CVE-2025-29910

CryptoLib provides a software-only solution using the CCSDS Space Data Link Security Protocol - Extended Procedures (SDLS-EP) to secure communications between a spacecraft running the core Flight System (cFS) and a ground station. A memory leak vulnerability was identified in the `crypto_handle_incrementing_nontransmitted_counter` function of CryptoLib versions 1.3.3 and prior. This vulnerability can lead to resource exhaustion and degraded system performance over time, particularly in long-running processes or systems processing large volumes of data. The vulnerability is present in the `crypto_handle_incrementing_nontransmitted_counter` function within `crypto_tc.c`. The function allocates memory using `malloc` without ensuring the allocated memory is always freed. This issue can lead to resource exhaustion, reduced system performance, and potentially a Denial of Service (DoS) in environments where CryptoLib is used in long-running processes or with large volumes of data. Any system using CryptoLib, especially those handling high-throughput or continuous data streams, could be impacted. As of time of publication, no known patched versions are available.

CVSS

No CVSS.

References

Link	Resource
https://github.com/nasa/CryptoLib/security/advisories/GHSA-p38w-p2r8-g6g5
https://github.com/nasa/CryptoLib/security/advisories/GHSA-p38w-p2r8-g6g5

Configurations

No configuration.

History

18 Mar 2025, 14:15

Type	Values Removed	Values Added
Summary		(es) CryptoLib ofrece una solución exclusivamente de software que utiliza el Protocolo de Seguridad de Enlace de Datos Espaciales CCSDS - Procedimientos Extendidos (SDLS-EP) para proteger las comunicaciones entre una nave espacial que ejecuta el Sistema de Vuelo (cFS) y una estación terrestre. Se identificó una vulnerabilidad de fuga de memoria en la función `crypto_handle_incrementing_nontransmitted_counter` de las versiones 1.3.3 y anteriores de CryptoLib. Esta vulnerabilidad puede provocar el agotamiento de recursos y la degradación del rendimiento del sistema con el tiempo, especialmente en procesos de larga duración o sistemas que procesan grandes volúmenes de datos. La vulnerabilidad está presente en la función `crypto_handle_incrementing_nontransmitted_counter` dentro de `crypto_tc.c`. Esta función asigna memoria mediante `malloc` sin garantizar que la memoria asignada siempre esté libre. Este problema puede provocar el agotamiento de recursos, la reducción del rendimiento del sistema y, potencialmente, una denegación de servicio (DoS) en entornos donde CryptoLib se utiliza en procesos de larga duración o con grandes volúmenes de datos. Cualquier sistema que utilice CryptoLib, especialmente aquellos que gestionan flujos de datos continuos o de alto rendimiento, podría verse afectado. Al momento de la publicación, no se conocían versiones parcheadas.
References	~~() https://github.com/nasa/CryptoLib/security/advisories/GHSA-p38w-p2r8-g6g5 -~~	() https://github.com/nasa/CryptoLib/security/advisories/GHSA-p38w-p2r8-g6g5 -

17 Mar 2025, 22:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-03-17 22:15

Updated : 2025-03-18 14:15

NVD link : CVE-2025-29910

Mitre link : CVE-2025-29910

CVE.ORG link : CVE-2025-29910

JSON object : View

Products Affected

No product.

CWE

CWE-401

Missing Release of Memory after Effective Lifetime

JSON object

Attach tags to CVE-2025-29910

Attach tags to `CVE-2025-29910`