| タイトル | ERLANGのErlang/OTP等の複数製品におけるスタックベースのバッファオーバーフローの脆弱性 |
|---|---|
| 概要 | Erlang OTP の erts (inet_drv) におけるスタックベースのバッファオーバーフローの脆弱性により、認証されていないリモート攻撃者が細工された SCTP ERROR チャンクを送信して BEAM VM をクラッシュさせることが可能です。erts/emulator/drivers/common/inet_drv.c の sctp_parse_error_chunk 関数は SCTP ERROR チャンクを解析し、原因コードを固定サイズのスタック割り当てされた ErlDrvTermData spec[] 配列に境界チェックなしで書き込みます。SCTP 接続を確立したリモート攻撃者は、複数の原因コードを含む細工された単一の SCTP ERROR チャンクを送信してスタックバッファをオーバーフローさせ、VM をクラッシュさせることができます。攻撃者は 16ビット値と固定タグを交互に書き込むことしかできないため、オーバーフローによる制御されたリターンアドレスの書き換えはできず、攻撃はサービス拒否に限定されます。また、細工された SCTP ERROR チャンクにより Erlang VM メモリの断片が Erlang プロセスが受信するエラーパケットに漏洩する場合がありますが、そのデータは Erlang VM を実行するユーザが既に読み取り可能であるため、情報漏洩の範囲は限定的です。この問題は OTP 17.0 から 27.3.4.13、28.5.0.2、29.0.2 の前バージョンおよび erts 6.0 から 15.2.7.9、16.4.0.2、17.0.2 の前バージョンに影響します。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月10日0:00 |
| 登録日 | 2026年6月16日13:40 |
| 最終更新日 | 2026年6月16日13:40 |
| CVSS3.0 : 重要 | |
| スコア | 8.2 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H |
| ERLANG |
| Erlang Runtime System (ERTS) 16.0 以上 16.4.0.2 未満 |
| Erlang Runtime System (ERTS) 17.0 以上 17.0.2 未満 |
| Erlang Runtime System (ERTS) 6.0 以上 15.2.7.9 未満 |
| Erlang/OTP 17.0 以上 27.3.4.13 未満 |
| Erlang/OTP 28.0 以上 28.5.0.2 未満 |
| Erlang/OTP 29.0 以上 29.0.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
2026年6月16日13:40 |
| 概要 | Stack-based Buffer Overflow vulnerability in Erlang OTP erts (inet_drv) allows an unauthenticated remote attacker to crash the BEAM VM by sending a crafted SCTP ERROR chunk. The sctp_parse_error_chunk function in erts/emulator/drivers/common/inet_drv.c parses SCTP ERROR chunks and writes cause codes into a fixed-size stack-allocated ErlDrvTermData spec[] array without checking bounds. A remote attacker who has established an SCTP association to a listening port can send a single crafted SCTP ERROR chunk containing enough cause codes to overflow the stack buffer, crashing the VM. The attacker can only write 16-bit values interleaved with a fixed tag, so the overflow does not provide a controlled return address, limiting exploitation to Denial of Service. A crafted SCTP ERROR chunk may also leak bits and pieces of Erlang VM memory into the received error packet observed by the Erlang process. Such data is already readable by the user running the Erlang VM, so the disclosure scope is limited. This issue affects OTP from OTP 17.0 before 27.3.4.13, 28.5.0.2 and 29.0.2, corresponding to erts from 6.0 before 15.2.7.9, 16.4.0.2 and 17.0.2. |
|---|---|
| 公表日 | 2026年6月11日1:17 |
| 登録日 | 2026年6月11日4:18 |
| 最終更新日 | 2026年6月16日3:24 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 17.0 | 27.3.4.13 | |||
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 28.0 | 28.5.0.2 | |||
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 29.0 | 29.0.2 | |||
| cpe:2.3:a:erlang:erts:*:*:*:*:*:*:*:* | 6.0 | 15.2.7.9 | |||
| cpe:2.3:a:erlang:erts:*:*:*:*:*:*:*:* | 16.0 | 16.4.0.2 | |||
| cpe:2.3:a:erlang:erts:*:*:*:*:*:*:*:* | 17.0 | 17.0.2 | |||