BDU:2020-03797: Уязвимость RDP-клиента FreeRDP, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость RDP-клиента FreeRDP связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
Вендор Canonical Ltd., Novell Inc., ООО «РусБИТех-Астра», Free software foundation
Наименование ПО Ubuntu, OpenSUSE Leap, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), FreeRDP
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 15.1 (OpenSUSE Leap)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 20.04 LTS (Ubuntu)
  • от 1.0 до 2.0.0-rc4 включительно (FreeRDP)
Тип ПО Операционная система, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Тип ошибки Чтение за границами буфера
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для FreeRDP:
https://github.com/FreeRDP/FreeRDP/commit/907640a924fa7a9a99c80a48ac225e9d8e41548b

Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2020-07/msg00080.html

Для Ubuntu:
https://usn.ubuntu.com/4379-1/
https://usn.ubuntu.com/4382-1/

Для Astra Linux:
Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения