漏洞关键信息总结 漏洞概述 漏洞详情:攻击者可在执行 时造成内存分配失败,导致以空指针作为目标地址调用 。该函数还可通过以下函数间接调用: 影响范围 影响说明: 有内存保护的平台上:可能导致段错误 微控制器上:可能向地址0的中断向量写入数据,从而实现任意代码执行 修复方案 1. 临时缓解措施 确保 Mbed TLS 在调用 时有充足内存,使 不会失败。 在有内存保护且地址0不可写的系统上,该漏洞将产生段错误或内存保护错误,仅导致拒绝服务(DoS)而非任意代码执行。 2. 正式修复 升级至 Mbed TLS 3.6.6 或 4.1.0 3. 修复提交(针对维护分支) > 注:Mbed TLS 开发团队仅维护官方分支,这些提交可能不适用于旧版本,即使适用也可能无法提供完整修复。