CVE-2023-48229

Contiki-NG (versões afetadas não especificadas)

Existe uma gravação fora dos limites no driver para rádios IEEE 802.15.4 em plataformas nRF no sistema operacional Contiki-NG. O problema é desencadeado ao analisar quadros de rádio na função read frame no módulo arch/cpu/nrf/net/nrf-ieee-driver-arch.c. A função read frame realiza uma validação incompleta do comprimento da carga útil do pacote, que pode ser definido por uma parte externa. Embora o valor seja validado para estar dentro do intervalo do comprimento do MTU, ele não é validado para caber no buffer fornecido no qual o pacote será copiado.

Como solução alternativa temporária, considere aplicar manualmente as alterações no PR #2741 até que um patch esteja disponível.

Atualize o branch develop ou atualize para uma versão subsequente quando disponível para resolver o problema.

Usuários que não puderem atualizar devem considerar aplicar a solução alternativa acima para minimizar o risco de exploração.