Уязвимость NULL Pointer Dereference в µD3TN через Endpoint Identifier, не являющийся singleton, позволяет удаленному злоумышленнику надежно вызвать DoS [1].

Сводка:
Пакет BPv7, чей destination EID относится к схеме dtn и имеет SSP, начинающийся с тильды (например, dtn://node18/~tele), вызывает немедленный segmentation fault после NULL pointer dereference в uD3TN v0.14.2. Службы с префиксом тильды обозначают конечные точки, не являющиеся singleton, согласно RFC 9171 Section 4.4.5.1.1, и являются легитимной функцией схемы dtn BPv7, позволяющей нескольким узлам получать одни и те же данные.

Минимальный воспроизводитель:

# start node (example)
build/posix/ud3tn --node-id dtn://a.dtn/ --aap-port 4242 --aap2-socket ud3tn-a.aap2.socket --cla "mtcp:*,4224" -L 4
# crafted bundle triggering the crash
echo 9f88071a000200040082016e2f2f6e6f646531382f7e74656c6582016e2f2f6e6f646538312f66696c657382016e2f2f6e6f646538312f66696c6573821b0000009e8d0de538001b00000049f16b2400850a020000448218200085010100004443414243ff | python -c "import sys, cbor2; sys.stdout.buffer.write(cbor2.dumps(bytes.fromhex(sys.stdin.read())))" | ncat localhost 4224

Изменение ~tele на tele в EID устраняет crash, подтверждая, что проблема вызвана тильдой.

В деталях:
Используя GDB, можно увидеть следующую цепочку вызовов, приводящую к краху: bundle_forward() -> char *dst_node_id = get_node_id(bundle->destination); Здесь get_node_id() обнаруживает тильду и возвращает NULL (конечная точка, не являющаяся singleton), как видно из сниппета исходного кода ниже (components/ud3tn/eid.c:275)

// Demux starts with tilde (-> non-singleton EID -> no node ID)
if (delim[1] == '~') return NULL;

bundle_forward() передает этот NULL в fib_lookup_node() без проверки, что приводит к __strlen_evex в libc, разыменовывающему NULL и вызывающему segmentation fault.

Воздействие:
Удаленный DoS: любой неаутентифицированный peer может crash узел uD3TN, отправив пакет с EID, установленным в схему dtn и SSP с префиксом тильды.

Источники:
- [1] https://gitlab.com/d3tn/ud3tn/-/issues/255