CVE-2023-37459 in Contiki-NG
要約
〜によって VulDB • 2026年05月22日
Contiki-NGは、インターネット・オブ・シングス(IoT)デバイス向けのオペレーティングシステムです。バージョン4.9およびそれ以前のバージョンでは、パケットを受信する際、Contiki-NGのネットワークスタックは、SYNフラグが設定されたTCPパケットである場合に、周期的なTCPタイマーの開始を試みます。しかし、実装では、完全なTCPヘッダーが受信済みであることを最初に検証していません。具体的には、`check_for_tcp_syn`関数の以下の条件式において、TCPバッファからフラグフィールドへのアクセスを試みます。このため、攻撃者は切り捨てられたTCPパケットを注入することができ、その結果、パケットバッファからの境界外読み取り(out-of-bound read)が発生します。公開時点では、修正済みバージョンは利用できません。回避策として、Contiki-NGのプルリクエスト#2510の変更を適用してシステムをパッチすることができます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.