CVE-2023-34100 in Contiki-NG
Zusammenfassung
von VulDB • 11.06.2026
Contiki-NG ist ein quelloffenes, plattformübergreifendes Betriebssystem für IoT-Geräte. Beim Lesen des TCP-MSS-Optionswerts aus einem eingehenden Paket überprüft das Contiki-NG-Betriebssystem nicht, ob bestimmte Pufferindizes zum Auslesen innerhalb der Grenzen des IPv6-Paketpuffers `uip_buf` liegen. Insbesondere findet im Modul `os/net/ipv6/uip6.c` ein 2-Byte-Lesezugriff auf den Puffer statt. Der Puffer wird mit `'UIP_IPTCPH_LEN + 2 + c'` und `'UIP_IPTCPH_LEN + 3 + c'` indiziert, wobei der `uip_buf`-Puffer möglicherweise nicht genügend Daten enthält, was zu einem 2-Byte-Lesezugriff außerhalb des gültigen Bereichs (Out-of-Bounds) führt. Das Problem wurde im „develop“-Zweig von Contiki-NG behoben und soll in Version 4.9 enthalten sein. Benutzern wird empfohlen, auf die Veröffentlichung von Version 4.9 zu achten und ein Upgrade durchzuführen, sobald diese verfügbar ist. Es gibt keine Workarounds für diese Schwachstelle außer dem manuellen Patchen mit dem Diff aus dem Commit `cde4e9839`.
If you want to get best quality of vulnerability data, you may have to visit VulDB.