CRITICAL🇬🇧 English

CVE-2024-44852

Naruszenie segmentacji w ROS2 navigation2 – składnik isUnsafeToPlan()

CVSS 9.8v3.1pub. 2024-12-06upd. 2024-12-17

W pakiecie navigation2 systemu Open Robotics ROS2 (wersja humble) wykryto podatność prowadzącą do naruszenia segmentacji (segmentation violation) w funkcji theta_star::ThetaStar::isUnsafeToPlan(). Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co wskazuje na możliwość poważnego wpływu na dostępność, integralność i poufność systemu.

Pokaż oryginał (EN)

Open Robotics Robotic Operating System 2 ROS2 navigation2 v.humble was discovered to contain a segmentation violation via the component theta_star::ThetaStar::isUnsafeToPlan().

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-763 (nieprawidłowe odwołanie do zwolnionego wskaźnika) polega na nieprawidłowym dostępie do pamięci w komponencie planowania ścieżki theta_star modułu navigation2. Wywołanie funkcji isUnsafeToPlan() może skutkować naruszeniem segmentacji, prowadząc do awarii procesu. Ze względu na sieciowy wektor ataku (AV:N) bez wymagania uwierzytelnienia (PR:N) ani interakcji użytkownika (UI:N), podatność może być zdalnie wyzwolona.

Skutki

Atakujący może doprowadzić do awarii procesu nawigacyjnego robota (utrata dostępności), a potencjalnie – ze względu na krytyczną ocenę CVSS uwzględniającą wysokie wskaźniki poufności i integralności – do dalszego wpływu na działanie systemu. W środowiskach robotycznych może to oznaczać utratę kontroli nad zachowaniem robota.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dostępne jest zgłoszenie poprawki w repozytorium projektu (pull request #4463 w repozytorium ros-navigation/navigation2). Zaleca się śledzenie oficjalnych wydań navigation2 i aktualizację do wersji zawierającej poprawkę.

Kogo dotyczy

Open Robotics Robot Operating System 2 (ROS2) navigation2 w wersji humble

Uwagi

Podatność została ujawniona publicznie poprzez zgłoszenie w repozytorium GitHub projektu navigation2 (issue #4464). Dostępny jest również pull request #4463 zawierający propozycję poprawki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Openrobotics Robot Operating System

    APP
    Openrobotics
    2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-38924CRITICAL9.8PL ✓ten sam produkt

Use-after-free w ROS2 Nav2 humble — zdalny exploit przez nav2_amcl

CVE-2024-38922CRITICAL9.8PL ✓ten sam produkt

Heap overflow w procesie nav2_amcl systemu ROS2 Nav2

CVE-2024-38921CRITICAL9.8PL ✓ten sam produkt

Use-after-free w ROS2 Nav2 — zdalny atak przez parametr /amcl z_rand

CVE-2024-38923CRITICAL9.8PL ✓ten sam produkt

Use-after-free w ROS2 Nav2 humble poprzez proces nav2_amcl

CVE-2024-38925CRITICAL9.8PL ✓ten sam produkt

Use-after-free w ROS2 Nav2 — zdalny atak przez zmianę parametru AMCL