प्लेटफ़ॉर्म
c
घटक
zephyr
में ठीक किया गया
4.3.1
CVE-2026-5590 Zephyr RTOS Kernel में एक रेस कंडीशन भेद्यता है। TCP कनेक्शन को बंद करते समय, यह भेद्यता NULL पॉइंटर डीरेफरेंसिंग का कारण बन सकती है, जिससे सिस्टम क्रैश हो सकता है। यह भेद्यता Zephyr RTOS Kernel के संस्करण 0.0.0 से 4.3 तक के संस्करणों को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
Zephyr RTOS में CVE-2026-5590 TCP कनेक्शन के समापन के दौरान एक रेस कंडीशन प्रस्तुत करता है। इससे tcprecv() फ़ंक्शन पहले से ही जारी किए गए कनेक्शन पर काम कर सकता है। विशेष रूप से, यदि SYN पैकेट को संसाधित करते समय tcpconnsearch() NULL लौटाता है, तो पुराने संदर्भ डेटा से प्राप्त NULL पॉइंटर को tcpbacklogisfull() में पास किया जाता है और सत्यापन के बिना संदर्भित किया जाता है, जिसके परिणामस्वरूप सिस्टम क्रैश होता है। CVSS गंभीरता 6.4 है, जो मध्यम जोखिम का संकेत देता है। रेस कंडीशन की प्रकृति शोषण को अधिक जटिल बनाती है, जिसके लिए सटीक इवेंट सिंक्रोनाइजेशन की आवश्यकता होती है। मुख्य प्रभाव सिस्टम क्रैश के कारण डिनायल-ऑफ-सर्विस (DoS) है। कोई आधिकारिक फिक्स प्रदान नहीं किया गया है, और इस भेद्यता से संबंधित KEV (कर्नेल इवेंट) के बारे में कोई जानकारी उपलब्ध नहीं है।
CVE-2026-5590 का शोषण करने के लिए एक हमलावर की आवश्यकता होती है जो Zephyr डिवाइस पर दुर्भावनापूर्ण SYN पैकेट भेजने में सक्षम हो। हमलावर को इवेंट सिंक्रोनाइजेशन को इस तरह से हेरफेर करने में सक्षम होना चाहिए कि tcprecv() निष्पादित होने के दौरान tcpconn_search() NULL लौटाता है। यह वितरित डिनायल-ऑफ-सर्विस (DDoS) हमले के माध्यम से या नेटवर्क कॉन्फ़िगरेशन में हेरफेर करके प्राप्त किया जा सकता है। रेस कंडीशन की जटिलता शोषण को अधिक कठिन बना देती है, लेकिन असंभव नहीं। सफलता की संभावना नेटवर्क आर्किटेक्चर और Zephyr डिवाइस कॉन्फ़िगरेशन पर निर्भर करती है। KEV की अनुपस्थिति बताती है कि इस भेद्यता को जंगली में नहीं देखा गया है, लेकिन संभावित जोखिम अभी भी महत्वपूर्ण है।
Systems utilizing Zephyr RTOS Kernel versions 0.0.0 through 4.3, particularly those involved in real-time applications, industrial control systems, or embedded devices, are at risk. Devices with limited resources and those lacking robust error handling mechanisms are especially vulnerable to the impact of a kernel crash.
• linux / server:
journalctl -f | grep -i 'tcp_backlog_is_full'• linux / server:
ps aux | grep tcp_conn_search• linux / server:
ss -t tcp | grep ESTABLISHEDdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.04% (14% शतमक)
CISA SSVC
CVSS वेक्टर
किसी आधिकारिक फिक्स की कमी को देखते हुए, शमन जोखिम कम करने की रणनीतियों पर केंद्रित है। Zephyr उपकरणों को अविश्वसनीय नेटवर्क के संपर्क को सीमित करने की सिफारिश की जाती है। फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम को लागू करने से शोषण के प्रयासों की पहचान और अवरुद्ध करने में मदद मिल सकती है। असामान्य व्यवहार (जैसे SYN पैकेट की उच्च संख्या या अप्रत्याशित क्रैश) के लिए सिस्टम की निगरानी करना महत्वपूर्ण है। एक बार फिक्स जारी होने के बाद, Zephyr के भविष्य के संस्करणों में अपग्रेड करने पर विचार करें। इसके अतिरिक्त, एक मजबूत नेटवर्क डिज़ाइन को लागू करना जो एक ही डिवाइस में विफलताओं के प्रभाव को सीमित करता है, एक प्रभावी रणनीति हो सकती है। सॉफ्टवेयर विकास में सुरक्षित कोडिंग सर्वोत्तम प्रथाओं को लागू करने से भविष्य की कमजोरियों को रोकने में भी मदद मिल सकती है।
Aplique la última actualización de seguridad proporcionada por el proyecto Zephyr RTOS. Esta actualización aborda la condición de carrera que puede provocar una denegación de servicio debido a un acceso a memoria nula. Consulte las notas de la versión y las instrucciones de actualización en el repositorio de Zephyr para obtener detalles específicos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVSS 6.4 मध्यम जोखिम का संकेत देता है। इसके लिए ध्यान और शमन की आवश्यकता होती है, लेकिन यह महत्वपूर्ण नहीं है।
वर्तमान में कोई आधिकारिक फिक्स उपलब्ध नहीं है।
अविश्वसनीय नेटवर्क के संपर्क को सीमित करना, फ़ायरवॉल को लागू करना और असामान्य व्यवहार की निगरानी करना अनुशंसित उपाय हैं।
KEV (कर्नेल इवेंट) जंगली में देखे गए भेद्यता की सूचना है। KEV की अनुपस्थिति का मतलब यह नहीं है कि भेद्यता खतरनाक नहीं है।
डिनायल-ऑफ-सर्विस (DoS) हमला या इवेंट सिंक्रोनाइजेशन में हेरफेर करने वाला हमला इस भेद्यता का शोषण करने के लिए इस्तेमाल किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।