Vulnerabilidad en Eclipse Californium (CVE-2022-39368)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-404 Apagado o liberación incorrecto de recursos

Fecha de publicación:

10/11/2022

Última modificación:

17/11/2022

Descripción

Eclipse Californium es una implementación Java de RFC7252: protocolo de aplicación restringido para servicios de nube de IoT. En versiones anteriores a la 3.7.0 y 2.7.4, Californium es vulnerable a una Denegación de Servicio (DoS). Los apretones de manos fallidos no limpian los contadores de aceleración, lo que hace que se alcance el umbral sin volver a liberarlo. Esto da como resultado la caída permanente de registros. El problema se informó para los protocolos de enlace basados en certificados, pero también puede afectar los protocolos de enlace basados en PSK. Generalmente también afecta al cliente y al servidor. Este problema se solucionó en las versiones 3.7.0 y 2.7.4. No se conocen workarounds. principal: commit 726bac57659410da463dcf404b3e79a7312ac0b9 2.7.x: commit 5648a0c27c2c2667c98419254557a14bac2b1f3f

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.20

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:eclipse:californium::::::::		2.7.4 (excluyendo)
cpe:2.3:a:eclipse:californium::::::::	3.0.0 (incluyendo)	3.7.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Vulnerabilidad en Eclipse Californium (CVE-2022-39368)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información