SecureCRT 最新版本 8.7.2 中修复了一个内存损坏漏洞(CVE-2020-12651),当CSI 函数接收到一个大负数作为参数时,可能允许远程系统破坏终端进程中的内存,最终导致任意代码的执行或程序崩溃。
攻击者可能通过类似 SSH banner 的方式利用该漏洞。
参考链接:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2033
受影响产品版本
- SecureCRT Version < 8.7.2
不受影响产品版本
- SecureCRT Version >= 8.7.2
解决方案
另,对于不能完全信任的主机,避免使用终端模拟软件进行连接,谨防恶意主机利用终端模拟软件中的漏洞危害主机。
官方更新记录:
https://www.vandyke.com/products/securecrt/history.txt
官网下载:
https://www.vandyke.com/cgi-bin/releases.php?product=securecrt