Microchip高端软件框架存在重大RCE漏洞

卡内基梅隆大学所属的计算机网络危机处理暨协调中心（CERT/CC）指出，Microchip高端软件框架（Advanced Software Framework，ASF）存在可被用于远程执行任意程序代码（RCE）的重大层级漏洞CVE-2024-7490，影响3.52.0.2574版以下所有的ASF，4.0版CVSS风险评分为9.5。值得留意的是，因Microchip已不再提供ASF相关支持，将不会对该漏洞进行修补。

这项漏洞存在于tinydhcp服务器组件，发生的原因在于，ASF的DHCP通信协议实例无法进行输入验证，导致攻击者有机会借此导致内存缓冲区溢出，进而能够远程执行程序代码。

细部而言，该漏洞出现于所有公开的ASF程序代码基础（codebase）范例其中，攻击者可发送特定的DHCP请求造成内存缓冲区溢出，并且触发这项漏洞。

他们也提及这项弱点出现在物联网相关应用的程序代码，因此可能会广泛存在许多地方；再者，tinydhcp的分叉（fork）版本也可能容易受到该漏洞的影响。

该如何缓解这个漏洞？CERT/CC认为，将tinydhcp更换成另一个不受影响的组件，有可能达到缓解的效果，但目前尚未发现其他可行做法。