IBM 的终端仿真器 – 个人通信 (PCOM) 中发现了一个漏洞。
此漏洞 (CVE-2024-25029) 会带来严重风险,因为威胁行为者可能会利用该漏洞进行远程代码执行 (RCE) 和本地权限升级 (LPE),从而允许他们通过网络访问在受害者系统之间横向移动。它存在于 PCOM 版本 v 14.0.6 至 15.0.1 上。
Personal Communications 是为 Windows 系统开发的 IBM 终端仿真包,支持访问关键业务系统和主机通信。它是 IBM Host Access Client Package 和 IBM Rational Host Integration Solution 的组件。
IBM 发布 PCCOM 终端的修补版本
该漏洞源自对软件包使用的 Windows 服务的利用,IBM 将该软件包标记为“内存缓冲区范围内操作的不当限制”(缓冲区溢出)缺陷。 IBM 已发布安全公告 (7147672)、咨询和客户端更新来帮助用户处理该问题,但表示其可利用性尚不确定。该缺陷尚无已知的解决方法。
IBM上个月(2024 年 3 月)还针对其 Instana Observability 软件中的漏洞发布了重要补丁。 IBM 表示,其 Node.js 包中的漏洞可能允许攻击者通过服务器端请求伪造在其系统上执行任意代码。
PCCOM 软件包中的另一个最新漏洞 (CVE-2023-37410) 于 2023 年 9 月报告,该漏洞是由于过度宽松的访问控制/不正确的访问控制造成的,并允许权限升级。
什么是缓冲区溢出漏洞?
当程序使用内存缓冲区进行读/写操作,但它可以读取或写入缓冲区预期边界或范围之外的内存位置或地址时,就会出现缓冲区溢出漏洞。
攻击者可以利用此类缓冲区溢出来执行自己的任意代码或访问敏感信息。此类缺陷具有广泛的滥用潜力,并且通常很严重,IBM 已对 CVE-2024-25029 漏洞进行了评级,CVSS 基本评分为 9。
敦促依赖 PCCOM 软件包的企业和企业升级到敏感信息中可用的 PCOMM 软件包的修补版本。
文章原文链接:https://www.anquanke.com/post/id/295415
