1.38.x a 1.39.00
Descrição
Foi descoberta uma falha nas funções de alocação de memória
Mem PoolCreate, Mem DynPoolCreate e Mem DynPoolCreateHW no arquivo lib mem.c. Essas funções não verificam se há estouro de inteiro ao alocar um pool cujo tamanho exceda o espaço de endereço, o que pode causar um estouro de inteiro se os argumentos forem suficientemente grandes. O pool de memória resultante será menor do que o esperado e poderá ser explorado por um invasor.Recomendações
Para as versões 1.38.x a 1.39.00 do Micrium uC/OS uC/LIB, considere desativar as funções
Mem PoolCreate, Mem DynPoolCreate e Mem DynPoolCreateHW até que um patch esteja disponível para evitar uma possível exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Micrium Uc/Os Uc/Lib