Cesanta Mongoose TLS 1.3 mongoose.c mg_tls_recv_cert Heap-basierter Überlauf

Eine Schwachstelle wurde in Cesanta Mongoose bis 7.20 gefunden. Dies betrifft die Funktion mg_tls_recv_cert der Datei mongoose.c der Komponente TLS 1.3 Handler. Eine solche Manipulation des Arguments pubkey führt zu einem Heap-basierten Pufferüberlauf. Der Angriff kann remote gestartet werden. Das Exploit wurde öffentlich bekannt gegeben und kann verwendet werden. Ein Upgrade auf Version 7.21 behebt dieses Problem. Der Name des Patches ist 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1. Es ist ratsam, die betroffene Komponente zu aktualisieren. Der Hersteller wurde frühzeitig kontaktiert, reagierte sehr professionell und veröffentlichte schnell eine korrigierte Version des betroffenen Produkts.