Californium
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
8.2
Макс. EPSS
0.00851
Распределение по критичности
Критический
0
Высокий
4
Средний
0
Низкий
0
Затронутые диапазоны версий
2.0.0–2.6.52.0.0–2.7.22.3.0–2.6.0< 2.7.4
Также сопоставлено как (исходные строки): californium
Топ уязвимостей
CVE-2022-39368Eclipse Californium - это реализация Java RFC7252 - Constrained Application Protocol для облачных служб IoT. В версиях до 3.7.0 и 2.7.4 Californium уязвим для отказа в обслуживании. Неудачные рукопожатия не очищают счетчики для регулирования, что приводит к достижению порогового значения без повторного освобождения. Это приводит к постоянному удалению записей. Проблема была зарегистрирована для рукопожатий на основе сертификатов, но может также повлиять на рукопожатия на основе PSK. Обычно это влияет как на клиент, так и на сервер. Эта проблема устранена в версиях 3.7.0 и 2.7.4. Известных обходных путей нет. main: commit 726bac57659410da463dcf404b3e79a7312ac0b9 2.7.x: commit 5648a0c27c2c2667c98419254557a14bac2b1f3f
CVE-2022-2576В Eclipse Californium версии 2.0.0 - 2.7.2 и 3.0.0-3.5.0 возобновление DTLS-рукопожатия переходит к полному DTLS-рукопожатию при несоответствии параметров без использования HelloVerifyRequest. В частности, при использовании с наборами шифров на основе сертификатов это приводит к усилению сообщений (DDoS других пиров) и высокой загрузке ЦП (DoS собственного пира). Некорректное поведение происходит только при значениях DTLS_VERIFY_PEERS_ON_RESUMPTION_THRESHOLD больше 0.
CVE-2021-34433В Eclipse Californium версии 2.0.0 до 2.6.4 и 3.0.0-M1 до 3.0.0-M3 рукопожатия DTLS на основе сертификатов (x509 и RPK) случайно завершаются успешно без проверки подписи сервера на стороне клиента, если эта подпись не включена в ServerKeyExchange сервера.
CVE-2020-27222В Eclipse Californium версий с 2.3.0 по 2.6.0 рукопожатия DTLS на основе сертификатов (x509 и RPK) случайно завершаются неудачно, поскольку серверная часть DTLS придерживается неправильного внутреннего состояния. Это неправильное внутреннее состояние устанавливается предыдущим сбоем рукопожатия DTLS на основе сертификатов с несоответствием параметров TLS. Серверную часть DTLS необходимо перезапустить, чтобы восстановить это. Это позволяет клиентам принудительно выполнять DoS.