VU#138043: マイクロチップ社のAdvanced Software Framework(ASF)実装のtinydhcpサーバーに、スタックベースのオーバーフロー脆弱性が存在します。
マイクロチップ社のAdvanced Software Framework (ASF) に含まれる tinydhcp サーバーに、スタックベースのオーバーフロー脆弱性 (CVE-2024-7490) が存在し、リモートコード実行を許す可能性があります。この脆弱性は、DHCP 実装における不十分な入力検証に起因しています。ASF は IoT デバイスで広く使用されているため、この問題は多くのシステムに影響を与える可能性があります。マルチキャストアドレスに送信される単一の細工された DHCP 要求パケットが、オーバーフローを引き起こす可能性があります。現在の ASF バージョン 3.52.0.2574 およびそれ以前のバージョンが影響を受けています。GitHub 上の tinydhcp ソフトウェアの複数フォークも脆弱性の可能性があります。現在、tinydhcp を代替サービスに置き換える以外の実用的な解決策は知られていません。この脆弱性は、Amazon Element55 の Andrue Coombes 氏によって報告されました。