CVE-2026-22024：CWE-401：NASA CryptoLib中有效生命周期后内存未释放

严重性：中等 类型：漏洞

CVE-2026-22024

CryptoLib使用CCSDS空间数据链路安全协议-扩展程序（SDLS-EP）提供纯软件解决方案，用于保护运行核心飞行系统（cFS）的航天器与地面站之间的通信安全。在1.4.3版本之前，cryptography_encrypt()函数为HTTP请求和JSON解析分配了多个缓冲区，这些缓冲区在任何代码路径上均未释放。每次调用泄露约400字节内存。持续流量会逐渐耗尽可用内存。此问题已在1.4.3版本中修复。

AI分析

技术总结

CVE-2026-22024标识了NASA CryptoLib中的一个内存泄露漏洞（CWE-401），该库是CCSDS空间数据链路安全协议-扩展程序（SDLS-EP）的纯软件实现。此库用于保护运行核心飞行系统（cFS）的航天器与地面站之间的通信安全。该漏洞存在于cryptography_encrypt()函数中，该函数为处理HTTP请求和JSON解析分配了多个缓冲区，但在任何执行路径上都未能释放这些缓冲区。每次调用泄露约400字节内存。当系统处理持续或大流量时，这些泄露会累积，逐渐耗尽可用内存资源。这可能降低系统性能，并可能因资源耗尽导致拒绝服务。该漏洞可被远程触发，无需身份验证或用户交互，增加了其风险状况。该问题在CryptoLib 1.4.3版本中已解决，该版本正确释放了分配的内存。目前未报告野外已知的利用方式。该漏洞的CVSS 4.0评分为6.3，反映了中等严重性，具有网络攻击向量、低攻击复杂度、无需权限且无需用户交互。影响范围限于1.4.3之前的受影响版本，主要用于航空航天和空间通信领域。

潜在影响

对于欧洲组织，特别是那些从事航空航天、卫星通信、空间研究或国防领域的组织，此漏洞存在因内存耗尽导致系统性能下降或拒绝服务的风险。使用易受攻击CryptoLib版本的系统在正常或高通信负载下可能会经历逐渐的内存耗尽，可能中断关键的航天器与地面数据交换。这可能影响关键任务操作、数据完整性和通信信道的可用性。虽然该漏洞不会直接损害机密性或完整性，但由此产生的拒绝服务可能会破坏操作连续性。依赖NASA CryptoLib或其衍生品的欧洲航天机构、卫星运营商和承包商最易受影响。没有已知的利用方式降低了即时风险，但如果未应用补丁，未来被利用的可能性仍然存在。

缓解建议

主要缓解措施是将所有受影响的系统升级到CryptoLib 1.4.3或更高版本，其中内存泄露已修复。组织应实施严格的补丁管理流程，以确保及时部署此更新。此外，监控运行易受攻击版本的系统内存使用情况有助于早期发现异常内存消耗，从而在服务中断发生前进行主动干预。采用资源限制和看门狗定时器可以通过重启或隔离受影响进程来减轻内存泄露的影响。对于无法立即应用补丁的系统，考虑减少流量或频率以限制内存消耗。在操作环境中对更新的CryptoLib版本进行全面测试，以验证稳定性和兼容性。最后，保持对NASA建议和安全公告的关注，以获取任何进一步的发展。

受影响国家

法国、德国、英国、意大利、西班牙、比利时、荷兰、瑞典

技术详情

数据版本：5.2 分配者简称：GitHub_M 日期保留：2026-01-05T22:30:38.718Z Cvss版本：4.0 状态：已发布 威胁ID：6961a1f6ed32c7f018d59be9 添加到数据库：2026年1月10日 00:48:54 上次丰富：2026年1月10日 01:05:18 上次更新：2026年1月11日 02:10:22 浏览量：12