在 Contiki-NG 中解码 SNMP 消息时发生越界读取(CVE-2024-41126)
CVE编号
CVE-2024-41126
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-28
漏洞描述
Contiki-NG是一个用于物联网设备的开源、跨平台操作系统。在向运行了启用SNMP的Contiki-NG操作系统的设备发送数据包时,可能会触发一次越界读取1字节的情况。SNMP模块在默认的Contiki-NG配置中是禁用的。该漏洞存在于os/net/app-layer/snmp/snmp-message.c模块中,snmp_message_decode函数在解码对象标识符(OID)后立即从消息缓冲区读取一个字节时,未能检查消息缓冲区的边界。该问题已在Contiki-NG的拉取请求2937中得到修复,并将包含在Contiki-NG的下一个版本中。建议用户手动应用补丁或等待下一个版本。一种解决方法是在Contiki-NG构建配置中禁用SNMP模块。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论