Boletim de segurança do OpenWeave
19/08/2019
Este boletim contém os detalhes das correções de segurança que foram implantadas como parte desse patch. Consulte a Tabela 1 para ver as referências e os detalhes das vulnerabilidades que foram corrigidas como parte dessa correção.
Tabela 1. Correções de segurança relacionadas a vulnerabilidades do Weave informadas pela Talos Labs
| Identificador de CVE | Descrição |
|---|---|
| CVE-2019-5034 (em inglês) | Vulnerabilidade de divulgação de pareamento do legado |
| CVE-2019-5035 (em inglês) | Variação de força bruta de pareamento do PASE no Weave |
| CVE-2019-5036 | Teve vulnerabilidade de negação de serviço KeyError |
| CVE-2019-5037 | WeaveCASEEngine::DecodeCertificateInfo vulnerabilidade de negação de serviço |
| CVE-2019-5038 (em inglês) | Vulnerabilidade de execução do código Print-TLV da ferramenta WeWeave Weave |
| CVE-2019-5039 | Vulnerabilidade de execução de código PutValue do OpenWeave ASN1writer |
| CVE-2019-5040 | Vulnerabilidade de divulgação de informações do OpenWeave Weave DecodeMessageWithLength |
| CVE-2019-5043 | Vulnerabilidade de negação de serviço de conexão TCP da Nest Cam IQ interna |
Gostaríamos de agradecer a Lilith Wyatt e Yves Younan, da Talos Labs, por relatar essas vulnerabilidades.