CVE-2026-22024: CWE-401: nasa CryptoLib 中有效生命周期后内存释放缺失

严重性： 中等 类型： 漏洞

CVE-2026-22024

CryptoLib 提供了一个纯软件解决方案，使用 CCSDS 空间数据链路安全协议 - 扩展规程 (SDLS-EP) 来保护运行核心飞行系统 (cFS) 的航天器与地面站之间的通信。在 1.4.3 版本之前，cryptography_encrypt() 函数为 HTTP 请求和 JSON 解析分配了多个缓冲区，这些缓冲区在任何代码路径上均未被释放。每次调用会泄露大约 400 字节的内存。持续的数据流量会逐渐耗尽可用内存。此问题已在 1.4.3 版本中修复。

AI 分析

技术总结

CVE-2026-22024 标识了 NASA CryptoLib 中的一个内存泄露漏洞 (CWE-401)。CryptoLib 是 CCSDS 空间数据链路安全协议 - 扩展规程 (SDLS-EP) 的一个纯软件实现。该库用于保护运行核心飞行系统 (cFS) 的航天器与地面站之间的通信。该漏洞存在于 cryptography_encrypt() 函数中，该函数为处理 HTTP 请求和 JSON 解析分配了多个缓冲区，但在任何执行路径上都未能释放这些缓冲区。每次调用会泄露大约 400 字节的内存。当系统处理持续或高流量时，这些泄露会累积，逐渐耗尽可用的内存资源。这可能导致系统性能下降，并可能因资源耗尽而导致拒绝服务。该漏洞可以被远程触发，无需身份验证或用户交互，增加了其风险。该问题在 CryptoLib 1.4.3 版本中已得到解决，该版本正确释放了分配的内存。目前尚未报告有已知的在野利用。该漏洞的 CVSS 4.0 评分为 6.3，反映了中等严重性，具有网络攻击媒介、低攻击复杂度、无需特权且无需用户交互的特点。影响范围仅限于 1.4.3 之前的受影响版本，主要应用于航空航天和空间通信领域。

潜在影响

对于欧洲组织，特别是那些从事航空航天、卫星通信、空间研究或国防领域的组织，此漏洞存在因内存耗尽导致系统性能下降或拒绝服务的风险。使用易受攻击 CryptoLib 版本的系统在正常或高通信负载下可能会经历逐渐的内存耗尽，可能中断关键的航天器到地面的数据交换。这可能影响关键任务操作、数据完整性以及通信通道的可用性。虽然该漏洞不会直接损害机密性或完整性，但由此产生的拒绝服务可能会破坏运营连续性。依赖 NASA CryptoLib 或其衍生品的欧洲空间机构、卫星运营商和承包商最易受影响。尚无已知漏洞利用减少了直接风险，但如果未应用补丁，未来被利用的可能性仍然存在。

缓解建议

主要的缓解措施是将所有受影响的系统升级到 CryptoLib 1.4.3 或更高版本，其中已修复了内存泄露问题。组织应实施严格的补丁管理流程，以确保及时部署此更新。此外，监控运行易受攻击版本的系统上的内存使用情况，有助于及早发现异常内存消耗，从而在服务中断发生前进行主动干预。采用资源限制和看门狗定时器可以通过重启或隔离受影响的进程来减轻内存泄露的影响。对于无法立即打补丁的系统，考虑减少流量或频率以限制内存消耗。在操作环境中对更新的 CryptoLib 版本进行彻底测试，以验证稳定性和兼容性。最后，保持对 NASA 公告和安全简报的关注，了解任何进一步的发展。

受影响国家 法国、德国、英国、意大利、西班牙、比利时、荷兰、瑞典

技术详情

数据版本: 5.2 分配者简称: GitHub_M 日期预留: 2026-01-05T22:30:38.718Z Cvss 版本: 4.0 状态: 已发布

威胁 ID: 6961a1f6ed32c7f018d59be9 添加到数据库时间: 2026/1/10, 12:48:54 AM 最后丰富时间: 2026/1/10, 1:05:18 AM 最后更新时间: 2026/1/12, 1:17:34 AM 浏览次数: 22

来源: CVE 数据库 V5 发布日期: 2026年1月10日 星期六