发布日期：2020-06-07
更新日期：2020-09-08

受影响系统：

Pengutronix barebox <= 2020.05.0

描述：

---

CVE(CAN) ID: CVE-2020-13910

Pengutronix barebox是一款使用在嵌入式Linux系统中的引导加载程序。
Pengutronix barebox 2020.05.0及之前版本中的net/nfs.c文件的nfs_read_reply存在越界读取漏洞。该漏洞源于程序将传入数据包的字段直接解释为字段长度而未进行边界检查。未经身份验证的远程攻击者可利用该漏洞导致内存损坏和越界读取，影响其机密性，完整性和可用性。

<*来源：Jai Verma
  *>

建议：

---

厂商补丁：

Pengutronix
-----------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.pengutronix.de/cgit/barebox/commit/net/nfs.c?h=next&id=c0f0cbd1759a6ca6cbda4001dff5764f6633c825

浏览次数：755
严重程度：0（网友投票）