Katalog CVE

CVE-2026-10652

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W Zephyr OS wykryto podatność w resolverze DNS (subsys/net/lib/dns), która pozwala na odczyt poza zakresem bufora. Funkcja dns_unpack_answer() nie sprawdza poprawności deklarowanej długości danych (rdlength) w odpowiedziach DNS, co umożliwia atakującemu wstrzyknięcie spreparowanej odpowiedzi z rekordami TXT lub SRV. Skutkuje to wyciekiem informacji z pamięci (resztki poprzednich pakietów lub niezainicjalizowana pamięć) do aplikacji, a w niektórych konfiguracjach może prowadzić do błędu i odmowy usługi.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych z pamięci systemu oraz potencjalną odmowę usługi. Atak może być przeprowadzony przez złośliwy serwer DNS, atakującego w sieci lokalnej (przy włączonym mDNS/LLMNR) lub poprzez fałszowanie odpowiedzi UDP.

Rekomendacja

Należy niezwłocznie zaktualizować Zephyr OS do wersji zawierającej poprawkę (v4.4.1 lub nowsza). Jeśli aktualizacja nie jest możliwa, należy wyłączyć obsługę rekordów TXT i SRV w resolverze DNS lub ograniczyć zaufane serwery DNS.

Oryginalny opis (angielski, źródło NVD)

Zephyr's DNS resolver (subsys/net/lib/dns) parses resource records from DNS responses in dns_unpack_answer(), which validated only the fixed RR header (type, class, TTL, rdlength) and accepted any attacker-declared rdlength, including one extending past the end of the received datagram. The TXT and SRV consumers in dns_validate_record() (resolve.c) then read up to rdlength bytes (clamped only to a record-type maximum such as DNS_MAX_TEXT_SIZE, default 64, not to the packet) from the receive buffer via memcpy without their own bounds check, and pass the result to the application's resolve callback. A malicious or spoofed DNS server, an on-path attacker forging UDP DNS replies, or (with mDNS/LLMNR enabled) any LAN node can craft a truncated TXT or SRV response that causes an out-of-bounds read of adjacent receive-pool memory; the disclosed stale bytes (residual contents of prior DNS packets / uninitialized pool memory) are returned to the application as TXT/SRV record contents, an information leak, and may in some configurations cross the allocation boundary and fault, causing a denial of service. The read is bounded (~64 bytes for TXT, ~6 for SRV) and read-only (no write). The fix rejects any record whose declared rdata extends past dns_msg->msg_size at the single chokepoint in dns_unpack_answer(). Affected: v4.3.0 and v4.4.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS