CRITICAL🇬🇧 English

CVE-2021-42142

Nieprawidłowa obsługa dużego numeru epoki w Contiki-NG tinyDTLS — DoS i fałszywe odrzucanie pakietów

CVSS 9.8v3.1pub. 2024-01-23upd. 2025-06-11

Błąd w implementacji serwera DTLS w bibliotece tinyDTLS (Contiki-NG) powoduje nieprawidłową obsługę przedwczesnego użycia dużego numeru epoki. Podatność umożliwia zdalnym atakującym wywołanie odmowy usługi (DoS) oraz fałszywego odrzucania pakietów, co może zakłócić komunikację urządzeń IoT.

Pokaż oryginał (EN)

An issue was discovered in Contiki-NG tinyDTLS through master branch 53a0d97. DTLS servers mishandle the early use of a large epoch number. This vulnerability allows remote attackers to cause a denial of service and false-positive packet drops.

🤖 Analiza AI
Jak działa

Serwery DTLS korzystające z podatnej wersji biblioteki tinyDTLS nieprawidłowo obsługują sytuację, gdy klient przesyła pakiet z nieoczekiwanie dużym numerem epoki na wczesnym etapie komunikacji. Brak odpowiedniej walidacji tej wartości (CWE-755: improper handling of exceptional conditions, CWE-770: allocation of resources without limits) prowadzi do zakłóceń w przetwarzaniu ruchu sieciowego. W efekcie serwer może odrzucać prawidłowe pakiety jako fałszywie niepoprawne i potencjalnie stać się niedostępny dla legalnych klientów.

Skutki

Atakujący zdalnie i bez uwierzytelnienia może doprowadzić do odmowy usługi (DoS) na podatnym serwerze DTLS oraz spowodować fałszywe odrzucanie pakietów, zakłócając komunikację z urządzeniami opartymi na Contiki-NG.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium GitHub projektu Contiki-NG tinyDTLS (https://github.com/contiki-ng/tinydtls) w celu pobrania poprawionej wersji oraz aktualizację oprogramowania na wszystkich urządzeniach korzystających z podatnej biblioteki.

Kogo dotyczy

Contiki-NG tinyDTLS — gałąź master do commitu 53a0d97 włącznie

Uwagi

Podatność została ujawniona publicznie w serwisie Full Disclosure w styczniu 2024 roku. Pomimo oceny CVSS 9.8 (CRITICAL), rzeczywisty skutek ogranicza się do DoS i fałszywego odrzucania pakietów — brak wskazań na możliwość wykonania kodu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Contiki Ng Tinydtls

    APP
    Contiki-Ng
    ≤ 2018-08-30
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje

Powiązane podatności

CVE-2021-42143CRITICAL9.1PL ✓ten sam produkt

Nieskończona pętla i buffer over-read w Contiki-NG tinyDTLS (DTLS ClientHello)

CVE-2021-42147CRITICAL9.1PL ✓ten sam produkt

Buffer over-read w Contiki-NG tinyDTLS — zdalne DoS przez spreparowany pakiet

CVE-2021-42141CRITICAL9.8PL ✓ten sam produkt

Błąd obsługi handshake DTLS w Contiki-NG tinyDTLS — denial of service

CVE-2021-42145HIGH7.5ten sam produkt

An assertion failure discovered in in check_certificate_request() in Contiki-NG tinyDTLS through master branch...

CVE-2021-42146HIGH7.5ten sam produkt

An issue was discovered in Contiki-NG tinyDTLS through master branch 53a0d97. DTLS servers allow remote attack...