「漏洞通告」SecureCRT内存损坏

SecureCRT 最新版本 8.7.2 中修复了一个内存损坏漏洞(CVE-2020-12651),当CSI 函数接收到一个大负数作为参数时,可能允许远程系统破坏终端进程中的内存,最终导致任意代码的执行或程序崩溃。

攻击者可能通过类似 SSH banner 的方式利用该漏洞。

参考链接:

https://bugs.chromium.org/p/project-zero/issues/detail?id=2033

受影响产品版本

  • SecureCRT Version < 8.7.2

不受影响产品版本

  • SecureCRT Version >= 8.7.2

解决方案

另,对于不能完全信任的主机,避免使用终端模拟软件进行连接,谨防恶意主机利用终端模拟软件中的漏洞危害主机。

官方更新记录:

https://www.vandyke.com/products/securecrt/history.txt

官网下载:

https://www.vandyke.com/cgi-bin/releases.php?product=securecrt

发表评论