Описание
Уязвимость файла subsys/canbus/isotp/isotp.c подсистемы CAN-шины операционной системы реального времени Zephyr связана с возможностью переполнения буфера на основе стека. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор
Zephyr Project
Наименование ПО
Zephyr
Версия ПО
до 3.4.0 включительно (Zephyr)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа к устройству с уязвимой операционной системой;
- ограничение доступа к устройству с уязвимой операционной системой из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к устройствам с уязвимой операционной системой.
Использование рекомендаций производителя:
https://github.com/zephyrproject-rtos/zephyr/security/advisories/GHSA-2g3m-p6c7-8rr3
https://docs.zephyrproject.org/3.5.0/releases/release-notes-3.5.html
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 68%
0.00562
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.6
nvd
больше 2 лет назад
Potential buffer overflow vulnerability in the Zephyr CAN bus subsystem
EPSS
Процентиль: 68%
0.00562
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2