CVE-2023-37459 in Contiki-NG情報

要約

〜によって VulDB • 2026年05月22日

Contiki-NGは、インターネット・オブ・シングス(IoT)デバイス向けのオペレーティングシステムです。バージョン4.9およびそれ以前のバージョンでは、パケットを受信する際、Contiki-NGのネットワークスタックは、SYNフラグが設定されたTCPパケットである場合に、周期的なTCPタイマーの開始を試みます。しかし、実装では、完全なTCPヘッダーが受信済みであることを最初に検証していません。具体的には、`check_for_tcp_syn`関数の以下の条件式において、TCPバッファからフラグフィールドへのアクセスを試みます。このため、攻撃者は切り捨てられたTCPパケットを注入することができ、その結果、パケットバッファからの境界外読み取り(out-of-bound read)が発生します。公開時点では、修正済みバージョンは利用できません。回避策として、Contiki-NGのプルリクエスト#2510の変更を適用してシステムをパッチすることができます。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

責任者

GitHub, Inc.

予約する

2023年07月06日

モデレーション

承諾済み

エントリ

VDB-239835

EPSS

0.00386

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!