Skip to main content

Sobrelectura de búfer (CWE-126) en el analizador de respuesta DNS · Asesoramiento · FreeRTOS/FreeRTOS-Plus-TCP · GitHub

junio 25, 2024


Resumen

Las versiones 4.0.0 a 4.1.0 de FreeRTOS-Plus-TCP contienen un problema de sobrelectura del búfer en el analizador de respuesta DNS al analizar nombres de dominio en una respuesta DNS. Una respuesta DNS cuidadosamente diseñada con un valor de longitud del nombre de dominio mayor que la longitud real del nombre de dominio podría hacer que el analizador lea más allá del búfer de respuesta DNS.

Impacto

Este problema afecta a las aplicaciones que utilizan la funcionalidad DNS de la pila FreeRTOS-Plus-TCP. Las aplicaciones que no utilizan la funcionalidad DNS no se ven afectadas, incluso cuando la funcionalidad DNS está habilitada.

Versiones impactadas:

4.0.0, 4.1.0

Parches

Esto se solucionó en las versiones 4.1.1 o posteriores de FreeRTOS-Plus-TCP.

Referencias

[1] Página de informes de vulnerabilidad: https://aws.amazon.com/security/vulnerability-reporting

[2] https://github.com/FreeRTOS/FreeRTOS-Plus-TCP/releases/tag/V4.1.1



Source link

Saber más  Alerta de seguridad: Microsoft lanza actualizaciones de seguridad de febrero de 2024
Translate »