Gecko Software Development Kit
Уязвимости
30
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.01778
Распределение по критичности
Критический
10
Высокий
12
Средний
7
Низкий
1
Затронутые диапазоны версий
1.0.0–4.3.21.0.0–4.4.01.0.0–6.0.02.0.0–2.2.1< 4.3.0< 4.4.0≤ 4.2.1≤ 4.2.3≤ 4.3.0≤ 4.4.0
Также сопоставлено как (исходные строки): gecko_software_development_kit,cesium_net,uc-http,zigbee_emberznet
Топ уязвимостей
CVE-2023-45318В HTTP сервере Weston Embedded uC-HTTP git commit 80d4004 существует уязвимость переполнения буфера на основе кучи. Специально созданный сетевой пакет может привести к произвольному выполнению кода. Злоумышленник может отправить вредоносный пакет для активации этой уязвимости.
CVE-2023-4280Непроверенный ввод в реализации Silicon Labs TrustZone в v4.3.x и более ранних версиях Gecko SDK позволяет злоумышленнику получить доступ к доверенному региону памяти из ненадежного региона.
CVE-2023-31247Уязвимость повреждения памяти существует в функциональности анализа заголовка HTTP-сервера Weston Embedded uC-HTTP v3.01.01. Специально созданный сетевой пакет может привести к выполнению кода. Злоумышленник может отправить вредоносный пакет для запуска этой уязвимости.
CVE-2023-28391Уязвимость повреждения памяти существует в функциональности разбора заголовков HTTP-сервера Weston Embedded uC-HTTP v3.01.01. Специально созданные сетевые пакеты могут привести к выполнению кода. Злоумышленник может отправить вредоносный пакет, чтобы вызвать эту уязвимость.
CVE-2023-28379Уязвимость повреждения памяти существует в функциональности границы формы HTTP-сервера Weston Embedded uC-HTTP v3.01.01. Специально созданный сетевой пакет может привести к выполнению кода. Злоумышленник может отправить вредоносный пакет, чтобы вызвать эту уязвимость.
CVE-2023-27882Уязвимость переполнения буфера на основе кучи существует в функции HTTP Server form boundary Weston Embedded uC-HTTP v3.01.01. Специально созданный сетевой пакет может привести к выполнению кода. Злоумышленник может отправить вредоносный пакет для запуска этой уязвимости.
CVE-2023-2686Переполнение буфера в примере Wi-Fi Commissioning MicriumOS в Silicon Labs Gecko SDK v4.2.3 или более ранней версии позволяет подключенному устройству записывать полезную нагрузку в стек.
CVE-2023-25181В HTTP-сервере Weston Embedded uC-HTTP v3.01.01 существует уязвимость переполнения буфера на основе кучи. Специально созданный набор сетевых пакетов может привести к выполнению произвольного кода. Злоумышленник может отправить вредоносный пакет, чтобы вызвать эту уязвимость.
CVE-2023-24585В HTTP Server функциональности Weston Embedded uC-HTTP v3.01.01 существует уязвимость записи за пределами границ. Специально созданный сетевой пакет может привести к повреждению памяти. Злоумышленник может отправить сетевой запрос, чтобы вызвать эту уязвимость.
CVE-2023-4020Непроверенный ввод в библиотечной функции, отвечающей за связь между защищенной и незащищенной памятью в реализации Silicon Labs TrustZone, позволяет читать/записывать память в защищенной области памяти из незащищенной области памяти.
CVE-2024-22473TRNG используется до инициализации драйвером подписи ECDSA при выходе из EM2/EM3 на устройствах Virtual Secure Vault (VSE). Этот дефект может привести к подделке подписи путем воссоздания ключа. Эта проблема затрагивает Gecko SDK до версии v4.4.0.
CVE-2023-6874До версии 7.4.0 Ember ZNet уязвим для атак типа «отказ в обслуживании» из-за манипулирования порядковым номером NWK.
CVE-2023-6387В примере приложения Bluetooth LE HCI CPC в Gecko SDK существует потенциальная уязвимость переполнения буфера, которая может привести к отказу в обслуживании или удаленному выполнению кода.
CVE-2023-41097Наблюдаемое расхождение во времени, уязвимость Covert Timing Channel в Silabs GSDK на ARM потенциально позволяет выполнить атаку Padding Oracle Crypto на CBC PKCS7. Эта проблема затрагивает GSDK: до версии 4.4.0.
CVE-2023-32100Удаление компилятором очистки буфера в sli_se_driver_mac_compute в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-32099Удаление компилятором очистки буфера в sli_se_sign_hash в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-32098Удаление компилятором очистки буфера в sli_se_sign_message в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-32097Удаление компилятором очистки буфера в sli_crypto_transparent_aead_decrypt_tag в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-32096Удаление компилятором очистки буфера в sli_crypto_transparent_aead_encrypt_tag в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-2481Удаление компилятором очистки буфера в sli_se_opaque_import_key в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-1132Удаление компилятором очистки буфера в sli_se_driver_key_agreement в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в RAM.
CVE-2023-0965Удаление компилятором очистки буфера в sli_cryptoacc_transparent_key_agreement в Silicon Labs Gecko Platform SDK v4.2.1 и более ранних версиях приводит к дублированию ключевого материала в ОЗУ.
CVE-2023-5138Обнаружение сбоев не включено по умолчанию для ядра CortexM33 в защищенных vault high частях Silicon Labs EFx32xG2xB, за исключением EFR32xG21B.
CVE-2024-0240Утечка памяти в стеке Bluetooth Silicon Labs для продуктов EFR32 может привести к исчерпанию памяти при отправке уведомлений нескольким клиентам, что приведет к остановке всех операций Bluetooth, таких как реклама и сканирование.
CVE-2023-3024Принудительное разделение стеком Bluetooth LE пакетов «prepare write response» может привести к выходу за границы памяти.