CVE-2023-29001

Contiki-NG (versões afetadas não especificadas)

O sistema operacional Contiki-NG apresenta uma falha na implementação do IPv6, especificamente no processamento de cabeçalhos de roteamento de origem (SRH) em suas duas implementações alternativas do protocolo RPL. Isso pode levar a uma recursão descontrolada na função tcpip ipv6 output ao receber um pacote com um endereço de próximo salto que seja um endereço local, podendo causar um estouro de pilha. Invasores capazes de enviar pacotes IPv6 para o host Contiki-NG podem acionar essa vulnerabilidade. Não há soluções alternativas conhecidas para esse problema.

Para resolver o problema, recomenda-se que os usuários apliquem o patch manualmente a partir da solicitação de pull #2264 do Contiki-NG ou aguardem o próximo lançamento do Contiki-NG, que deverá incluir a correção. Como solução alternativa temporária, considere restringir o acesso à função tcpip ipv6 output no módulo os/net/ipv6/tcpip.c até que um patch esteja disponível.