Vulnerabilità: CVE-2020-26243

Nanopb è un piccolo codice dimensioni implementazione del protocollo buffer. In Nanopb prima versione 0.4.4 e 0.3.9.7, decodifica il messaggio specifico formato può perdere la memoria se l’allocazione dinamica è abilitata e un campo oneof contiene un sottomessaggio statica che contiene un campo dinamico, ed il messaggio decodificata contiene i sottomessaggi più volte. Questo è raro nei messaggi normali, ma è una preoccupazione quando i dati non attendibili vengono analizzati. Questo è stato risolto nelle versioni 0.3.9.7 e 0.4.4. Le soluzioni alternative seguenti sono disponibili: 1) Impostare l’opzione `no_unions` per il campo oneof. Questo genererà campi come separata invece di C unione, ed evita innescando il codice problematico. 2) Impostare il tipo del campo sottomessaggio all’interno oneof a `FT_POINTER`. In questo modo l’intera sottomessaggio verrà allocato dinamicamente e il codice problematico non viene eseguito. 3) Utilizzare un allocatore un’arena per nanopb, per assicurarsi che tutta la memoria può essere rilasciato in seguito.


https://github.com/nanopb/nanopb/security/advisories/GHSA-85rr-4rh9-hhwh
https://github.com/nanopb/nanopb/security/advisories/GHSA-85rr-4rh9-hhwh
https://github.com/nanopb/nanopb/blob/2b48a361786dfb1f63d229840217a93aae064667/CHANGELOG.txt
https://github.com/nanopb/nanopb/blob/2b48a361786dfb1f63d229840217a93aae064667/CHANGELOG.txt
https://github.com/nanopb/nanopb/commit/4fe23595732b6f1254cfc11a9b8d6da900b55b0c
https://github.com/nanopb/nanopb/commit/4fe23595732b6f1254cfc11a9b8d6da900b55b0c
https://github.com/nanopb/nanopb/issues/615
https://github.com/nanopb/nanopb/issues/615
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26243


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi