Проблема была обнаружена в версиях Mbed TLS от 2.19.0 до 3.6.5, Mbed TLS 4.0.0. Недостаточная защита сериализованного контекста SSL или структур сеанса позволяет злоумышленнику модифицировать сериализованные структуры, вызывая повреждение памяти, что приводит к выполнению произвольного кода. Это вызвано неправильным использованием привилегированных API.
Показать оригинальное описание (EN)
An issue was discovered in Mbed TLS versions from 2.19.0 up to 3.6.5, Mbed TLS 4.0.0. Insufficient protection of serialized SSL context or session structures allows an attacker who can modify the serialized structures to induce memory corruption, leading to arbitrary code execution. This is caused by Incorrect Use of Privileged APIs.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Arm Mbed_Tls
cpe:2.3:a:arm:mbed_tls:*:*:*:*:*:*:*:*
|
2.19.0
|
3.6.6
|
|
Arm Mbed_Tls
cpe:2.3:a:arm:mbed_tls:4.0.0:*:*:*:*:*:*:*
|
— | — |