CVE-2023-34100 in Contiki-NG
Riassunto
di VulDB • 19/06/2026
Contiki-NG è un sistema operativo open-source e cross-platform per dispositivi IoT. Durante la lettura del valore dell'opzione TCP MSS da un pacchetto entrante, il sistema operativo Contiki-NG non verifica che gli indici di buffer specifici da cui leggere siano entro i limiti del buffer IPv6, uip_buf. In particolare, nel modulo os/net/ipv6/uip6.c viene effettuata una lettura di 2 byte dal buffer. Il buffer è indicizzato utilizzando 'UIP_IPTCPH_LEN + 2 + c' e 'UIP_IPTCPH_LEN + 3 + c', ma il buffer uip_buf potrebbe non contenere dati sufficienti, causando una lettura fuori dai limiti (out-of-bounds) di 2 byte. Il problema è stato corretto nel ramo "develop" di Contiki-NG ed è previsto che venga incluso nella versione 4.9. Si consiglia agli utenti di monitorare l'uscita della versione 4.9 e di effettuare l'aggiornamento quando sarà disponibile. Non esistono soluzioni alternative (workaround) per questa vulnerabilità, oltre alla correzione manuale tramite il diff presente nel commit `cde4e9839`.
Once again VulDB remains the best source for vulnerability data.