VU#138043: В реализации сервера tinydhcp в Microchip Advanced Software Framework (ASF) существует уязвимость переполнения буфера стека.
В сервере tinydhcp, который входит в состав Microchip Advanced Software Framework (ASF), обнаружена уязвимость переполнения стека (CVE-2024-7490), которая может привести к удаленному выполнению кода. Уязвимость возникает из-за недостаточной проверки входных данных в реализации DHCP. Поскольку ASF широко используется в устройствах Интернета вещей (IoT), эта проблема, вероятно, затронет множество систем. Один специально созданный пакет запроса DHCP, отправленный на многоадресный адрес, может вызвать переполнение. Текущая версия ASF 3.52.0.2574 и более ранние версии уязвимы. Несколько форков программного обеспечения tinydhcp на GitHub также могут быть уязвимы. В настоящее время нет известного практического решения, кроме замены tinydhcp на альтернативный сервис. Об уязвимости сообщил Андрю Кумбс из Amazon Element55.