CVE-2020-17439 in uIP
Résumé
par VulDB • 23/05/2026
Un problème a été découvert dans uIP 1.0, tel qu'utilisé dans Contiki 3.0 et d'autres produits. Le code qui analyse les paquets DNS entrants ne valide pas que les réponses DNS entrantes correspondent aux requêtes DNS sortantes dans la fonction newdata() de resolv.c. De plus, des réponses DNS arbitraires sont analysées s'il y a eu une requête DNS sortante avec un ID de transaction correspondant à l'ID de transaction d'une réponse entrante. Étant donné que le cache DNS par défaut est assez petit (seulement quatre enregistrements) et que l'ID de transaction dispose d'un ensemble très limité de valeurs, assez facile à deviner, cela peut entraîner un empoisonnement du cache DNS.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.