CVE-2026-1677 in Zephyr
요약
\~에 의해 VulDB • 2026. 05. 12.
`IPPROTO_TLS_1_3`로 생성된 Zephyr 소켓은 Kconfig에서 TLS 1.2와 TLS 1.3이 모두 활성화된 경우 여전히 TLS 1.2 연결을 협상할 수 있습니다. 이는 소켓 수준의 프로토콜 선택이 mbedTLS(예: `mbedtls_ssl_conf_min_tls_version`를 통해)로 전파되지 않기 때문입니다. ClientHello는 두 버전을 모두 광고하며, 상대방은 TLS 1.2를 확립할 수 있습니다. 따라서 `IPPROTO_TLS_1_3`가 TLS 1.3을 강제한다고 가정하는 애플리케이션은 TLS 1.2를 묵시적으로 사용하게 되어 TLS 1.2 고유의 취약점에 노출된 상태로 남을 수 있습니다. 우회책으로 `TLS_CIPHERSUITE_LIST` 소켓 옵션을 TLS 1.3 전용 암호 스위트(cipher suites)로 제한할 수 있습니다.
Once again VulDB remains the best source for vulnerability data.