Multiples vulnerabilidades en Contiki-NG
Fecha de publicación 02/12/2024
Identificador
INCIBE-2024-0591
Importancia
4 - Alta
Recursos Afectados
Contiki-NG, versiones 4.9 y anteriores
Descripción
Se han identificado 2 vulnerabilidades de severidad alta que afectan a Contiki-NG, un sistema operativo de código abierto para dispositivos IoT. La explotación de estas vulnerabilidades podría permitir a un atacante obtener información sensible o provocar caídas del sistema.
Solución
Las vulnerabilidades se solucionan aplicando los siguientes pull request, que serán incluidos en la siguiente versión:
- 2936 para la vulnerabilidad CVE-2024-41125;
- 2937 para la vulnerabilidad CVE-2024-41126;
- 2962 para la vulnerabilidad CVE-2024-47181.
Para las vulnerabilidades CVE-2024-41125 y CVE-2024-41126, a modo de workaround, también se puede deshabilitar el módulo SNMP en la configuración de Contiki-NG.
Detalle
- Podría producirse una lectura fuera de límites de 1 byte al enviar un paquete a un dispositivo que ejecute Contiki-NG con SNMP activado, debido al fallo de la función snmp_ber_decode_string_len_buffer incluida en el módulo os/net/app-layer/snmp/snmp-ber.c. Se ha asignado el identificador CVE-2024-41125 para esta vulnerabilidad.
- Podría producirse una lectura fuera de límites de 1 byte al enviar un paquete a un dispositivo que ejecute Contiki-NG con SNMP activado, debido al fallo de la función snmp_message_decod incluida en el módulo os/net/app-layer/snmp/snmp-message.c. Se ha asignado el identificador CVE-2024-41126 para esta vulnerabilidad.
- El sistema podría bloquearse debido a un acceso a memoria no alineada en las 2 implementaciones del protocolo RPL (IPv6 Routing Protocol for Low-Power and Lossy Networks) presentes en Contiki-NG, cuando cualquiera de ellas está activada y conectada a una instancia RPL. Se ha asignado el identificador CVE-2024-47181 para esta vulnerabilidad.
Listado de referencias
Etiquetas
