VU#138043 : Une vulnérabilité de débordement de pile existe dans l'implémentation du serveur tinydhcp du Microchip Advanced Software Framework (ASF)
Une vulnérabilité de débordement de pile (CVE-2024-7490) existe dans le serveur tinydhcp au sein du framework logiciel avancé (ASF) de Microchip, permettant potentiellement l'exécution de code à distance. La vulnérabilité découle d'une validation d'entrée insuffisante dans l'implémentation DHCP. Étant donné que l'ASF est couramment utilisé dans les appareils IoT, ce problème risque d'affecter de nombreux systèmes. Un seul paquet DHCP Request malveillant envoyé à une adresse multidiffusion peut déclencher le débordement. La version actuelle de l'ASF 3.52.0.2574 et les versions antérieures sont affectées. De nombreuses fourches du logiciel tinydhcp sur GitHub peuvent également être vulnérables. À l'heure actuelle, il n'existe aucune solution pratique connue autre que le remplacement de tinydhcp par un service alternatif. La vulnérabilité a été signalée par Andrue Coombes d'Amazon Element55.