PT-2024-11024 · Unknown · Contiki-Ng
Jerrytesting
·
Publicado
2024-01-24
·
Atualizado
2024-02-01
·
CVE-2021-42146
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Contiki-NG tinyDTLS até o branch master 53a0d97
Descrição
Foi descoberta uma falha nos servidores DTLS que permite que invasores remotos reutilizem o mesmo número de época dentro do dobro do tempo de vida máximo de um segmento TCP, o que é proibido pela RFC6347. Isso permite que invasores remotos obtenham dados confidenciais de aplicativos de clientes conectados.
Recomendações
Para o Contiki-NG tinyDTLS até o branch master 53a0d97, considere desativar a funcionalidade do servidor DTLS até que um patch esteja disponível para impedir que invasores remotos reutilizem o mesmo número de época e obtenham dados confidenciais da aplicação. Restrinja o acesso ao servidor DTLS para minimizar o risco de exploração. Evite usar o protocolo DTLS com a implementação atual até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Contiki-Ng