CVE-2024-41125丨在 Contiki-NG 中解码字符串时，SNMP 中的越界读取

Contiki-NG是一个用于物联网设备的开源、跨平台操作系统。在向运行了启用SNMP的Contiki-NG操作系统的设备发送数据包时，可能会触发一次越界读取1字节的情况。SNMP模块在默认的Contiki-NG配置中是禁用的。该漏洞存在于os/net/app-layer/snmp/snmp-ber.c模块中，其中的函数snmp_ber_decode_string_len_buffer用于解码从接收到的SNMP数据包中的字符串长度。有一处是从缓冲区读取一个字节，但没有检查缓冲区是否有另一个字节可用，从而导致可能的越界读取。这个问题已在Contiki-NG的拉取请求#2936中进行修复。它将包含在Contiki-NG的下一个版本中。建议用户手动应用补丁或等待下一个版本。一种解决方法是在Contiki-NG构建配置中禁用SNMP模块。