JVNVU#98017392
Texas Instruments 製 SimpleLink に複数の脆弱性

Texas Instruments 社が提供する SimpleLink には、複数の脆弱性が存在します。

• SimpleLink MSP432E4 SDK v4.20.00.12 およびそれ以前
• SimpleLink CC32XX SDK v4.30.00.06 およびそれ以前
• SimpleLink CC13X0 SDK v4.10.03 より前のバージョン
• SimpleLink CC13X2 SDK v4.40.00 より前のバージョン
• SimpleLink CC26XX SDK v4.40.00 より前のバージョン
• CC3200 SDK v1.5.0 およびそれ以前
• CC3100 SDK v1.3.0 およびそれ以前

Texas Instruments 社が提供する SimpleLink には、次の複数の脆弱性が存在します。

• 整数オーバーフロー (CWE-190) - CVE-2021-22677

  CVSS v3

  CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 8.4

• スタックベースのバッファオーバーフロー (CWE-121) - CVE-2021-22673

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.2

• 整数オーバーフロー (CWE-190) - CVE-2021-22675

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

  基本値: 7.2

• 整数オーバーフロー (CWE-190) - CVE-2021-22671

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

• 整数オーバーフロー (CWE-190) - CVE-2021-22679

  CVSS v3

  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

  基本値: 9.8

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• Wi-Fi接続時の処理中に整数オーバーフローが発生し、サービス停止状態 (DoS) にされたり、不正なコードが実行されたりする - CVE-2021-22677
• CDN サーバー からファームウェアを over-the-air でアップデートする際にスタックベースのバッファオーバーフローが発生し、遠隔の第三者によって不正なコードが実行される - CVE-2021-22673
• 細工されたファームウェアアップデートファイルを読み込む際に整数オーバーフローが発生し、遠隔の第三者によ不正なコードが実行される - CVE-2021-22675
• HTTP ヘッダー処理時に整数オーバーフローが発生し、遠隔の第三者によって不正なコードが実行される - CVE-2021-22679
• 長いドメイン名を処理する際に整数オーバーフローが発生し、遠隔の第三者によって不正なコードが実行される - CVE-2021-22671

アップデートする
Texas Instruments 社が提供する情報をもとに、最新版にアップデートしてください。
また、Texas Instruments 社は、当該製品を信頼できる Wi-Fi ネットワークにのみ接続して使用することを推奨しています。