Cesanta Mongoose P-384 Public Key mongoose.c mg_tls_verify_cert_signature authorization

Er is een kwetsbaarheid vastgesteld in Cesanta Mongoose tot 7.20. Betroffen is de functie mg_tls_verify_cert_signature van het bestand mongoose.c van de component P-384 Public Key Handler. Het uitvoeren van een manipulatie kan leiden tot het omzeilen van autorisatie. De aanval kan op afstand worden uitgevoerd. Aanvallen van deze aard zijn zeer complex. De exploitability wordt als moeilijk beschouwd. De exploit is openbaar gemaakt en kan worden gebruikt. Upgraden naar versie 7.21 kan dit probleem oplossen. Deze patch heet 0d882f1b43ff2308b7486a56a9d60cd6dba8a3f1. De getroffen component moet worden geüpgraded. Er is vroegtijdig contact opgenomen met de leverancier, die op een zeer professionele manier heeft gereageerd en snel een vaste versie van het getroffen product heeft uitgebracht.