CRITICAL🇬🇧 English

CVE-2024-54129

NASA ION-DTN BPv7: błąd inicjalizacji powodujący brak responsywności (DoS)

CVSS 9.2v4.0pub. 2024-12-05upd. 2026-04-15

W implementacji NASA Interplanetary Overlay Network (ION-DTN) w wersji 4.1.3 istnieje podatność klasy CWE-665 (nieprawidłowa inicjalizacja), która może spowodować całkowity brak responsywności oprogramowania. Zagrożenie jest szczególnie poważne ze względu na środowiska, w których ION-DTN pełni rolę krytycznej infrastruktury komunikacyjnej.

Pokaż oryginał (EN)

The NASA’s Interplanetary Overlay Network (ION) is an implementation of Delay/Disruption Tolerant Networking (DTN). A vulnerability exists in the version ION-DTN BPv7 implementation version 4.1.3 when receiving a bundle with an improper reference to the imc scheme with valid Service-Specific Part (SSP) in their Previous Node Block. The vulnerability can cause ION to become unresponsive. This vulnerability is fixed in 4.1.3s.

🤖 Analiza AI
Jak działa

Podatność jest wyzwalana podczas odbioru pakietu (bundle) zawierającego nieprawidłowe odwołanie do schematu 'imc' z poprawną częścią specyficzną dla usługi (Service-Specific Part, SSP) umieszczoną w bloku Previous Node Block. Nieprawidłowe przetworzenie takiego pakietu w stosie BPv7 powoduje, że proces ION wchodzi w stan braku responsywności. Atakujący może wysłać spreparowany pakiet zdalnie, bez konieczności uwierzytelnienia, co czyni wektor ataku szczególnie niebezpiecznym.

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) poprzez unieruchomienie węzła ION-DTN, co skutkuje przerwaniem komunikacji DTN zarówno lokalnie, jak i potencjalnie w sieci nakładkowej (Interplanetary Overlay Network). W środowiskach misji kosmicznych lub innych krytycznych zastosowaniach może to oznaczać utratę łączności z systemami zależnymi.

Mitygacja

Należy zaktualizować oprogramowanie ION-DTN do wersji 4.1.3s, w której podatność została naprawiona. Patch dostępny jest w repozytorium producenta: https://github.com/nasa-jpl/ION-DTN/security/advisories/GHSA-393w-w6jh-pq3j

Kogo dotyczy

NASA ION-DTN, implementacja BPv7 w wersji 4.1.3

Uwagi

Podatność zgłoszona i naprawiona przez zespół NASA JPL w ramach projektu ION-DTN. Oprogramowanie jest stosowane w kontekście komunikacji Delay/Disruption Tolerant Networking (DTN), w tym w zastosowaniach kosmicznych.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje