https://blog.qife122.com/tags/%E5%86%85%E5%AD%98%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E/ Recent content in 内存安全漏洞 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 18:58:14 +0800 https://blog.qife122.com/p/nasa-cryptolib-%E8%B6%8A%E7%95%8C%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90%E8%88%AA%E5%A4%A9%E9%80%9A%E4%BF%A1%E5%AE%89%E5%85%A8%E7%9A%84%E6%BD%9C%E5%9C%A8%E5%A8%81%E8%83%81/ Mon, 12 Jan 2026 18:58:14 +0800 https://blog.qife122.com/p/nasa-cryptolib-%E8%B6%8A%E7%95%8C%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90%E8%88%AA%E5%A4%A9%E9%80%9A%E4%BF%A1%E5%AE%89%E5%85%A8%E7%9A%84%E6%BD%9C%E5%9C%A8%E5%A8%81%E8%83%81/ <h1 id="cve-2026-21900-cwe-125-nasa-cryptolib-中的越界读取漏洞">CVE-2026-21900: CWE-125: NASA CryptoLib 中的越界读取漏洞</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2026-21900</strong></p> <p>CryptoLib 提供了一个纯软件解决方案，使用 CCSDS 空间数据链路安全协议 - 扩展规程 (SDLS-EP) 来保护运行核心飞行系统 (cFS) 的航天器与地面站之间的通信。在 1.4.3 版本之前，<code>cryptography_encrypt()</code> 函数在解析来自密钥管理中心 (KMC) 服务器响应的 JSON 元数据时，存在一个越界堆读取漏洞。有缺陷的 <code>strtok</code> 迭代模式使用 <code>ptr + strlen(ptr) + 1</code> 来计算下一个令牌指针，在处理短字符串或格式错误的元数据字符串时，会读取到超出已分配缓冲区边界的一个字节。此问题已在 1.4.3 版本中得到修复。</p>