Cesanta Mongoose Clé publique P-384 mongoose.c mg_tls_verify_cert_signature autorisation

Une vulnérabilité a été identifiée dans Cesanta Mongoose jusqu'à la version 7.20. La fonction mg_tls_verify_cert_signature du fichier mongoose.c du composant Gestionnaire de clé publique P-384 est affectée. L'exécution d'une manipulation peut conduire à un contournement d'autorisation. L'attaque peut être exécutée à distance. Les attaques de cette nature sont très complexes. L'exploitabilité est considérée comme difficile. L'exploit a été divulgué publiquement et peut être utilisé. La mise à niveau vers la version 7.21 permet de résoudre ce problème. Ce patch est appelé 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1. Le composant affecté doit être mis à niveau. Le fournisseur a été contacté tôt, a répondu de manière très professionnelle et a rapidement publié une version corrigée du produit affecté.