CVE-2021-42143

Contiki-NG tinyDTLS até o branch master 53a0d97

Existe uma falha no tratamento da mensagem de handshake ClientHello, na qual um bug de loop infinito pode ser acionado por invasores remotos que enviem uma mensagem malformada com um número ímpar de conjuntos de criptografia. Isso resulta em uma negação de serviço, consumindo todos os recursos, e uma leitura excessiva do buffer que pode divulgar informações confidenciais.

Para o Contiki-NG tinyDTLS até o branch master 53a0d97, considere desativar o tratamento de mensagens de handshake ClientHello com conjuntos de criptografia de comprimento ímpar como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo tinyDTLS para minimizar o risco de exploração. Evite usar a variável cipher suites na mensagem de handshake afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.