CRITICAL🇬🇧 English

CVE-2021-42141

Błąd obsługi handshake DTLS w Contiki-NG tinyDTLS — denial of service

CVSS 9.8v3.1pub. 2024-01-22upd. 2025-06-20

W bibliotece tinyDTLS wchodzącej w skład Contiki-NG wykryto podatność pozwalającą na wywołanie stanu denial of service poprzez nieprawidłowo skonstruowany handshake DTLS. Pomimo oceny CVSS 9.8 (Critical), skutki ograniczają się do zakłócenia dostępności usługi.

Pokaż oryginał (EN)

An issue was discovered in Contiki-NG tinyDTLS through 2018-08-30. One incorrect handshake could complete with different epoch numbers in the packets Client_Hello, Client_key_exchange, and Change_cipher_spec, which may cause denial of service.

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej obsłudze wyjątków podczas procesu negocjacji połączenia DTLS (handshake). Atakujący może wysłać pakiety Client_Hello, Client_key_exchange oraz Change_cipher_spec zawierające różne, niespójne numery epoki (epoch numbers). Biblioteka tinyDTLS akceptuje taki nieprawidłowy handshake jako kompletny, co prowadzi do nieoczekiwanego stanu aplikacji i może wywołać denial of service.

Skutki

Atakujący nieuwierzytelniony, działający zdalnie, może doprowadzić do zakłócenia dostępności urządzenia lub usługi korzystającej z biblioteki tinyDTLS, powodując jej niedostępność (denial of service).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium GitHub projektu Contiki-NG/tinydtls w celu uzyskania aktualnej poprawki.

Kogo dotyczy

Contiki-NG tinyDTLS w wersjach do 2018-08-30 włącznie

Uwagi

Pomimo oceny CVSS 9.8 (Critical), tagi podatności wskazują wyłącznie na DoS — brak przesłanek o możliwości wykonania kodu czy eskalacji uprawnień. Szczegóły techniczne zostały ujawnione publicznie w serwisach Packet Storm Security oraz Full Disclosure w styczniu 2024 r., natomiast podatność dotyczy kodu z 2018 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Contiki Ng Tinydtls

    APP
    Contiki-Ng
    ≤ 2018-08-30
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2021-42143CRITICAL9.1PL ✓ten sam produkt

Nieskończona pętla i buffer over-read w Contiki-NG tinyDTLS (DTLS ClientHello)

CVE-2021-42147CRITICAL9.1PL ✓ten sam produkt

Buffer over-read w Contiki-NG tinyDTLS — zdalne DoS przez spreparowany pakiet

CVE-2021-42142CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowa obsługa dużego numeru epoki w Contiki-NG tinyDTLS — DoS i fałszywe odrzucanie pakietów

CVE-2021-42145HIGH7.5ten sam produkt

An assertion failure discovered in in check_certificate_request() in Contiki-NG tinyDTLS through master branch...

CVE-2021-42146HIGH7.5ten sam produkt

An issue was discovered in Contiki-NG tinyDTLS through master branch 53a0d97. DTLS servers allow remote attack...

CVE-2021-42141 — Błąd obsługi handshake DTLS w Contiki-NG tinyDTLS — denial of service — CRITICAL 9.8 | CVEbaza.pl