Cesanta Mongoose TLS 1.3 mongoose.c mg_tls_recv_cert dépassement de tampon basé sur le tas

Une vulnérabilité a été découverte dans Cesanta Mongoose jusqu'à la version 7.20. Cela affecte la fonction mg_tls_recv_cert du fichier mongoose.c du composant TLS 1.3 Handler. Une telle manipulation de l'argument pubkey conduit à un dépassement de tampon basé sur le tas. L'attaque peut être lancée à distance. L'exploit a été divulgué au public et peut être utilisé. La mise à niveau vers la version 7.21 atténue ce problème. Le nom du correctif est 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1. Il est conseillé de mettre à niveau le composant affecté. Le fournisseur a été contacté rapidement, a répondu de manière très professionnelle et a rapidement publié une version corrigée du produit affecté.