卡內基美隆大學所屬的電腦網路危機處理暨協調中心(CERT/CC)指出,Microchip進階軟體框架(Advanced Software Framework,ASF)存在可被用於遠端執行任意程式碼(RCE)的重大層級漏洞CVE-2024-7490,影響3.52.0.2574版以下所有的ASF,4.0版CVSS風險評分為9.5。值得留意的是,因Microchip已不再提供ASF相關支援,將不會對該漏洞進行修補。
這項漏洞存在於tinydhcp伺服器元件,發生的原因在於,ASF的DHCP通訊協定實作無法進行輸入驗證,導致攻擊者有機會藉此導致記憶體緩衝區溢位,進而能夠遠端執行程式碼。
細部而言,該漏洞出現於所有公開的ASF程式碼基礎(codebase)範例當中,攻擊者可發送特製的DHCP請求造成記憶體緩衝區溢位,並且觸發這項漏洞。
他們也提及這項弱點出現在物聯網相關應用的程式碼,因此可能會廣泛存在許多地方;再者,tinydhcp的分叉(fork)版本也可能容易受到該漏洞的影響。
該如何緩解這個漏洞?CERT/CC認為,將tinydhcp更換成另一個不受影響的元件,有可能達到緩解的效果,但目前尚未發現其他可行做法。
熱門新聞
2024-11-29
2024-11-20
2024-11-15
2024-11-15
2024-12-19
Advertisement