Cesanta Mongoose TLS 1.3 mongoose.c mg_tls_recv_cert heap-based overflow

Er is een kwetsbaarheid gevonden in Cesanta Mongoose tot 7.20. Dit beïnvloedt de functie mg_tls_recv_cert van het bestand mongoose.c van de component TLS 1.3 Handler. Dergelijke manipulatie van het argument pubkey leidt tot een heap-based buffer overflow. De aanval kan op afstand worden uitgevoerd. De exploit is openbaar gemaakt en kan worden gebruikt. Upgraden naar versie 7.21 verhelpt dit probleem. De naam van de patch is 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1. Het is raadzaam om de getroffen component te upgraden. Er is vroegtijdig contact opgenomen met de leverancier, die op een zeer professionele manier heeft gereageerd en snel een vaste versie van het getroffen product heeft uitgebracht.