Cesanta Mongoose TLS 1.3 mongoose.c mg_tls_recv_cert ヒープベースのオーバーフロー

Cesanta Mongoose 7.20までのバージョンに脆弱性が発見されました。これは、TLS 1.3 Handlerコンポーネントのmongoose.cファイルのmg_tls_recv_cert関数に影響します。引数pubkeyの操作により、ヒープベースのバッファオーバーフローが発生します。攻撃はリモートから実行される可能性があります。このエクスプロイトは公開されており、使用される可能性があります。バージョン7.21にアップグレードすると、この問題が軽減されます。パッチの名前は0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1です。影響を受けるコンポーネントをアップグレードすることをお勧めします。ベンダーには早期に連絡を取り、非常に専門的な方法で対応し、影響を受ける製品の修正バージョンを迅速にリリースしました。